密碼的長度是安全性的黃金標準,其他的通通是廢話

Long password

無數網上服務都依靠密碼來驗證用戶的身份,為了鼓勵用戶使用複雜的密碼,幾乎所有網站都有某些密碼政策,例如要求密碼最少 6 個字符,必須包含大小寫英文字母和標點符號等等。這些所謂密碼政策,絕大部份都是由自以為是安全專家的人構想,或者是懶惰的管理員從人家處抄過來使用。其實,真正有用的密碼政策只有一個,就是密碼的最短長度,其餘的通通是廢話。

繼續閱讀

比學生作品更差劣的網站: IBANSPORT

ibansport

最近有朋友使用 IBANSPORT 網站報名跑步比賽,事後向我猛吐苦水,說過程中一步一碰壁,幾乎每一步都撞到系統錯誤,雖然有錯誤訊息,但卻毫無幫助,令人不知何去何從。

IBANSPORT 是香港一間計時晶片公司,與很多體育團體合辦跑步比賽,很多賽事都必須在他們的網站報名,網站已經運作多年,我好奇之下造訪一下,結果令我大吃一驚。簡單的說,為了保護大家的個人隱私,儘快把自己的資料刪除,不要再使用這個網站。

繼續閱讀

不能信任 1024 bit 的 DH 質數

Diffie-Hellman 密鑰交換算法,簡稱 DH 算法,是整個互聯網安全性最重要的基石,無數通訊協定,包括 VPN、SSH、HTTPS 等等依賴它建立加密通道,DH 算法需要一些質數作為運算基礎,有研究人員發現,部份使用特定程序產生的 1024 bit 質數具有數學上的弱點,使用這些質數建立的加密通訊,比使用真正隨機產生的質數建立的加密通訊,容易破解一萬倍。

繼續閱讀

CentOS 7 下安全配置 SSH (二)

我們在第一篇文章討論了一些在 CentOS 7 中配置 SSH 的方法,那些都是比較容易實作、容易理解,對用戶體驗的影響也比較少。這一篇將會介紹比較複雜的配置,需要管理員按照具體情況做出適當決定,甚至有部分建議在安全性和用戶體驗方面較具爭議性。

繼續閱讀

CentOS 7 下安全配置 SSH (一)

SSH 通常是我們進入新伺服器的第一個應用程式,它也取代了 telnet 和 rsh 成為管理伺服器的最主要介面。儘管 SSH 預設使用加密通訊,登入的密碼和通訊內容都不容易被偷窺,預設的設定大致上安全,可惜由於需要兼顧舊用戶和舊系統,一些過時和不安全的選項仍然被開啟着,在國家級黑客橫行無忌的年代,系統中任何一顆鬆掉的螺絲都會致命,所以我們將會討論如何加強 SSH 的安全性。這一篇只討論基本的安全配置,比較容易理解,過程也比較簡單,對用戶的負面影響也比較少,較進階和較具爭議性的安全配置將會留待下一篇討論。

繼續閱讀

安裝 CentOS 7 後必做的七件事

建立帳號的 RSA 加密鑰匙

CentOS 是最多人用來運行伺服器的 Linux 版本,最新版本是 CentOS 7。當你興趣勃勃地在一台主機或 VPS 上安裝 CentOS 7 後,首要的工作肯定是加強它的安全性,以下列出的七件事,是你進一步配置系統和安裝其他軟件前必須做的。

繼續閱讀

轉貼:英國政府索取解密密鑰 電郵服務商寧可結束業務

曾經獲得斯諾登信任的電郵服務商 Lavabit,和網絡安全通訊服務商 Silent Circle,因不肯把解密密鑰交給美國國家安全局 (NSA) 而先後被逼結束業務,同樣事件原來在今年初亦曾經在英國發生。英國國家通訊總局 (GCHQ) 在年初向 CertiVox 索取可解密用戶電郵的密鑰,CertiVox 寧可結束他們的電郵加密系統 PrivateKey,也不向 GCHQ 低頭。

繼續閱讀

轉貼:FreeBSD 開發團隊不信任 Intel 和 VIA 的加密晶片

FreeBSD 一向不信任 Intel 和 VIA 加密晶片的隨機數產生功能,不會以它們作為產生加密密鑰的唯一隨機數來源,即將發佈的 FreeBSD 10.0 版本亦貫徹這一信念。Intel 和 VIA 分別提供 RDRAND 和 Padlock 工具,以硬體晶片產生隨機數,FreeBSD 把這些晶片產生的數據混入其他數據中,這樣即使晶片的運算邏輯暗藏後門程式或弱點,最後得出的隨機數仍然安全可靠。

繼續閱讀

對抗點擊劫持新武器:X-Frame-Options

點擊劫持 (Clickjacking) 是一種誘使用戶點擊一個看似無害的超連結或按鈕,實際上卻是點擊在另一個網頁上的一個超連結或按鈕。後果可能是泄露了機密的資料,或無緣無故「讚好」一個網站,甚至開啓電腦內置的鏡頭和麥克風。網站開發人員當然有希望保護用戶不受攻擊,可用的手段主要有 Framekiller 和 X-Frame-Options,前者並不可靠,尤其在 IE 上可以輕易被攻擊者破解 (IE 的安全問題真是罄竹難書),後者只是瀏覽器自設的措施,並非業界標準。IETF 終於在兩個月前正式接受 X-Frame-Options 為 HTTP 的標頭 (header),從此開發人員的安全工具箱又多一件武器。

