• 手足之間的保安意識 文:薯伯伯 手足之間的保安意識,實在令人擔憂。 例如,一時會毫無顧忌地,用手機直接打電話通話。轉個頭又會忽然保安意識甚強,把一些早已在公海流傳的訊息,煞有介事地說:「唔好傳啊,唔好畀人知啊!」 我簡單地說幾點(最初真的是簡單寫幾點,但經常失控,越寫越長): 一,手機直接通話,毫無加密,強力部門若要截取通訊或秘密監察,理論上是需要法庭搜查令。但是,如果到了今天還相信強力部門會等到法庭搜查令才去 intercept,套用一句流傳已久的話:「真係侮辱你既智慧,係戇居丫嘛!」 二,即使你在手機通話時沒有說出一些敏感題材,有時單是你與某人之間的聯繫,通話的時間長短,通話的日期及時間(與某些事件發生的日期及時間再作比較),已能夠給予竊聽一方線索。這些線索不是呈堂證據,但這些資料使得協助竊聽方掌握你的人物關係、網絡等等,加上對話內容,你真的覺得沒有問題? 三,我見在網絡上流傳,有人建議不要使用校園 Wi-Fi,聲稱強力部門會向校方查取上網記錄,但之後的建議卻居然是叫人改用手機網絡上網。其實只需要有三個發射塔,就能準確地瞄準使用者的位置。強力部門只要掌握了某天某時某地使用過手機的人,就能大致掌握當事人的身份。所以我看到有人煞有介事地叫人不要用校園 Wi-Fi,而要改用手機上網,是完全拗頭。 四,使用校園公家 Wi-Fi 及手機網絡上網,到底哪個風險較大?那就要看看是所指的是甚麼風險。如果單純從「隱身」的角度去看,假設你沒有使用「太空卡」及「太空機」及「太空習慣」,但又想在某些場合,隱藏自己的痕迹,我反而認為,使用校園 Wi-Fi 可能較能達到這個目的。(但「隱身」很難,不是一張太空卡或太空機就可以,這個題目,有空再寫文談一談。) 五,承上一點,如果不是從「隱身」角度去考慮,只是從數據安全去考慮,其實校園提供的 Wi-Fi 或手機網絡,應該差不多,但大前提是除了平時上網要有 VPN,也應儘量使用有加密協議的通訊方式,同時也不要盲目全信加密後就不會洩漏的風險,聊天時要有所顧忌才對。 六,有些不為人知的網絡漏洞,可以極為嚇人。之前聽了一個美國的網絡保安播客,有個很嚇人的示範,因為聽得太多,不太記得是哪個節目,我大概說一下情況。有位節目嘉賓,本身沒有到達現場,示範了破解 WhatsApp 的方式。他先把一條連結發給主持人,主持人用 iPhone 版本的 WhatsaApp,主持人在 iPhone 的 Safari 瀏覽器上打開了該連結。在同一個 Wi-Fi 網絡的錄音室工作人員,沒有打開過任何連結,但他 Android 手機上的 WhatsApp,就被破解了。在遠處的嘉賓,能窺看到錄音室工作人員手機裡一堆早已刪去的照片。不要全信加密,主要是擔心當中有些未發現的小蟲,也有可能被強力部門使用。 七,總之在 WhatsApp 小組裡,不適宜討論太多敏感資料。Telegram 是否較為安全?可能是吧。有次又是聽某個播客節目(同樣是不太記得哪個節目了),愛德華‧斯洛登(Edward Snowden)接受訪問時,說不想推介聊天軟件,因為不想隨便「加持」( endorse)任何軟件,但轉過頭來又推介使用 Signal,所以我也傾向用 Signal。Signal 是完全開源的軟件,在網絡保安圈子裡極多討論。從使用者的角度而言,偵查能力有限,很難核實某個軟件是否完全可靠,但 Signal 應該會較 WhatsApp 及 Telegram 可靠一點。 Signal 的下載地址:https://signal.org/download/ 有關 Signal 的介紹,請自行看看: https://signal.org/ 八,如果真的要打電話聯絡,最好還是用聊天軟件去打。先考慮用 Signal 打,如果對方沒有 Signal,就改用 Telegram 打電話。若對方的 Telegram 設定為不接收電話或根本沒有 Telegram,就改用 FaceTime Audio 或 WhatsApp Call 打電話。如果以上都用不了,才用電話去打電話。(最後這句「用電話去打電話」,好奇怪啊!) 九,如果你對監控抱持的態度是:「多餘啦,佢哋要查嘅話,點都查到啦。」「我又唔係乜嘢人物,點會查到我?」又或者呢句:「你以為自己講緊幾十億嘅生意咩,驚乜嘢人哋監控你,要諗下自己配唔配囉。」完全無所顧忌的人,只能說聲自求多福。 ——— 照片:Signal 的截圖畫面。另外,最近用多了碎銀,所以買了一個碎銀包,柴犬樣,好可愛,如果真的要給牠一個名字,你可以叫牠做阿 Tin。😆🐶
  • 01/11/2019

    萬聖節之夜

    萬聖節之夜 文:薯伯伯 尋日坐車去到銅鑼灣一帶,再行路返屋企。 忽然有兩個女人過嚟,用普通話問:「不好意思⋯⋯」 我當時戴住耳塞,聽唔清佢哋講乜,就除低耳塞,問佢哋有乜可以幫到手。 點知呢兩個女人,一開口就問:「你不要介意啊,我們有件事想找您幫個忙。是醬子,我們有點困難,想您在附近找個餐廳,請我們吃點東西。」 當時我心情就唔太好,本來諗住萬聖節去蘭桂芳,又封晒路,無得上去飲兩杯。而家忽然見到有兩個三十歲操普通話的華籍外地女子,心想可能是問路,尤其近來多交通改道,遊客問路,當然要幫手。 自己本身好喜歡去旅行,喺外地經常受到陌生人幫助,返到自己家鄉,當然都想幫番其他旅客。即使係中港矛盾好熱烈時,其實我對內地遊客,都算係好幫忙。 點知呢兩個女人,一開口,居然就係典型街頭騙案嘅開端! 我當時忍唔住笑咗出嚟,倒吸一口涼氣,用普通話同佢哋講:「你們真的挺不要臉。」 佢哋大概無估到我咁直接,先係呆咗一下,問我:「甚麼?」 我再講一次:「你們真的完全不要臉!」 然後呢,佢哋就開始逃跑。一個跑向九如坊方向,另一個過咗對面馬路。 我就攞個相機影佢哋,但無影到正面,佢哋繼續咁跑,我都無追上去,只係鬧佢哋: 「你跑嘛!你好意思嘛!要不要臉的!」 當然重有呢一句: 「(你們)把中國人的形象都丟乾丟淨!」 有一個女人跑咗入後巷,我就離開,點知最好笑係,呢個女人沿著後巷逃跑,兜咗個圈,由巷仔另一邊出嚟。我見佢由巷尾出嚟時舒一口氣咁,點知一擰轉頭,又見到我,咁佢又慘豬豬咁即刻跑番轉頭! 完。 