Tag Archives: 網絡安全

利用硬件安全鑰匙,鑄造最強勁的 Gmail 保安級別

Leave a reply

利用硬件安全鑰匙,鑄造最強勁的 Gmail 保安級別
文:薯伯伯

如果只給我三分鐘時間,要馬上加強用戶的網絡保安,我會毫不猶豫要求對方做一件事——啟動雙重認證(二步認證),英文叫 2-factor authentication,簡稱 2FA。

所謂雙重認證,就是在登入任何戶口時,除了要輸入用戶名及密碼外,還要加一個額外因素,例如手機短訊驗證碼、軟件動態密碼,又或是硬件安全鑰匙。當中又以硬件安全鑰匙最為安全,最難被仿冒,以及最省時間。

這篇文章主要討論兩點:硬件安全鑰匙的應用,以及如果利用兩條安全鑰匙,鑄造最強勁的 Gmail 保安級別。

硬件安全鑰匙

先說硬件安全鑰匙,安全鑰匙在坊間主要有兩個牌子(不計電子錢包),生產商分別是瑞典的 Yubico 及北京的 Feitian(飛天)。飛天獲得不少國家認證及讚許,官方對其安全產品及科技成就予以高度的認可及肯定,目前並沒有證據顯示這家公司的產品有後門或安全漏洞——

——所以我選用瑞典的 Yubico。

Google 在早期的安全鑰匙,是透過北京飛天公司製作,我認為這是荒謬可笑的錯誤決定,亦引來太多無謂揣測,Google 似乎也意識到問題(或注意到網上的評論),在 2019 年 10 月改為與瑞典 Yubico 合作。

使用硬件安全鑰匙最大的好處,是能有效縮短雙重認證的時間。比較三個常用雙重認證使用方式,假設都是在電腦登入 Gmail,然後做雙重認證。

場景一:接收 SMS 短訊:有時網絡塞車,接收訊息很慢,在外地時更是麻煩,大概需要花上 25 秒。

場景二:使用軟件密碼生成器(例如 Google Authenticator 或 Twilio Authy):打開手機,打開 app,再把六位數的動態密碼輸入至網站,大概要花上 20 秒。

場景三:使用硬件安全鑰匙:直接插入 USB,摸一摸金屬環,即能登入。只需要少於 10 秒時間。如果你評估過覺得使用電腦的環境安全,甚至可以把一條安全鑰匙長期插在電腦上,進一步縮短認證時間,我每次大概花 5 秒時間即能完成雙重認證。

省下這十多秒有甚麼用呢?由於我不建議戶口長期處於登入狀態,我的瀏覽器是設定為每次關閉瀏覽器,都會自動登出所有戶口。我每次用電腦查看電郵,都必須要做一次登入的過程,如果一天登入五次帳號,用一個更有效率的方法去做雙重認證,對我來說是很重要。把雙重認證的過程變得順暢,亦能更易把雙重認證變成生活一部份。(提一句,如果你發覺你的戶口一直處於登入狀態,很久沒有做過「登入」這個過程,我覺得這是一個非常壞的習慣,要改喇!)

另外以前寫文介紹硬件安全鑰匙,經常有人問一個問題,我也不太明白為甚麼讀者會有這個想法,但在這裡也特別寫出來,供大家參考。

問:若果我的硬件安全鑰匙被盜,他們是不是可以直接登入我的戶口?答:當然不是,因為硬件鑰匙只是雙重認證的一個因素,還要你本身的密碼才能登入戶口。

* * *

Google 的「進階保護計劃」(Advanced Protection Program)

Google 提供的戶口保安級別,主要有三種類型:

最低層級:只靠一組密碼做登入,坊間被入侵的戶口,多數是因為只靠一組密碼把關,而這些密碼,往往又跟其他網站共用,早已洩漏,很易被入侵。

中等層級:只用較為簡單的雙重認證方式,例如手機短訊驗證碼、軟件動態密碼。對任何人,最起碼的保安,應該要達至這一級別,我甚至認為這個層級的保安應該要強制實行。

最高層級:Google 提供最高級別的保安層級,叫做「進階保護計劃」(Advanced Protection Program),只能用硬鍵鑰匙來做雙重認證的因素。按 Google 的建議,如果你是受針對的高危對象,例如記者、民運人士、商界領袖以及政治選舉團隊,都應考慮啟動這個保安層級。

我之前擔心「進階保護計劃」會影響正常使用,沒有大肆推廣,但這幾個月我一直用「進階保護計劃」,在電腦及手機上的操作也大致正常,覺得身份敏感的人,不妨認真考慮是否採用這個等級。