繼續閱讀

轉貼:完美遠期保密

完美遠期保密 (Perfect Forward Secrecy) 是在 HTTPS 基礎上進一步保護用戶與伺服器之間的通訊,在 HTTPS 通訊協定下,所有數據都被加密才送進網絡,但是萬一伺服器的 SSL 密鑰 (private key) 因某些原因泄漏,HTTPS 的加密的鑰匙便會被破解,過去和將來的通訊統統暴露在陽光之下。完美遠期保密使用的卻是一次性的加密鑰匙,不能從伺服器的 SSL 密鑰推算出來。

繼續閱讀

轉貼:Android 4.3 安全漏洞,Apps 可撤銷所有系統鎖定功能

Google 在九月宣佈 Android 手機新增一項功能,用戶可以遙控把手機鎖定,當手機被盜或違失時特別有用,新功能會撤銷本來的鎖定設定,並設定密碼保障手機的安全。這本來是一個好主意,但是有人發現 Android 一個安全漏洞,Apps 可以撤銷 Android 4.3 所有鎖定功能,令這個遙控鎖機功能形同虛設。更令人驚訝的是,發現這個漏洞的公司向 Google 通報,但 Google 一直不作回應,他們唯有把問題公開,希望用家關注。

繼續閱讀

轉貼:澳洲與外國情報夥伴分享國民的通訊資料

英國衛報刊 登斯諾登最新的泄密文件,顯示通訊監控的「五大眼」國家曾經在 2008 年討論如何分享國民的通訊資料,部分國家表示要把資料「最少化」(只分享必要的部分),但澳洲的情報機關卻大方地表示夥伴們可以得到完整的原始數據,即使 涉及醫療、法律和宗教範疇的數據也不受限制。

繼續閱讀

轉貼:美國警察局繳付 $750 美元贖金取回被 CryptoLocker 劫持的檔案

勒索軟體 CryptoLocker 令微軟視窗的用戶風聲鶴唳,人人自危,它在一週之內感染了 12,000 台美國電腦,並在英國對數以百萬計的電腦構成威脅。 英國國家犯罪局 (UK National Crime Agency) 上週呼籲民眾不要交付贖金給 CryptoLocker,因為不能保證罪犯收到贖金後是否真的送上解密鑰匙。現在,連警察局也不能倖免於 CryptoLocker 的攻擊,美國一間警察局便為此繳付了 2 BitCoin (當時大約等於 $750 美元) 贖金。看來真正面對危機的時候,執法機構也未必能說到做到。

繼續閱讀

轉貼:英國一間職業學校使用 RFID 掌握學生行蹤

我們日常使用的電子繳費工具包括香港的八達通、快易通,台灣的悠遊卡、臺灣通等,都是使用射頻辨識 (RFID) 技術,這種技術除了令我們的生活更方便,亦有可能被用作追蹤監視。英國一間職業學校使用「超寬頻主動式 RFID」(Ultra Wideband active RFID) 標籤,實時監察 500 名老師和大約 5,500 名全日制學生在校內的活動,誤差只在數寸之間。

繼續閱讀

轉貼:Google、Microsoft、Yahoo 等公司對網絡通訊的保密措施足夠嗎?

鑒於各國情報機關積極監視網絡上的通訊,Electronic Frontier Foundation (EFF) 調查主要的網上服務企業如何保障網絡通訊不受監視,並製成列表供 我們參考。EFF 從五方面評估企業保護網絡通訊的工作,獲得滿分的只有寥寥幾家,包括 Dropbox, SpiderOak 和 Sonic.net,Google 的完成度也十分高。另一方面,Microsoft, Yahoo, Amazon 等一些我們熟悉,每天對媒體高呼多麼注重資料的保障和客戶隱私安全性的公司,對網絡通訊的保護卻嚴重不足。

繼續閱讀

轉貼:LG 涉嫌侵犯隱私,你還信任它的產品嗎?

我們報導了 一名英國人發現家中的 LG Smart TV 把他觀看電視的活動記錄下來並上傳到 LG 伺服器,以便向他播放針對性的廣告,即時他把電視設定為不把資料分享給第三者,資料仍然被傳送到 LG 的伺服器。事件在網絡上受到廣泛關注,LG 在備受媒體和政府部門的壓力下,才肯對事件展開調查,並承諾更新 Smart TV 的韌體。很可惜 LG 對於事件的回應不盡不實,言辭閃爍,又回避重要問題,令人懷疑他們「痛改前非」的誠意,也令人懷疑他們的產品是否還可靠。

繼續閱讀

轉貼:LG Smart TV 記錄用戶觀看節目的資料和 USB 儲存器的內容

一名英國人發現他家中的 LG Smart TV 記錄他觀看電視的詳細資料,和曾經在這部電視上使用過的 USB 儲存器的內容,所有資料都被上傳到 LG 的伺服器。他還發現 LG 向廣告客戶宣稱,LG 有能力分析用戶喜愛的節目類型,上網行為模式,搜尋字詞的紀錄等,從而向他們發放針對性的廣告,例如向男士推銷西式套裝,向女士推銷香水和化妝品,LG 還表示他們可以對廣告效能做不同種類的分析。Smart TV 用戶的個人隱私明顯被嚴重侵犯。

繼續閱讀