注一:如果有人問我,點解確定佢哋係行騙,咁就正如你收到尼日利亞遺產騙案時,係唔需要真金白銀被呃咗錢,先知道佢哋係行騙一樣。但願唔好有人真心膠咁問:「萬一佢哋真係落難異鄉,咁咪好慘囉?」 注二:其實我當時重講咗一句話嚇佢哋,我話:「我要抓你們去報警!」佢哋一聽「報警」,果真嚇到跑得再快啲,證明佢哋真係唔太知道香港嘅情況。 萬聖節快樂! ——— 照片:相片中呢個女人想呃錢,其實有兩個人,但另一個逃生能力較強,跑咗去好遠。 ——— 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」* Instagram 🥑🥭🍉🍌: pazu 新博客:https://pazu.com/blog 另外還要提一提大家: 【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。 在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
  • 30/10/2019

    領袖的同理心

    領袖的同理心 文:薯伯伯 經常強調自己母親角色的林鄭,在召開行政會議前見記者,期間卻有一名 G4 陳姓的女副官暈倒,從現場畫面所見,雖然收音咪不是對準旁邊,但也清楚聽到「澎」一聲巨響。林鄭的反應,卻只是轉頭一看,然後呢,繼續演說,視若無睹。記者會完結後,連半句慰問也沒有,直接離開現場。不少網民對這種態度嘩然,有些人認為林鄭沒有同理心,甚至認為她把身邊侍候的人,當作用完即棄的紙巾。 在我看來,卻非如此。也許林鄭不是沒有同理心,只是把其移情能力過度放大,放大到幾近扭曲的狀態。德國認知科學學者,現任美國印第安納大學布盧明頓分校日耳曼研究系主任的 Fritz Breithaupt 寫過一本關於同理心的書,名叫《The Dark Sides of Empathy》(同理心的黑暗面)。驟眼看來,同理心或移情能力,本來應該只有正面的特質,又怎麼會有邪惡的一面?Breithaupt 在書中指出,人們犯下惡行,有時不是因為沒有同理心,更非不能設身處地去想像他人所承受的痛苦,而是過度把對方的處境,投入進自己的經歷。簡單一句,就是同理心爆棚。 先說生活一點的例子,你有沒有遇過這種情況?朋友之間閒聊,其中一人本來想訴一訴苦,說一兩句抒鬱之話,但另一方卻說:「你以為你好慘,我咪重慘……」然後,他就開始長篇大論地跟你說出自己的悲慘遭遇,並把自己走出困局的故事,投射在你的人生路上,說得好像是只要你跟著他用上相同的方法及努力,所有問題便能迎刃而解。 本來的閒聊,變成「鬥慘大會」。希望訴苦的一方,聽罷別人如此「將心比己」的勵志演說後,卻只更覺鬱悶。不是朋友不能將心比己,而是過度地去用自身的經驗來理解你的苦況。他不是沒有同理心,而是同理心核爆,不單是用自己的腳穿進你的鞋,甚至是用自己的頭塞進你的鞋了。 對於「好打得」來說,也許她曾經五臟六腑翻來覆去,但還堅持面不改容,如期開會。對於「好打得」來說,也許按她的工作能力,認為自己年過六十,但每天仍然能夠工作十小時,六十歲又何嘗不是青年。對於「好打得」來說,也許她強調自己出身基層,全靠一家努力,即有資格購入南豐新邨上樓盤。她秉持著「體謂設以身處其地而察其心」的同理精神,她把自己的需求,當成是別人的需求。她把自己的人生寫照,當成是不同世代的香港人普世標準。 這樣也就不難理解,為何在她的眼皮底下,當一名四十歲的女副官暈倒,她卻不屑一顧。她不是沒有同理心,而是把同理心過度放大。在相同的處境下,林鄭不需要慰問,所以她也從來不會對別人作出同情的慰問。 Breithaupt 在其書中,甚至這樣寫道:「極端的殘酷行為需要高度的同理心。」這句話,套用在公權暴力與慈母憐憫同時盛行的社會,別樹一風,堪值細味,其含意就是:正正因為有人過度使用自己的移情能力,無所不用其極去將心比心,最終得出來的,卻是惡果。 不論是香港政圈、建制中人,或是那些邪惡地堅守中立的人,經常有種美國情意結。明明發生在香港的事情,總會說「如果喺美國發生,就會咁咁咁……」。那麼我們又說一下,如果是奧巴馬時代的美國,總統演說期間,有人暈倒事件,領袖會如何應對。 在 2013 年,美國總統奧巴馬演說時,身後一名孕婦突感不適,身體搖晃,當時本來一直看著前方觀眾席的奧巴馬,居然也能留意到身後異樣,即時暫停演說,叫其他職員扶著孕婦去休息。奧巴馬當時還半開玩笑說道:「這種情況時有發生,當我演說得太久……」連本身不適的孕婦也忍不住笑了,之後重新開始演說時,其風度贏來全場鼓掌。 在 2016 年,同樣是奧巴馬,白宮記者會上,有傳媒突感不適,奧巴馬暫停記招,先安排病倒的傳媒人休息,並說可以用他的醫生辦公室。台下有其他記者致謝時,奧巴馬只說了一句:「當然了!」 做人最需要的特質,除了同理心及移情能力,其實還需要有一點憐憫心,一點慈悲心,一點同情心。做領袖如是,做母親的更應如是。即使是陌生人在你面前暈倒,如果已經有人相助,你可能最需要做的,就只是一句:「你 okay 嗎?」更何況是貼身保護自己兩年有多的副官? 注:網上有些評論,認為林鄭沒有同情心,這個也不盡然。林鄭肯定不是沒有同情心,只是細思極恐,因為她每次發揮同情心時,總有如死亡之吻。她主動給內地來港的老太婆五百元,這難道不是「關愛」?她因為被害女子的父母而推動修訂《逃犯條例》,至少在她口中,這難道不是「憐憫」?在錄影訪問裡,她提到自己身為母親,如何愛護年輕人,之後還動了真情,哽咽起來說自己沒有賣港,這難道不是母愛? 只是,被她關愛的對象,好像都沒有甚麼好收場。也許那名暈倒的女副官,最應該慶幸的,就是成功避過了死亡之吻的祝福一劫。 奧巴馬在演說期間,後面有孕婦暈倒的相關片段:https://www.youtube.com/watch?v=2X10yt_6JrA ——— 照片:行政長官林鄭月娥在召開行政會議前見記者,期間旁邊的女副官突然暈倒,由保安攙扶離場,林鄭卻只是零慰問(起碼在鏡頭前)。圖片來自《立場新聞》。 ——— 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」* Instagram 🥑🥭🍉🍌: pazu 新博客:https://pazu.com/blog 另外還要提一提大家: 【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。 在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