來吧,就讓我們一起手拉著手,一步一步教大家鑄造最強大的谷歌保安級別。

需要的材料:

👉 兩條(或以上)的硬件安全鑰匙,我建議電腦配備一條,手機配備一條,另加一條最便宜的鑰匙放在非同居朋友的家中做後備。

👉 預計購買硬件安全鑰匙 Yubikey 的成本:每條安全鑰匙的價錢約為 HK$ 160 – HK$ 550 不等。建議要在官方核准的渠道購買,而不要經任何代購網站,買回來之後亦要檢查包裝是否完整,確保中間沒有被人竄改。

Yubico 的官方網址是:https://www.yubico.com/support/shipping-and-buying-information/resellers/

輸入 Hong Kong,香港目前只有一間代理商:

Netmon Information Systems

其中文地址是:

觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。建議在辦公時間先打電話去查詢存貨量。

設置「進階保護計劃」的方法不複雜,先到以下網址:

https://landing.google.com/advancedprotection/

跟著相關指示,分別插入及認證合共兩條安全鑰匙。

之後再到: https://myaccount.google.com/signinoptions/two-step-verification

選擇「新增安全密鑰」,再加入第三條安全鑰匙做後備。

啟動高級保護計劃,雖然只需要兩條安全鑰匙,但為免自己兩條鑰匙一次過全都丟失,舉個例子,對不少用戶而言,很大機會這兩條鑰匙是放在同一空間,萬一遇正火災,水浸,又或者被狗咬。有網民說他的 Yubikey 被狗吞食了,但在大便中找回,洗乾淨後仍然能正常使用。不過為免麻煩,我建議加一條鑰匙,作終極的後備,並把這條後備鑰匙放在他人家中,以策安全。

終極太空號碼

Leave a reply

終極太空號碼
文:薯伯伯

坊間對於太空卡及太空機的討論頗多,但誤區也同樣多。最擔心有人使用太空卡及太空機,就錯覺地以為自己可以隱身匿名,這是危險的想法。這篇教學,目的是教大家申請一個虛擬電話號碼(virtual number),我稱之為「終極太空號碼」,因為這個號碼跟香港電話基站幾乎毫無關係,理論上收發短訊驗證碼時,本地的電訊商是無法得知其內容,這是關鍵。

「終極太空號碼」虛擬電話號碼(virtual number)的用途:

1. 申請 Signal/Telegram/WhatsApp

2. 如果申請的服務只能用電話號碼做雙重認證(2FA,2-factor authentication),可以考慮用虛擬號碼接收短訊,避免偷換 SIM 卡的風險。例如香港不少證券行,均只能用手機作雙重認證,用上虛擬號碼就極為方便。

3. 由於虛擬電話號碼是美國電話,可以用來申請一些美國服務,例如 PayPal 等,總之妙用無窮。

但有一點要注意,切勿用虛擬電話號碼來收取銀行或信用卡公司短訊,這點必須強調,一來銀行發出的短訊,虛擬號碼未必能收到,但更重要的是,香港銀行有機會以為你跟美國有關,可能要求你填寫美國的稅務申報表格,雖然如實申報便可,但實在沒有必要自找麻煩。

直入正題,先準備材料:

1. VPN(建議使用 ProtonVPN)

2. 美國 Apple ID(請參考〈離岸戶口點只銀行?薯伯伯教學開設海外App Store賬號〉https://www.patreon.com/posts/39576067 )

申請「終極太空號碼」步驟:

1. 用美國的 App Store 戶口,下載免費的應用 MySudo:https://mysudo.com/

2. 用 VPN 連接到美國的伺服器。

3. 打開 MySudo,如果起始畫面一直沒有任何動靜,可能因為你還未連接到美國 VPN 吧。

4. 在 MySudo 的介面,選擇 Create your first Sudo。

5. 按 Next。如果這裡出現問題,可以嘗試重新連接 VPN,選擇另一些美國的伺服器。如果仍然出現問題,可能你以前曾經使用同一個美國 Apple ID 下載並申請過 MySudo,所以顯示出錯,要用一個之前沒有下載過 MySudo 的美國 Apple ID 再試一次。

6. 輸入名字,暫時輸入真名都可以,之後隨時可以改動,選 Next。

7. 關鍵步驟,選擇號碼,按 Create a Phone Number。

8. 選擇美國(其他國家也可以,按自己情況決定),輸入自己喜歡的三位數字組合,例如 314(314 是密蘇里州聖路易)

9. 選擇心水號碼,選定之後就不能更改了。

10. 之後會問能否取用咪高風,選擇不允許。

11. 選擇名字,這個名字要選個合用,因為之後修改較麻煩。

12. 之後問能否傳送通知,選擇「允許」。

大功告成!

