本篇開宗明義,係要講資訊安全好主要取決於使用者,而非器材。好多時有啲人洩露咗自己身份,並非用嘅電腦唔夠安全,而係因為佢自己唔小心。
Human is the weakest link in the system.
Human is the weakest link in the system.
而*經常進行*過份繁複嘅程序(例如開 Tor/VM/VPN)除咗不必要,亦會增加咗暴露弱點嘅風險。
正如就算醫護都唔會出街係唔係都著全身保護衣,佢只有係入高風險場所先會咁做。
當然以上有例外,就係當你係黃台仰呀gphone 呀斯諾登咁,俾人用國家級資源對準咗,咁就真係需要提高保安嘅,呢個將會講。
正如就算醫護都唔會出街係唔係都著全身保護衣,佢只有係入高風險場所先會咁做。
當然以上有例外,就係當你係黃台仰呀gphone 呀斯諾登咁,俾人用國家級資源對準咗,咁就真係需要提高保安嘅,呢個將會講。
首先,要改變自己嘅習慣,學識將風險 compartmentalization,分層化。
要將自己嘅行為分返做低/中/高風險。
低風險
諸如上網搵貓圖,上去連登吹水講打機(純粹睇),呢類低風險嘅嘢,冇咩會洩漏到個人資訊嘅,基本上可以用返個人身份做,驚嘅就開個隨時可拋棄嘅帳 (burner a/c),專用嚟留廢話
要將自己嘅行為分返做低/中/高風險。
低風險
諸如上網搵貓圖,上去連登吹水講打機(純粹睇),呢類低風險嘅嘢,冇咩會洩漏到個人資訊嘅,基本上可以用返個人身份做,驚嘅就開個隨時可拋棄嘅帳 (burner a/c),專用嚟留廢話
中風險
講緊啲會link up到你實際身份嘅活動,或者想維持同一個網絡身份,咁呢個時候你就要:
- 唔同平台要用完全唔同嘅用戶名 → 以免俾人link up
- 唔同平台用唔相同而且安全嘅密碼
- 最好用唔同 e-mail 開
講緊啲會link up到你實際身份嘅活動,或者想維持同一個網絡身份,咁呢個時候你就要:
- 唔同平台要用完全唔同嘅用戶名 → 以免俾人link up
- 唔同平台用唔相同而且安全嘅密碼
- 最好用唔同 e-mail 開
中風險嘅個人身份帳,大家要做好分層,每個帳都唔好有資料link返去其他帳度。
例如親友帳先講私事;foodie帳就唔好即時出過自己去邊度食曝露自己即時行踪,自己貼嘅相,就算冇人樣,都唔好有太大特徵俾人認得出係邊度嚟(地標/舖頭名)從而俾人推斷到自己嘅活動範圍(屋企/返工/返學)
例如親友帳先講私事;foodie帳就唔好即時出過自己去邊度食曝露自己即時行踪,自己貼嘅相,就算冇人樣,都唔好有太大特徵俾人認得出係邊度嚟(地標/舖頭名)從而俾人推斷到自己嘅活動範圍(屋企/返工/返學)
如果要貼,就要大量大量咁貼,唔同地點唔同時間,目的為求令想起底嘅人增加搵關鍵資訊嘅難度,藏木於林。
Twitter 都有唔同嘅人解構返如何憑一幅相確認到影嗰幅相嘅確實位置同影相人身份
下邊有兩個例子大家可以睇睇
1.
2.
下邊有兩個例子大家可以睇睇
1.
2.