  • 30/10/2019

    隨身鬼椒粉

    隨身鬼椒粉 文:薯伯伯 認識我的朋友,似乎都知道我有個習慣,就是背包裡面經常帶著一堆奇奇怪怪的東西,甚麼也有。記得有次在一個講座上,其中一名講者的眼鏡螺絲鬆了,他問現場觀眾,有沒有指甲鉗,有個尖銳的部份,可以借他來扭緊螺絲。 他當時明明想用螺絲批,為甚麼不直接問人有沒有螺絲批,而是問別人有沒有指甲鉗呢?大概因為他沒有想過,有人會帶一個螺絲批出街,而我當時是真的有一個眼鏡用的那種螺絲批。哈。 而我的行裝裡另一個常備的奇怪用品,就是辣椒粉。香港東西大多不辣,自己又嗜辣,最好自備辣椒粉,用的是印度鬼椒,灑上一點,辣度都算足夠。 不過早前在香港遇到一些緬甸來的學生,期間談起香港的飲食,對他們來說,最不習慣,就是甚麼也不辣。我就從背囊裡拿出辣椒粉,本來只是想給他們試食,見他們喜歡,就送給他們。 之後打算去無印良品,重新買一個 30 毫升的 PET 硬膠小樽來放辣椒粉,以前試過不同的小樽,覺得還是這一款最適合放辣椒粉,如果是軟膠的話,有洩漏的風險,因為放的是印度鬼椒粉,即使只是洩漏了幾粒,碰到紙巾,你再用紙巾抹汗,就會感受得到。當然跟食了胡椒噴霧的情況完全不同,其辛辣級別也不低得多。 但去到無印良品,才發覺硬膠小樽居然缺貨,以為只是一兩間分店缺貨,職員卻說是「全日本也缺貨」。居然會有這種情況?但懶得再去找合適的替代品,就找了個網上代購,多花數元便能解決問題。 在萬聖節前夜的前夜,終於收到小樽,就在晚上,戴著口罩,重新倒進一些鬼椒粉,洗一洗樽身,再放回背囊。至於鬼椒粉,朋友之間會半開玩笑地問,我把鬼椒放進背囊,怕不怕被人說是有「攻擊性武器」呢? 這幾個月,背囊的行裝工具,其實還真的有一點改變。以前會帶一個開瓶器,但因為上面有一個小小的鋒利邊緣,為免惹來麻煩,在查包時被當成是攻擊性武器,也就放棄了那個開瓶器,換成另一個看起來是登山扣,實際上是登山扣加開瓶器的開瓶器。沒想過香港有一天,居然變成了「兩張八達通就被懷疑盜竊」、「三個人要有不反對通知書」的威權社會,帶個開瓶器,也只好儘量小心。 至於鬼椒粉,這個較難取代,又是心頭好,也就繼續隨身攜帶算了。 ——— 照片:把鬼椒粉倒入小樽,戴口罩不是做個樣拍照。有次沒有戴口罩去倒鬼椒粉,辣粉飄進呼吸道,咳死。 ——— 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」* Instagram 🥑🥭🍉🍌: pazu 新博客:https://pazu.com/blog 另外還要提一提大家: 【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。 在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
  • 22/10/2019

    規矩與禮數

    規矩與禮數 文:薯伯伯 最近,香港警隊以藍水炮褻瀆九龍清真寺,使穆斯林感到冒犯,事後香港女高官前往清真寺示好,卻因為沒有戴頭巾,而招惹不少市民反感。獨立新聞工作者張翠容就此事請教了一位清真寺委員的看法,他認為林鄭不是穆斯林,不戴頭巾也沒關係。而香港的清真寺,本身也確實沒有強制規定到訪的女士要戴頭巾。 有些人可能會覺得,既然清真寺本身沒有規定,而本地的穆斯林也不覺冒犯,那我們身為非穆斯林,還有甚麼必要討論呢?但有關參觀寺廟的規定,因為自己本身經常遊走不同的宗教聖地,我還是覺得有必要再談論一下。 有次帶一班香港遊客去西藏拉薩附近的扎葉巴寺朝拜及參觀,進佛殿的時候,遇到一位認識多年的僧人。他很友善,見面時總會捉著我的手,親切地打招呼,又用額頭輕碰我的額頭。當時同行的遊客姨姨問可否跟僧人拍照,我用藏語問僧人,僧人親切笑著說可以,就招手叫阿姨過去拍照。我這時就輕聲地提醒遊客姨姨:「等一會如果僧人邀請你坐在座墊上,按照習俗,最好還是不要坐。」果然,僧人跟遊客姨姨合照之時,友善地邀請遊客姨姨坐在旁邊,但遊客守規矩,只是蹲著跟僧人拍照留念。 為甚麼我要特別提醒遊客不要坐上座墊呢?因為那些座墊是專門給僧人使用,按照習俗,而非硬性規定,俗家人不應該隨便亂坐。不少僧人面對這些施加在他人的規矩,相對寬心,也不強求,這是他們的修為,但身為外地遊客,到訪宗教場所,即使別人沒有硬性規定,但也應該主動做好應有的規矩,這叫禮數。 多年前參加一個法會,達賴喇嘛跟一群華人的信徒見面並開示佛法,尊者提到,按歷史的次序,中國先於西藏有佛教,所以華人算是師兄,藏人算是師弟,尊者說:「我代表藏人,向華人的師弟,行個弟子之禮。」說罷彎腰鞠了一躬,行了一禮。 尊者言辭風趣,但眾人見他對自己行禮時,雖然笑了,但立即站起身還禮,有些還行了三頂禮,以示尊重。之後尊者語帶幽默地補充一句:「但我經常跟華人的師兄說,有時候師弟學習,可能比師兄好的啊!」(眾人聽罷,又是一邊笑著,一邊點頭認同。) 以尊者的修為,肯定不會要求俗家人甚至弟子守著繁瑣的規矩。就像是數年前 Lady Gaga 跟尊者會面時,可以肯定是達賴喇嘛,也不會對 Lady Gaga 的衣飾有任何限制,但 Lady Gaga 卻還是會穿著得較為端裝才見面,這也是尊重。 又例如不少人知道藏人有獻哈達的風俗(哈達即白色絹布,象徵純潔,作祝福用),但卻往往搞錯儀式。好像在數年前,有漢人學者跟尊者見面時獻哈達,居然直接把哈達戴到達賴喇嘛的脖子上,其實是僭越之舉,失了禮節。尊者是大自在者,不在意繁文縟節,也就欣然接過,絲毫沒有責備之意,而那名漢人學者,估計也只是無心之失,但怎樣說也好,就是失禮了。 自己去過很多穆斯林的國度旅行,接觸了不少穆斯林,感覺他們對非穆斯林,其實都很包容。我試過在齋戒月,到訪阿富汗首都喀布爾的民居,他們自己雖然不吃不喝,但還是給我端上清茶及糖果。