你現在就擁有了一個美國的電話號碼,以後就可以不須插入 SIM 卡,也能收取短訊驗證碼。在申請的過程雖然要打開美國 VPN,但收發短訊則不用 VPN。這個號碼虛擬離地,香港電訊供應商無法偷窺短訊內容,並且能有效防止偷換 SIM 卡的攻擊。長遠而言,建議使用這個號碼,逐步取代你原有的 Signal、Telegram 及 WhatsApp 號碼。

注:如果打算長期使用 MySudo 號碼,記得要做好手機的備份,因為 MySudo 的戶口密鑰置於手機之內,若然掉失了手機,又沒有做好備份,手機號碼就無法回復,這是 MySudo 服務安全的特點,但當然也有點不便。

離岸戶口點只銀行?

Leave a reply

離岸戶口點只銀行?薯伯伯教學開設海外App Store賬號
文:薯伯伯

這篇文章談的是開設離岸的 App Store 戶口,故事寫得有點長,但如果不說前因,很難說得清楚為何我會有建議朋友開設離岸戶口的想法。如果沒有興趣看前面,想直入實戰教學,請跳至第二部份。

第一部份。

因應《國安法》在香港實施,不少外國科技公司均宣佈「暫時拒絕」向香港政府及警方提交用戶資料,獲得不少香港人的掌聲。但仔細一看,措施只屬「暫時」性質,長遠而言,如果外國公司要留在香港營運,始終有一天會向政府妥協。

妥協的方式各式各樣,不一定是交出用戶資料,也可以是把部份應用程式下架,甚至把伺服器搬到指定地點,過程可以很圓滑,圓滑得連用家也不察覺。就以蘋果公司為例,世界上有兩個蘋果生態圈,一個是蘋果生態圈,一個是中國的蘋果生態圈。中國蘋果用戶的世界不同之處,主要有三個層面:

1. 中國區的 iCloud 資料上傳至「雲上貴州」,位於中華人民共和國南部的貴州省貴安新區。而目前香港區及澳門區的蘋果用戶,則使用非中國的 iCloud 伺服器,根據蘋果公司發表的安全報告,非中國區用戶的 iCloud 資料存放於蘋果、Google 及 Amazon 的伺服器(參見:https://support.apple.com/en-hk/guide/security/welcome/web 底部有 PDF。)

2. 中國區的 App Store 欠缺大量軟件,最明顯是 VPN,事緣在 2017 年 7 月底,中華人民共和國政府要求蘋果公司把 VPN 及翻牆軟件,主要有 ExpressVPN、Shadowrocket(一款使用 SOCKS 代理人的翻牆軟件)。而另外有一些 app,則可能是開發商自己的原因,沒有登陸中國區 App Store,例如 Argent 電子錢包。

3. 中國區買到的 iPhone 也有些不同,其中最顯著的閹割,是 FaceTime 視像加語音的通話功能正常,但卻不能單獨使用語音通話功能。全世界就只有中國區的 iPhone 有此限制,有傳聞是因為中國三大電訊商反對 FaceTime Audio,認為搶飯碗,未能證實。

對於以上三點,香港人最應關注的,是第一點及第二點。在 2019 年,蘋果公司把純粹客觀反影路面情況的 HKMAP.live 下架,就是一例。現在我們常用的 app,例如 ProtonVPN 或其他 VPN 應用,以後會否被強逼下架,現在看似不會,但將來呢?至於香港區用戶的 iCloud,會否從「一國兩制」變成「一國一制」?就當是我杞人憂天吧,但我強烈呼籲各位蘋果用戶,必須開設一個離岸 App Store 戶口,謹作備用。緊急之時,也許是數年之後的事情,妙用無窮。

第二部份:

蘋果的 App Store 戶口有分區,我也持有不同國區的戶口,例如香港、美國、台灣、日本及中國等,用來下載該區獨有的應用程式。幾年之前開戶,非常容易,但後來收緊了限制,有時又會檢查 IP 或住所地址及電話,所以趁著現在還算是較輕易能開戶,先開一個離岸戶口作備用。