高風險
其實相信大家冇乜會點去到呢個位,呢個位係真係你好似斯諾登咁有政府機密文件喺手,咁你又想放出去,呢個時候你先會諗到要 VPN/Tor之類嘅工具
但就算有機密嘢要爆,千萬唔好放連登。眾所周知連登戶口要 ISP/大學 email 註冊,咁萬一連登個 admin 俾人拉咗咁就真係好大檸樂
其實相信大家冇乜會點去到呢個位,呢個位係真係你好似斯諾登咁有政府機密文件喺手,咁你又想放出去,呢個時候你先會諗到要 VPN/Tor之類嘅工具
但就算有機密嘢要爆,千萬唔好放連登。眾所周知連登戶口要 ISP/大學 email 註冊,咁萬一連登個 admin 俾人拉咗咁就真係好大檸樂
第二要衡量返你出嘅資料有冇可能 trace back
例如只有幾個人掂到份嘢,咁好容易搵到係你講
例如只有幾個人掂到份嘢,咁好容易搵到係你講
另外,如果係將機密帶離安全環境,亦要留意文件本身有冇留跡
曾經有個 case 係美國NSA 有位員工想印文件再 sip 喺身帶離辦公室俾記者,但printer印咗啲肉眼難以察覺嘅小黃點暴露咗部printer 資訊,出賣咗佢。
詳情:theatlantic.com/technology/arc…
曾經有個 case 係美國NSA 有位員工想印文件再 sip 喺身帶離辦公室俾記者,但printer印咗啲肉眼難以察覺嘅小黃點暴露咗部printer 資訊,出賣咗佢。
詳情:theatlantic.com/technology/arc…
同埋要記得就算有幾方便都好,用公司電腦做自己嘢都會有一定嘅風險。因為IT部門係有admin right解你部電腦。
有部分公司會需要連接到公司網絡工作,或安裝公司軟件,呢啲情況如果用自己私人電腦做事,有機會被公司記錄。
所以謹記要分開公私機
有部分公司會需要連接到公司網絡工作,或安裝公司軟件,呢啲情況如果用自己私人電腦做事,有機會被公司記錄。
所以謹記要分開公私機
總括嚟講,我都係唔係好建議大家當自己係 gphone/snowden,只要你平時唔曝露個人資料/敏感資訊,真係冇咩必要長開 VPN/Tor 上推上 SNS。
因為第一係平時中間通訊已經加密,
第二係政府對你喺度風花雪月真係冇興趣,
除非你係gphone 啦吓,但你做得 gphone,a/c 都公開㗎啦
因為第一係平時中間通訊已經加密,
第二係政府對你喺度風花雪月真係冇興趣,
除非你係gphone 啦吓,但你做得 gphone,a/c 都公開㗎啦
到電腦保安 其實自Mac普及以來,針對Mac嘅惡意程式亦不斷增加,所以用電腦嚟講,Mac不比PC/Windows 安全。只要你keep住做系統更新,其實都相對安全。
至於Linux,其實我唔建議大家用。設定/運作上佢真係唔適合初學者,一部set得差嘅Linux分分鐘危險過一部 Windows/Mac。
至於Linux,其實我唔建議大家用。設定/運作上佢真係唔適合初學者,一部set得差嘅Linux分分鐘危險過一部 Windows/Mac。
而且用Linux亦會帶俾人一種錯誤嘅安全感,等自己用咗Linux就會百毒不侵。
所以老話重提,最緊要係使用者嘅心態要轉,例如唔好見到有掣就撳,有叫你俾 user/pwd 嘅地方就要提高警覺,檢查吓網址呀,係咪咩可疑電郵地址呀等等
所以老話重提,最緊要係使用者嘅心態要轉,例如唔好見到有掣就撳,有叫你俾 user/pwd 嘅地方就要提高警覺,檢查吓網址呀,係咪咩可疑電郵地址呀等等
保障檔案系統
如果電腦要處理機密嘢,建議使用系統嘅 full disk encryption - 即係加密,變咗即使有日有人控制咗你部機,冇你記喺腦海嘅密碼係開唔到機嘅。
更進階嘅方案,我會建議裝 Veracrypt (veracrypt.fr/code/VeraCrypt/) 呢套檔案加密軟件。嗯,有機會另文講
如果電腦要處理機密嘢,建議使用系統嘅 full disk encryption - 即係加密,變咗即使有日有人控制咗你部機,冇你記喺腦海嘅密碼係開唔到機嘅。
更進階嘅方案,我會建議裝 Veracrypt (veracrypt.fr/code/VeraCrypt/) 呢套檔案加密軟件。嗯,有機會另文講
密碼
密碼是守護著帳戶的重要關卡,如果是很重要的帳戶(中高風險),一個夠長,隨機而沒重用過的密碼是不可或缺的。