我也試過在伊朗東北馬什哈德的伊瑪目禮薩聖陵裡,跟阿訇(宗教老師)及信徒聊天時,他們問起我的宗教,我說佛教,然後就叫我唸一段佛經給他們聽。我當時說,這裡是清真寺,唸佛經好像不好吧。但那位阿訇說沒關係,說都是愛與慈悲。我推了兩次,見他們還是叫我唸,便唸了一段。阿訇問我意思,其他懂英語的朝拜者幫忙翻譯,我簡單解釋說,如果是善男子善女人,就能見到佛。阿訇還舉起雙手,開玩笑地說了句:「Didam!」(我看見了。)其他信眾也就笑了起來,對我這名非穆斯林也極為包容。不過包容還包容,如果我純粹因為伊朗阿訇的包容,就以為自己可以在任何清真寺裡都唸佛經,那就是失禮之舉了。 有不少香港人,經常說國際標準,典型的語句樣式是這樣:「如果喺外國,啲警察早就⋯⋯」那麼我們也說一下,如果在外國,女性的政治人物在清真寺,是如何穿著。隨便在網上一搜,就能見到英女皇伊麗莎白二世,荷蘭碧翠斯女王,英國劍橋公爵夫人凱蒂,紐西蘭總理傑辛達·阿德恩,美國小布殊太太 Laura 等等,全都選擇在清真寺裡戴上頭巾。戴上頭巾,不是順從或屈服,只是純粹表示尊重。 有些人把尊重及規矩搞錯,以為沒有違反規矩,就是尊重,其實兩者截然不同。例如,在日皇登基禮上,估計沒有規矩禁止訪客玩手機,但你代表香港出席,卻在如此莊嚴的場合,自顧自玩起手機,還要被人拍到,就顯得不尊重了,這就是規矩及尊重的分別。 別人寬心處事,包容非信徒的越禮之舉,是一回事,但總不能把別人的包容,當作失禮的開脫之詞。尊重的本源是禮數,而以何種方式去體現尊重,還在乎見識與常識。若然這句說話出自父母之口,那就是家教了。 ——— 照片:數年前到訪伊朗東北馬什哈德的伊瑪目禮薩聖陵外邊,遇到一對來自 Qaem Shah 的夫婦,妻子名叫 Parisa。她穿著的,是由頭包至腳底的大袍,叫做 chador。在伊朗的氣氛相對保守,拍照前問了同意,拍照之後,我跟她的丈夫握手,之後把手放在自己心口,向女士點頭道謝。怎料她居然從 chador 中遞出右掌,主動跟我握手道別。在伊朗,還是那句:有時真係估你唔到,摸不透。照片攝於 2014 年 3 月底。
  • 開路是規定與交易,不是施舍 文:薯伯伯 很多年前,我在銅鑼灣時代廣場的大電視下,倚靠在一個欄杆上等人兼休息一會,怎料管理員說,不能靠在欄杆上。那時我很驚訝,怎麼連倚靠在一個欄杆也要管呢?後來發現,市民坐在花槽位置,或只是逗留太久,也可能被保安驅趕,管理擾民,也甚嚴苛。但是,當年還是天真無知,心想這裡是時代廣場的地方,那個人是時代廣場請的保安員,他這樣說,估計是公司規定,那也無法。 倒是過了多年之後,有一群有心又有力又有學識的人,翻查當年九龍倉集團跟屋宇署簽訂的公用契約,原來規定要開放羅素街和勿地臣街交界處的廣場地下部分共 3017 平方米給公眾作「公共通道、靜態消遣及展覽用途」。正是這宗新聞曝光之後,我才知道原來香港有很多看似是私人的地方,必須要開放給公眾使用,業主或管理公司根本無權封地或封路。 近日在遊行期間,不少商場、商廈,卻無故封路,其實也是違反了地契。記得有次想從某幢商廈經過,通道的玻璃門卻關上,還貼出「此路封閉」的告示。門外站著一個保安員,我表示想通過,因為如果不經此路下去,則要繞一個大彎。保安重申路已封,我便把封路的告示拍下,準備投訴。 這時有一名似乎是管理職級的員工過來,他問我做甚麼,我不是說我想通過,而是直接問:「你確定你哋按照地契,係有權限去封呢條行人道路㗎?」管理職級的人員之所以能夠做到管理職級,估計就是對危機有一定的嗅覺,他見我拍照,又提地契規定,顯得大為緊張,問:「你……你係代表乜嘢機構先?」我說:「我唔駛代表乜嘢機構啊,我代表我自己咋。我以市民嘅身份,要通過呢條路。」 我要強調一下,我當時的用語及語氣,也是頗為友善,但管理人員卻好像覺得來者不善,轉個頭就叫了一名尼泊爾籍的保安人員來,押送我行樓梯下去。 我問管理人員:「你做乜叫個保安員押送我落去呢?」 管理人員說:「唔係啊,我只係叫佢陪你咋。」 陪我?我很寂寞嗎?為甚麼要你陪呢?雖然後來我真的一邊走,一邊跟友善的尼泊爾保安員聊了一會尼泊爾的風土人情,還提起年初在尼泊爾徒步之事,但後來,我還是投訴了。投訴的不是員工,而是大廈。 投訴的方式很簡單,不用花上太多精力或時間寫信,不用以身犯險去報警,只需要打個電話就行,就是 1823,當時線路繁忙,接了去電話錄音留言。我在電話裡說: 「我喺今年 X 月 X 日 X 時 X 分,經過 XX 區 XX 道 XX 大廈時,想使用連接地下及上層嘅公共行人通道,但係當時門口閂咗,並貼出咗封路嘅告示。我懷疑佢哋違反咗《一九八零年或以後落成而須根據地契要求向公眾提供設施及或或休憩空間的私人發展項目》嘅相關規定,所以我想向地政總署投訴。」 沒錯,我是一字一句一口氣,尤其尾二那一句,清清楚楚地說出來。錄音留言後,就掛上電話。過了一兩天 1823 電話中心的職員就致電給我,他說:「我哋收到你嘅投訴,想跟進一下,你而家有冇時間呢?」 我話有啊,他就一字不差地,說出: 「你之前打過電話嚟,表示想向地政總署投訴。因為你喺今年 X 月 X 日 X 時 X 分經過 XX 區 XX 道 XX 大廈時,想使用連接地下及上層嘅公共行人通道,但係當時門口閂咗,並貼出咗封路嘅告示。咁我哋查過資料,你都講得好清楚,佢哋可能違反咗《一九八零年或以後落成而須根據地契要求向公眾提供設施及或或休憩空間的私人發展項目》嘅相關規定,我哋會將你嘅投訴,轉交畀地政總署。」 而他還說了一句:「另外有關跟進嘅結果,你係咪唔需要我哋將你嘅資料交畀被投訴嘅一方呢?」哦,當然不要讓被投訴一方得知你的電話或姓名啦,謝謝提醒! 過了剛好六十天,我就收到一個跟進的短訊,短訊的內容如下: ——— 發訊人:+852-61631823 主旨:投訴 XXXX 違反地契(檔案編號:XXXX) 就你於 2019 年 07 年 XX 日的個案,地政總署的回覆如下: 「本署 [己] 向業主發出勸諭信,要求他們採取適當行動以糾正此情況。本署在 08 月和 09 月進行的現場檢查,有關投訴的通道沒有出入的管制。」 如有任何查詢,歡迎與我們的職員聯絡。 1823 客戶服務主任 XXX 謹覆 2019年 9 月 X 日 ——— 香港有不少看似是私人的通道或空間,根據地政總署、屋宇署或發展局等的規定,也是要開放給公眾使用。