先說明,原則上跨區開戶,可能違反了蘋果的用戶協議,我的美國帳號就曾因此被短暫封鎖,客戶支援聲稱我違反了用戶協議,但過了一會又幫我重開戶口,讓人摸不著頭腦。

這部份最好在電腦上完成:

1. 最好使用 VPN,連接到美國伺服器。

2. 使用 Firefox 或其他瀏覽器,打開 https://appleid.apple.com/

3. 點擊 Create your Apple ID。

4. 輸入自己的資料,要填寫真實的電郵地址,要跟香港 App Store 的登錄電郵不同,因為這將是你的戶口登錄資料,稍後要收取一個驗證碼。

5. Country 選 United States。

6. 電話號碼,出奇地,可以使用香港電話,使用 +852,填上香港號碼,稍後要收取驗證碼。

完成以上步驟之後,轉用 iPhone 或 iPad:

1. 建議在手機上先開啟 VPN,連接去美國伺服器。

2. 打開 App Store,把原先的戶口退出。退出的方法,是點擊右上方的頭像,掃至最底,選擇 log out。

3. 登入美國帳號的資料,系統會顯示「This Apple ID has not been used in iTunes Store.」(這個Apple ID還沒有在 iTunes 商店中使用過。)

4. 選擇 Review,然後等待一會,畫面會一片空白,可能要等一分鐘。

5. 確保寫著 United States,選擇 Agree to Terms and Conditions(同意條款),選擇 Next。

6. Payment Method(付費方式):選擇 None。

7. Billing Address(帳單地址):寫個美國地址及電話,我當然不會教大家自己 Google 去找地址啦,雖然我知道很多人這樣做,但如此直白地寫出來總覺有點不太妥當。如果讀者真的不想亂填地址,有不少網上公司是有提供美國的虛擬地址及電話,自己上網找找。但無論你填甚麼地址,蘋果公司是不會寄信給你。

另外美國有五個州份免銷售稅,如果之後充值時不想交,地址建議選用阿拉斯加(AK)、等拉華州(DE)、蒙大拿州(MT)、紐咸西州(NH)、新澤西州(NJ)或俄勒岡州(OR)。

8. 填完地址選 Next。

9. 如果出現 Apple ID Completed,這就代表你已經成功開設了 App Store 的離岸戶口了!

充值方法:

對於香港區的 App Store 用戶,我建議的策略是:

1. 保留原來香港區的 App Store 戶口作主要戶口。

2. App Store 離岸戶口,在目前只作後備用途,以備不時之需。

3. 現階段仍然較為建議使用香港區的 iCloud,而不用轉到美國區,將來如果有需要才轉到離岸。

4. 留意兩點,家庭共享計劃只支援同一地區。在沒有美國信用卡的情況下,使用美國版本的 Apple Music 也有點問題。

如果想為美國區的 App Store 充值,不建議直接使用信用卡,最好是使用 Gift Card(禮品卡),有兩點注意:

1. App Store Gift Card 是有分區的,即是香港便利店買到的,是不能為美國戶口充值。

2. App Store Gift Card 及 Apple Store Gift Card 是兩個不同的東西,即是說 App Store 美國禮品卡及 Apple Store 美國禮品卡,是完全不通用,不要買錯。

購買美國 App Store 方法:

1. 前往美國版的 App Store & iTunes Gift Cards by Email:https://www.apple.com/shop/gift-cards/itunes-electronic (強調多一次,App Store 及 Apple Store 卡是兩回事,不要混淆。)

2. 選擇金額,首次購買建議買最低額,即十美元。

3. 收件人及送件人都寫自己,就當是情人節給自己買花。

4. 付費時不能選擇 PayPal(除非你的 PayPal 是美國註冊),要使用信用卡。填入香港的信用卡資料,地址方面,按之前寫的那個就可以。留意有部份香港的信用卡公司(例如 DBS),可能會因填寫的地址與登記地址不同而拒絕交易,試用不同的信用卡公司。填寫的地址,建議使用免銷售稅的州份,阿拉斯加(AK)、等拉華州(DE)、蒙大拿州(MT)、紐咸西州(NH)、新澤西州(NJ)或俄勒岡州(OR)。

5. 完成交易後,電郵裡會收到一組 Gift Card 號碼。

6. 回到手機,打開 App Store,點擊右上方的頭像,選擇 Redeem Gift Card or Code,輸入相關資料,便能充值。如果發覺充值失敗,最常見的原因,是你買錯了 Apple Store 的禮品卡,因為 App Store 及 Apple Store 卡是不同的(說第三次了)。