低風險帳戶我建議大家可以用一個常用密碼減少記憶負擔(前提是不同帳戶用不同登入名字),中高風險則必須使用隨機產生的獨立密碼
密碼是守護著帳戶的重要關卡,如果是很重要的帳戶(中高風險),一個夠長,隨機而沒重用過的密碼是不可或缺的。
低風險帳戶我建議大家可以用一個常用密碼減少記憶負擔(前提是不同帳戶用不同登入名字),中高風險則必須使用隨機產生的獨立密碼
產生密碼 密碼產生有兩派學說,傳統主流是密碼必須有多種元素,大階細階數字和符號,而且需要到一定長度(8位)。
如果...呃...大家對想密碼沒頭緒,可以利用某些網頁上的密碼產生功能,但不要忘了網頁必須有加密(瀏覽器有鎖),而且能信任不會記下你產生的密碼
如果...呃...大家對想密碼沒頭緒,可以利用某些網頁上的密碼產生功能,但不要忘了網頁必須有加密(瀏覽器有鎖),而且能信任不會記下你產生的密碼
有人質疑傳統密碼產生太難記,使用者往往會把密碼記在其他地方,或將密碼重用,結果增加曝露風險。況且以電腦撞密碼,6-8位太短。
有人提出不需要再夾雜不同元素(對電腦撞密碼其實沒分別),但必須夠長(最少20位),增加撞密碼需要的時間 密碼元素則可以是在字典出現的字,容易讓使用者記住(例子如下圖
有人提出不需要再夾雜不同元素(對電腦撞密碼其實沒分別),但必須夠長(最少20位),增加撞密碼需要的時間 密碼元素則可以是在字典出現的字,容易讓使用者記住(例子如下圖
如果信不過網站產生的密碼又認為自己沒信心產生一個夠隨機的密碼?這裏介紹一招叫 diceware:
準備:一粒骰子
把骰子擲五次,產生一組五個數字,然後到字庫 world.std.com/%7Ereinhold/di… 找出那個字
如是者重複若干次(最少4次),將那堆字串連起來就是一個夠隨機又易記的密碼了
準備:一粒骰子
把骰子擲五次,產生一組五個數字,然後到字庫 world.std.com/%7Ereinhold/di… 找出那個字
如是者重複若干次(最少4次),將那堆字串連起來就是一個夠隨機又易記的密碼了
原理是骰子投擲五次共有6*6*6*6*6 共7776 個組合,
如果密碼有四組字則是7776*7776*7776*7776(3.65*10^15)個組合。
組合越多密碼越難被程式撞破。即便是攻擊者知道你用的字庫名單,也難從大量可能組合中撞破密碼。
有興趣大家可以睇Wikipedia了解下
en.wikipedia.org/wiki/Diceware
如果密碼有四組字則是7776*7776*7776*7776(3.65*10^15)個組合。
組合越多密碼越難被程式撞破。即便是攻擊者知道你用的字庫名單,也難從大量可能組合中撞破密碼。
有興趣大家可以睇Wikipedia了解下
en.wikipedia.org/wiki/Diceware
電話
對所有用Android機/iPhone嘅用戶,我只有三個忠告:
- 唔好Jailbreak
- 經常Update 手機,冇得up就係時候換過部
- 唔好亂裝 app
至於burner phone... 又係嗰句,你唔係gphone 斯諾登,冇咁多錢burn 就拎啲帳嚟 burn 好過
對所有用Android機/iPhone嘅用戶,我只有三個忠告:
- 唔好Jailbreak
- 經常Update 手機,冇得up就係時候換過部
- 唔好亂裝 app
至於burner phone... 又係嗰句,你唔係gphone 斯諾登,冇咁多錢burn 就拎啲帳嚟 burn 好過
手機加密(限iphone)
iPhone 嚟講,上iCloud 嘅backup 會自動encrypt ,但如果想做一個full backup 係local 電腦,咁要係iTunes 開返 encrypt
至於android嘅用戶,就要自己上網搵搵了
如有補充,日後再算
iPhone 嚟講,上iCloud 嘅backup 會自動encrypt ,但如果想做一個full backup 係local 電腦,咁要係iTunes 開返 encrypt
至於android嘅用戶,就要自己上網搵搵了
如有補充,日後再算
按:
此ppt內容及製作唔係本人提供
有意見可以隨便reply, 製作人有緣自然會見到, 但恕我就唔會代回覆
此ppt內容及製作唔係本人提供
有意見可以隨便reply, 製作人有緣自然會見到, 但恕我就唔會代回覆