這不是施舍,而是私人企業與政府的交易。以銅鑼灣時代廣場為例,他們開放了 3017 平方米給公眾作「公共通道、靜態消遣及展覽用途」,換來的好處,卻是增加了約 2.1 萬平方米的樓面面積。 其他私人發展項目開放地方給公眾使用,除了豁免樓宇面積,還有其他補償優惠等等。政府開出這些條件,也是慨香港市民的慨。所以,公眾空間不是施舍,而是交易而已,市民應該要努力爭取其使用權。 我祈盼各界讀者,可以一起做一件事。如果你看到一些大型商場或商廈無故封閉,阻礙路人使用其通德,請立即到以下兩個網址,查看該管理公司有否違反地契。 如果有違規情況,請立即致電 1823,清楚說明: 日期 時間 地點(及通道的行走方向等等) 封閉的情況 涉嫌違反哪個規定 向哪個部門投訴(例如地政總署或屋宇處,如果不清楚的話,可以不說,1823 會建議) 表明不想把投訴人的資料交給被投訴一方 據我所知,不少政府工作的有心人,往往礙於身份,對很多違規事宜不便明言,他們等的,就是一個熱心市民的正式投訴。 ——— 照片:這是我在今年 7 月份投訴某大廈違反地契後,收到 1823 電話中心的回覆,我把部份可辨別投訴人身份的資料隱去,不是害怕,只是覺得沒必要把所有細節也公開。
  • 電腦手機網絡安全(四):有關安全鑰匙 YubiKey,你問我答 文:薯伯伯 早幾天寫了一篇文章,提到二步認證的安全鑰匙 YubiKey,無獨有偶,《立場》的另一位博客,《茉莉花開:中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司,希望他們可以贊助香港抗爭者五百條 YubiKey,在核實身份後,這家瑞典公司慷慨地向寄出了五百條 YubiKey,實在令人感動。 我發覺不少人對於 YubiKey 的功能及用法均有誤解,甚至有人認為「有伏」,或誤以為用上 YubiKey 後反而更危險。我回應了一些評語,整合之後發到自己的臉書專頁,《立場》的編輯看到,問可否轉載到《立場》,所以我又花了一點時間,再次整理一下文稿,就成了這篇文章。以下的問題,部份是在陳婉容的臉書帖文評語區選取,我把部份的用字修改。 一 問:若果硬體及 YubiKey 都被其他人拿到,怎辦? 答:即使其他人取得你的 YubiKey,也不能單單使用 YubiKey 便登入你的帳戶。「二步認證」是需要你本身的密碼,以及一個額外的認證因素,才能登入戶口。所以如果別人只是取得你的 YubiKey,但又沒有得到你的帳號密碼,那也是沒有辦法登入你的帳號。 二 問:我本身已經用 Authenticator app 去做二步認證,而不是用手機短訊,那為甚麼仍然要用 YubiKey 呢? 答:用 authenticator app 去做認證,本身已經算是較為安全,但相比起 YubiKey 或其他硬件認證,使用 app 較為花時間,也可能因此較難歸入日常網絡安全生活的一部份。 先說明一下,我強烈建議每次上網之後,都要登出 Facebook 及 Gmail 的戶口,不要長期處於登入的狀態,儘可能避免使用 Facebook app 或 Gmail app,最好是用瀏覽器登錄,並設定瀏覽器關閉的時候,會自動把 cookies 刪除。又或者乾脆使用「隱私模式」,不留痕迹。要把登出及登入,變成上網的常態,要反複練習。 如果你一天要登錄帳戶五次,假如用的是 app 去做認證,安全是安全,但每次都要先找來手機,輸入手機密碼,打開 authenticator app,可能也要再輸入一次 app 密碼,取得六位數字後,再把六位數字傳去電腦,或手動輸入,再按確認,這樣才能登入戶口。 但如果有 YubiKey 或其他硬件認證,過程就相對快速。先輸入帳戶密碼,把 YubiKey 插進電腦,便能登入(注意是密碼加硬件,單靠 YubiKey 是不能登入)。如果你所處的環境是較安全,例如數小時裡都在家中,那隻 YubiKey 可以一直插在電腦,雖然不算完美,但尚能接受。 用上二步認證,是極為關鍵的保安措施,但很多人是因為二步認證的過程繁瑣,所以棄用或懶得去用,從而嚴重危害到戶口安全。YubiKey 的作用,是加速了二步認證的速度,但又不會降低安全系數。 三 問:我應該要有一條還是兩條 YubiKey 呢? 答:按官方的說法,最好是兩條,因為一條常用,一條做後備。但對於大多數用戶來說,其實用一條也是足夠。我會建議大家先買一條,再以其他方式去做後備的密碼重設方案,例如 YubiKey 加上 authenticator app,或記下後備的認證碼(通常有八組,可以交給朋友代為保管)。不過後備的密碼重設方案,不應該用自己的手機號碼。 至於是否需要用兩條,如果你本身打算參加 Google 的高級保護計劃(Advanced Protection Program),你是必須有兩條鑰匙。不過參加了這個計劃之後,使用服務時是極為不便,尤其如果你是用 iPhone 就更為麻煩。(即使是講到明支援 iOS Lightning 接頭的 YubiKey 5Ci,還是不支持 Google 的高級保護計劃認證。) 方便與安全,往往是對立,要取得一個平衡點。我覺得二步認證的安全系數已經足夠,除了特殊的人群,大多數人也沒有必要參加高級保護計劃。而對於不打算參加高級保護計劃的用家來說,一條鑰匙,也是足夠的了。 四 問:YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal? 答:YubiKey 不支援 WhatsApp、Telegram 或 Signal,所以不會影響你使用這些聊天軟件。 YubiKey 支援的服務,常用的包括 Google 戶口、Facebook、Dropbox 等,還有很多,這裡不一一列出。 五 問:Google 官方推介的那款安全鑰匙,叫 Titan,為甚麼你反而要推介瑞典出品的 YubiKey? 答:Titan 的製造商是飛天誠信(Feitian Technology),總部設於北京。這家公司獲得不少國家認證及讚許,並對其安全產品及科技成就作出高度的認可及肯定,目前並沒有證據顯示這家公司的產品有後門或安全漏洞。 