這種離岸 App Store 戶口,現在實際用途未必太大,但將來可能為自己帶來無窮便利,值得花點時間安排。至於 Android 用家,因為我自己沒有使用,難以兼顧,但不妨查找 LineageOS 搭配 F-Droid,沒補充。

https://www.patreon.com/posts/39576067

用美區app store買app要交稅,建議填地址要選用稅率低嘅地區(未求證)
地址結尾為:AK、DE、MT、NH,NJ,OR,這五個州為免稅州,以後購買 iTunes Giftcard 進行消費的時候不會多扣稅。

一起同手機上的照片說再見

Leave a reply

手拉著手,一起同手機上的照片說再見(刪除手機上臃腫照片庫的實戰教學)
文:薯伯伯

所謂大方向,是虛。行動綱領,是實。聽過一些大企業管理層開會,對著同事一味說:「我們要把眼光放遠一點,視野廣闊一點!」鬼唔知你老闆要將眼光放廣闊放長遠一點,最好放到銀河系,但應該如何去做,請你說清楚。

所以,這篇文章不談理論,只談實踐。

我一直認為,手機上不應該放置過量的資訊,無論是從備份的角度,或者保安的理由,我認為把照片存放在電腦裡面,會更為合適。我們現在手拉著手,一大步一大步地,約略說一下如何把相片移植到電腦,一起跟臃腫的照片庫說再見!

先說一個很重要的原則:我喜愛使用原生的檔案結構,而不是綁死在某個 app 的結構。我不建議使用相簿(albums),直接用文件夾(folders)把不同的照片或影片檔案分類就可以。我討厭使用 macOS 或 iOS 裡的 Photos app 作分類,因為 Photos app 的設計本身就過度複雜,把本來簡潔易懂的檔案結構,變成相簿之後,無論在同步、上載、備份、篩選等,全都只能按照該 app 提功的功能去做,極之麻煩。現在趁著清理臃腫相片庫的時機,乾脆減少對某些 app 的倚賴,改用最簡單的檔案架構去管理檔案。

好,入正題。

五步實際操作,撮要如下:

一,手機移電腦:用 macOS 的 Image Capture 把照片及影片從手機匯入至電腦。Windows 用家則用 Windows Photos。

二,手機刪照片:確保資料無事,再從手機刪除。

三,刪除重複檔:使用 DupeGuru 軟件,把重複的相片及影片刪去。

四,處理影像檔:選擇影片,把影片放到另一個文件夾,自行處理,這個自己想。

五,照片分類法:用 Photo Mechanic 必備照片分類神器。

五步實際操作,稍微詳細解說如下:

一,手機移電腦:用 macOS 的 Image Capture 把照片及影片從手機匯入至電腦。

先在手機上,打開 Photos app 的 WhatsApp 相簿,看看有沒有明顯的垃圾相片,先在手機上簡單挑選並移除。選擇照片時,不用一張一張去篤,可以按著一張照片,手指不離屏幕,再拖往右方或下方,即可以一次過選擇多張照片。

之後用 USB 線把 iPhone 及 Mac 連繫,打開 Mac 機上內置的 Image Capture。選擇 Import All。第一次操作時,不要選擇左下方的「Delete after import」,熟習了才用這個功能。

一次過匯入大量照片,有時會中斷,但重新打開時,已匯入的照片會有個綠色記號。如果不確定,不妨重複匯入,不用擔心檔案重複,因為之後會自動刪除相同的照片。

匯入的照片,是在 Pictures 文件夾。

Windows 的用戶,則可以把相片匯入至 Windows Photos。

打開後,把 HEIC 格式的照片檔案,轉為 JPEG。

免費的工具在這裡(有 macOS 及 Windows 版本):https://imazing.com/heic

二,手機刪照片:確保資料無事,再從手機刪除。

複檢一下手機裡的照片是否已經完全複製到電腦。

在 macOS 的 Image Capture 上留意是否所有照片都已經有個綠色 tick 號標示,如果確保沒有問題,就把手機照片刪去。之後在 iPhone 上,關閉 iCloud 同步相片的功能(設定 – 頂部名字 – iCloud – 相片:關閉)。