所以,我選擇用瑞典及美國製造的 YubiKey。還有,大家可以比較兩者的設計,YubiKey 真係靚仔好多。 六 問:如果有人用 YubiKey 插進我的電腦,是否沒有密碼就能直接打開電腦? 答:這個要看你如何設置,如果你想設置為開啟電腦時,要先輸入密碼,再插入 YubiKey 才能登入電腦,那你應該要使用 pluggable authentication module(PAM,可插拔認證模塊)。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide 如果你是用 PAM 模塊的設定,即使別人取得你的 YubiKey,也不可以打開你的電腦,他是必須有你的 YubiKey,加上你的密碼,才能登入電腦。 不過話又說回來,如果是使用電腦,只要設定妥當,其實不用 YubiKey 開機,也算安全。因為我是用 Mac 機,也只能用 Mac 機的情況去說一下,如何才算安全。 你常用的開機戶口的權限只是 standard 而不是 admin。 你的硬盤本身有開啟加密,即 FileVault。 你本身 admin 及 standard 的戶口密碼夠強。 這三點當中,以第三點最為容易被用家忽略,很多人為了貪方便,開機密碼簡單到不能再簡單,很易被破解,尤其開機的密碼,是容許不停試,即可以使用「蠻力」(brute force)去猜度,所以一定要小心選擇。至於如何選擇強勁密碼,不妨參考骰子密碼法(Diceware),詳見:https://en.wikipedia.org/wiki/Diceware 大家也可以去這裡測試一下自己的密碼安全程度,不要輸入真的密碼,差不多就可以,我的密碼,聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/ 七 問:我本身用密碼管理器,密碼是極為複雜,這樣不是已經很安全了嗎?為甚麼還要用 YubiKey? 答:即使是再安全的密碼,如果你的密碼管理器被破解,又或是被人安裝了鍵盤記錄器(keylogger),再複雜的密碼也沒有用,入侵者照樣可以輕易登入你的帳號。所以一定要有二步認證,而為了加快二步認證的過程,並把這個過程變成生活一部份,用硬件認證,是較好的方式。 當然,如果你真的覺得 authenticator app 已經足夠,其實也不一定要付費買安全鑰匙。只是,我兩者皆用過,我覺得鑰匙方便很多。 八 問:為甚麼我覺得有伏?真的安全??這個東西有沒有後門? 答:可能因為你不了解個技術,所以覺得有伏。 九 問:我是用 iPhone,為甚麼我覺得這類產品對 iPhone 的支援,好像很弱很不足呢? 答:因為這類產品,對 iPhone 的支援,真的很弱很不足啊!即使 YubiKey 出了一款 5Ci 有 lightning 連接頭,但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone,我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano),而不用為 iPhone 買 5Ci 那款,那個 lightning 接頭很雞肋。 對於 MacBook + iPhone 的用家來說,最適合的方案,是在 MacBook 用 YubiKey,在 iPhone 還是用 authenticator app。 十 問:可以在哪裡購買 YubiKey? 答:上官網 Yubico.com,或是去官方認可的香港分銷商。 購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。 其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。 Yubico 的官方網站顯示,在香港有一個官方認可以的分銷商:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。 ——— 延伸閱讀: 《Yubico 贊助香港抗爭者世上最強網上保安鎖匙Yubikey》(文:陳婉容):https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1 電腦手機網絡安全(一):SIM 卡鎖:https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/ 電腦手機網絡安全(二):簡介二步認證:https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/ 電腦手機網絡安全(三):二步認證的驗證因素:https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/
  • 電腦手機網絡安全(三):二步認證的驗證因素 文:薯伯伯 之前提到要為 SIM 卡上鎖及二步認證,兩個方法是最為基礎的網絡保安措施,實行起來也相對簡單,所以先行在前面兩篇文章介紹了。但要強調,即使鎖上了 SIM 卡及用了二步認證,還是有風險,其中脆弱的環節,是 SIM 卡的安全問題。例如在 2018 年,美國著名網站 Reddit 一批員工的戶口被盜,入侵者是在沒有取得受害者手機的情況下,騎劫了 SIM 卡。 所謂「SIM 卡騎劫」,方法很多,例如冒充卡主打電話去電訊公司,申請更換 SIM 卡,又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證,既要顧及客人觀感,又要顧及私隱保安,確是兩難。我有一位做客戶服務的朋友說,卡主登記人是女性,但如果有人用男人的老牛聲打上台,只要對方說自己是女人,他們也不能質疑,否則可能成為公關災難。 就算不用打上台冒充卡主,還有不同的方式去攔截 SMS,上網搜查 SMS interception,即能搜到一大堆示範片段及方法。所以,使用二步認證雖然較為安全,但若然用了較不可靠的驗證因素,便會削弱二步認證的保護力量。 那麼,我們應該如何選擇二步認證的驗證因素呢?常見的驗證因素(factor),包括了以下三類: 一,手機短訊 二,軟件認證 三,硬件認證 軟件認證,就是在手機下載一個專門的動態密碼產生器,即 authenticator,每分鐘也會顯示一組六位數字的驗證碼。操作的情況是,不論在手機或電腦登錄二步認證的網站,先輸入戶口本身的密碼,再在手機上打開動態密碼產生器,取得六位驗證碼,再輸入到網站,才能登入。 動態密碼的手機軟件,最常用的是 Google Authenticator,但這個軟件本身沒有上鎖功能,萬一別人取得你手機的開機密碼,就能進入,感覺還是不太可靠。我推介另一款,叫 Lastpass Authenticator,可設置六位的開啟密碼,Lastpass 本身也是另一家非常有名氣的密碼保安公司,使用起來更覺安心。 具體的設置方式如下,只以 Google 戶口做例子: 先在手機下載 Lastpass Authenticator,地址在: https://lastpass.com/auth/ 免費的(如果要備份,需另外付費,但其實不備份也可以)。 之後用手機或桌面電腦的瀏覽器: 登錄 https://myaccount.google.com/security 並輸入密碼。 選擇「兩步驗證」。 重新輸入 Google 的戶口密碼。 選擇「Authenticator 應用程式」 選擇 Android 或 iPhone,按下一步,出現二維條碼。 在手機上打開 Lastpass Authenticator 的 app,按右下方「+」號,選擇 Scan Barcode,再掃一掃上一步驟顯示的二維條碼。 用手機掃完二維碼之後,在瀏覽器中的二維碼畫面,按「下一頁」。 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼,再按「驗證」。 完成。 (以上步驟,其實按著電腦或手機上畫面的指引去做,可能更為容易。) 其他戶口,例如 Facebook、Dropbox 等,也可以類似的方式註冊,但 Apple ID 不支援這個硬件鑰匙的驗證方式。 之前介紹了手機短訊,以及軟件認證,那麼還有一個方式,即硬件認證。所謂硬件認證,即「安全金鑰」,就是一隻 USB 手指(也有 NFC 無線介面)。操作的情況是,當你用電腦上的瀏覽器登錄戶口時,輸入戶口密碼後,要插入「安全金鑰」,再用手指摸一摸上面的金屬圈,這樣才能登錄網站。 其中最廣為人知的「安全金鑰」,是 Yubico 的出品,官方網站是:https://www.yubico.com/ 網站上有多種產品,眼花瞭亂,選擇上,第一個應該考慮的,是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭(尤其 Lightning 插頭,支援實在太少),有點雞肋,可有可無。 如果你用的是 MacBook/PC 及 iPhone,我較為推介的款式,是: YubiKey 5 Nano(HK$ 390) YubiKey 5C Nano(HK$ 470) YubiKey 5C(HK$ 390) 至於 YubiKey 5Ci(HK$ 550),雖然多了一個 Lightning 插頭,但目前支援的軟件太少,有點雞肋。至於 Android 用戶,因為不太肯定實際的支援情況,在此就不詳述了,有經驗的讀者,請在評論區裡分享一下看法。 另外,要留意不是所有瀏覽器也支援使用 YubiKey,支援的瀏覽器包括 Firefox, Chrome, Opera,但是 Safari 則不支援。如果你本身是習慣用 Safari,即使不是因為 YubiKey,其實基於保安及私隱考慮,也建議儘早改用 Firefox。 購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。 在 Yubico 的官方網站,查看各地的代理名單,在香港有一個官方認可以的代理,是:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。 另外,不少人喜歡把手機號碼作為二步認證的其中一個驗證因素,這個用起來雖然方便,但如果你本身已經有軟件認證的 Authenticator 應用程式,又或是硬件認證的安全金鑰,不妨考慮把手機認證這個因素移除,又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口,也可以考慮把 Google Prompt 關掉,至於備用驗證碼,也建議寫在安全的地方,例如告訴可靠的朋友,沒必要放在家裡或身上。 登入戶口當然麻煩了,但謹記一點,如果你總是不用做任何登入步驟,就能自動進入戶口,代表的不只是方便,還有漏洞。 ——— 照片:幾部老爺智能手機,是 Treo 系列,分別是 650 及 680,都算是我用過的手機裡,最讓人懷念,但又完全不想再重用的智能手機,攝於 2010 年 5 月。
  • 電腦手機網絡安全(二):簡介二步認證 文:薯伯伯 前文提過,如果有人取得你的 SIM 卡,可能用這個號碼來重置你的聊天工具、電郵戶口、社交媒體的密碼,所以 SIM 卡最好上鎖。但只是為 SIM 卡上鎖,絕對不足以應付各式情況,因此必須加強戶口本身的安全,其中一個有效的方法,是二步認證。 所謂「二步認證」,即 two-factor authentication,簡稱 2FA,是指登入戶口時,除了要有密碼,還要有其他認證的「因素」,例如額外的密碼、手機短訊,軟件認證、USB 鑰匙等等。 不同的 2FA 認證方式,也有不同的安全級別,以手機短訊最為方便,但也最不安全,這方面要另文再述。在這篇文章裡,還是先以手機短訊的方式,談一下二步認證的具體操作。 WhatsApp 的二步認證: 當你在新手機上安裝 WhatsApp 後,一般的登入方法,是插入 SIM 卡,收到一個短訊,裡面有個六位認證碼,輸入就能登錄 WhatsApp。這個方法過於簡單,很大風險,所以要二步認證。 啟用二步認證後,除了要輸入短訊內的六位認證碼,還要再輸入一個自訂密碼,設置方法如下: 打開 WhatsApp – (右下方)設定 – 帳號 – 雙步驟驗證 – 自己選擇一個六位數字的 PIN,不要用生日日期。