三,刪除重複檔:使用免費的 DupeGuru 或 付費的 Gemini 2 軟件,把重複的相片及影片刪去。

手機上的照片,經常有重複,其中一個典型例子,是 WhatsApp 自動儲存照片,然後用家又自己選擇儲存照片。

我自己較喜歡用 Gemini 2 (macOS 版本): https://macpaw.com/gemini

如果不想付費,可以試用 DupeGuru (macOS 或 Windows 版) : https://dupeguru.voltaicideas.net/

只要把 Pictures 文件夾拖入去 Gemini 2 的介面,軟件就能自動找出重複檔案。

四,處理影像檔:選擇影片,把影片放到另一個文件夾,自行處理,這個自己想。

估計對大多數人而言,照片比影片多,所以影片自行決定如何處理。而在現階段要把影片搬到另一文件夾的原因,是因為第五步的方法,只能處理相片。

五,照片分類法:用 Photo Mechanic 必備照片分類神器。

Photo Mechanic 有 macOS 及 Windows 版本。

把 Pictures 文件夾拖入去 Photo Mechanic,在排序顯示位置,從預設的「Filename」改為「Capture Time」,我覺得按照拍照時間來分類,通常較為方便。

運用鍵盤的快捷鍵(例如 Ctrl + 1 等),利用 color tag 把需要保留的照片加上顏色記號,做了篩選之後,保留需要的照片,刪去多餘的照片。

按場景把不同的照片存放到文件夾,例如「20190000 Hong Kong」存放香港的照片,「20180101 Japan」存放 2018 年 1 月 1 日日本旅行的照片,類似咁。

我試了不少照片的分類軟件,目前用過最好,甚至乎有點像個神器的,就是 Photo Mechanic,有 90 天無限制試用版,非常慷慨。我猜他們對自己很有信心,覺得用家用了 90 天後,就再也離不開他們的便利,肯定會買。

而我也真的買了。

另外一提,對於學校職工、學生等,只要能提供學校電郵地址,就有教育優惠,一個 License 可以在三部電腦上使用。

Photo Mechanic: https://home.camerabits.com/

教育優惠,要用電郵申請優惠碼,詳情請看:https://store.camerabits.com/products/photo-mechanic-6

結論:

以上提供一個實戰的參考,做法各有不同。

總之手機不應該當成是「回憶館」,正如你不會把幾百萬現金隨身攜帶,手機不要存放太多相片或影片。

https://www.patreon.com/posts/39366586

如何知道帳號的密碼有沒有外洩?

Leave a reply

如何知道帳號的密碼有沒有外洩?
文:薯伯伯

有朋友說他用 Google 帳號,但戶口還是被盜了,然後嘆道:「不是說 Google 的保安很高嗎,為何仍然被入侵?」其實不一定是 Google 的問題,而是其他網站被入侵。

舉個例子,你在所有網站都使用類似或甚至一式一樣的密碼,Gmail 的密碼是 Abcde$12345,Facebook 的登入也是 Abcde$12345,而 LinkedIn 的密碼也是 Abcde$12345。那麼只要其中一個網站出事,你的密碼便會洩漏。

在 2012 年,650 萬個 LinkedIn 帳號密碼被盜,雖然事隔多年,但估計仍然有不少人用同密碼。縱然 Google 及 Facebook 在維護保安的情況(可能)較高,但 LinkedIn 卻拖了後腳,成了所謂的「罩門」,即身上的死穴。

我們可以用這個方法查詢自己的登入有沒有曾被入侵,這個網站是由 Mozilla 基金會(Firefox)設置,使用 1Password 提供的資料庫,算是比較可靠的背景。特別要這樣說的原因,是如果有些網站聲稱可以幫你查證帳戶有否被入侵,必須要極為小心,不要隨便輸入電郵。

Mozilla 基金會(Firefox)設立的 Firefox Monitor:

http://monitor.firefox.com/

進入網址後,輸入自己的電郵地址,

不用選擇 Stay safe 一欄,

按「Check for Breaches」。

稍等一會,便能看到結果,結果只會顯示曾用該電郵地址登錄過的網站,而不會顯示你的密碼。

你用同一電郵地址登記過的網站,有多少個戶口曾經入侵?

那麼如何修補這個漏洞?

一,啟用二步認證。

二,使用密碼管理器。

三,使用一個非公開的電郵地址做網站的登記。

以上步驟所花時間,有長有短,但以「二步認證」的效益最高,所以必須為主要的戶口先設置二步認證。之後學習使用密碼管理器,以及重設所有網站的密碼。這個過程就相對考人耐性,我有一位很堅忍的朋友,花了兩天時間,修改了 95 個網站的登入資料。最好是把新註冊(及舊有註冊)的網站帳號,改用一個全新並且非公開的電郵地址,密碼不用自己思前想後了,乾脆用管理器隨機生成一個便可以。

https://www.patreon.com/posts/39348797