考慮輸入一個後備的電郵地址,萬一忘記了 PIN,可以重設戶口。(但如果你百分之百肯定不會忘記 PIN,就不要額外設定復原的電郵地址,因為越多重設的渠道,也就代表越多保安的漏洞。) Google 戶口的二步認證: 打開 https://myaccount.google.com/ 選擇保安或安全(Security),如果用桌面版,在左邊。如果用手機版,則在 Google Account 字樣下方的菜單,要用手指向左掃一掃才能看見。 開啟二步認證。 輸入戶口密碼。 選擇手機短訊的欄目,輸入手機號碼,收到六位認證碼,輸入再確定。 Facebook 的二步認證: 打開 https://www.facebook.com/settings 。 在左邊選擇保安及登入。 選擇「二步認證」,輸入戶口密碼。 在文字訊息一欄,輸入手機號碼,按指示再確認。 Apple ID 的二步認證: 在 iPhone 打開設定 – 點選「你的名字」 – 密碼與保安,再按畫面上的指示去開啟雙重認證。 留意,以上的中文按鍵譯名,在各個版本可能有些出入,但設置上大同小異,不難自行摸索,就不一一細說了。至於服務是否支援二步認證,可以參看這個網站: https://twofactorauth.org/ 這篇文章裡提及的二步認證 2FA,均是使用手機短訊方式,但是手機短訊本身也有風險,例如在遠處被人偷取手機短訊的內容,即所謂的「SIM 卡騎劫」。在下一篇文章,我會再分享一下二步認證的其他「因素」,例如軟件認證、USB 鑰匙等。 請記住,煩瑣及保安,有如魚與熊掌,不能兼得。如果你登錄戶口時總是輕鬆自在,往往不是代表方便快捷,只是有保安漏洞,很易被入侵而已。 ——— 照片:前往西藏阿里的路上,當時手機裝了一大堆 apps,現在想來,當中滿是保安隱患及風險。攝於 2018 年 10 月 20 日。
  • 電腦手機網絡安全(一):SIM 卡鎖 文:薯伯伯 有一個很基本的手機安全防禦措施,設定容易,但卻有很多人會把之忽略,就是要為 SIM 卡上鎖。SIM 卡出廠的時候,本身是有一個四位數字的 PIN 密碼,以及通常會預設不上鎖,所以也就特別容易被人忽略。先說一下,如果沒有上鎖,會帶來甚麼風險,在文章末段,則會介紹上鎖的方法,心急的朋友,可以先跳去分隔線下面看。 假如你的手機 SIM 卡沒有上鎖,萬一有人檢獲你的手機,即使你的手機本身有密碼,但匪徒只需要把 SIM 卡取出,就能接收訊息。若然你主要的通訊軟件或社交媒體帳號,都是綁定了該手機號碼,而你又從來沒有設置過雙重認證,匪徒就能輕易而舉,用你的手機接收一個六位數字的驗證短訊,並登入你的 WhatsApp。更甚者也可以重設社交媒體或電郵帳號的登入密碼,冒充你的名字發送訊息(最理想是避免一個手機號碼就能重設帳戶號碼,但有機會另文再談)。 當然,如果你的朋友夠謹慎,他們看到你的密鑰改變,也許會起疑心,但估計很多人不會太過在意。另外萬一你一拼遺失的物件,不只手機,還有信用卡,若用信用卡網上購物,往往也有短訊驗證,但對於沒上鎖的 SIM 卡,匪幫只要換另一部手機,也可以輕易收到驗證短訊。 當別人掌握了你的手機卡,其實可以從多方面去冒認你的身份。如果只是冒認朋友去騙取增值卡,最多只是破財。但萬一這些下流的匪幫所做的不只謀財,或根本不是謀財,而是害命,若然 SIM 卡沒有上鎖,他們是很容易用一些短訊的認證,去登入你的戶口,喬裝成你的身份,去發佈一些更新,從而製造看似未死的證據。這個說法是否太荒謬呢?也許是吧,但這個世界早已荒謬得毫不熟悉。 總之,一定要把 SIM 卡上鎖。這個肯定不是一勞永逸的方法,還有太多有關手機保安的注意細則,但這個安全措施簡單卻又易被忽略,所以先介紹一下。 ——— 我是分隔線 ——— 首先要做的,是確保手機的短訊沒有預覽功能。由於我是用 iPhone,所以只用 iPhone 做介紹,但 Android 應該也大同小異。 一,關閉短訊預覽功能。 先要防止在鎖機的情況下,在鎖機畫面顯示短訊的內容。即是必須打開「訊息」的 app,才能看到訊息內容。 方法:設定 – 通知 – 訊息 – 在「顯示預覽」一欄,選擇「永不」。 二,更改 SIM PIN 密碼。 (警告,如果輸入 SIM PIN 三次都錯誤,SIM 卡就會鎖死,要用另一個八位數的 PUK 密碼才能重設,也有可能要去電訊公司換新卡,換卡費通常是 50 元港幣左右。你明白這個鎖卡的風險嗎?如果明白,可以讀下去。如果不明白,那麼就不要試。) 方法:設定 – 流動網絡 – SIM PIN – 選擇開啟 SIM PIN。 輸入預設的 SIM PIN。 注意,不少電訊供應商,均預設為 1234 或 8888 或 0000 或 1111。但考慮到輸錯三次密碼會鎖卡,而重置卡密碼要花時間或花金錢,所以如果你在第一次輸入 PIN 時,先在 1234 或 8888 或 0000 或 1111 當中選一組,最多只試一次或兩次,如果不對,就不要再嘗試,直接打給電訊公司查詢。 以下資料,只供參考。預設 PIN: 自由鳥:1234 1010:0000 CSL:0000 Sun Mobile:0000 中國移動:8888 3香港:8888 數碼通香港:1234 之後選擇「更改 PIN」。 輸入新的四至八位的數字,當然不要用生日日期。 以後你的 SIM 卡拔出後再插回同一部或另一部手機,又或是手機重啟,都需要輸入四位數字的 SIM PIN,若然連續三次輸錯,手機卡便會被鎖定,並要到營運商才能重設密碼或甚至補卡。 因為這種密碼不算常用,而且只有三次輸入的機會,所以建議在安全的地方寫下這個四至八位號碼。又或是初設之後,記得每晚記得要把手機關機,開機時熟習一下輸入 SIM 密碼的過程。 ——— 我發覺身邊不少朋友,往往不太在意電腦或手機的安全設定,是想認真地寫一些文章,探討相關問題,但因為設置上相對瑣碎,也就用較為隨意的方式去寫,想到甚麼,就寫甚麼。 如果你覺得這篇文章對身邊的朋友有幫助,請分享,好人一生平安! ——— 照片:在伊朗的電訊公司開 SIM 卡,職員很友善,但過程頗為繁複,攝於 2014 年 3 月 7 日。