最強勁的 Gmail 保安級別
文：薯伯伯

如果真的要有更為強勁的保安層級，Gmail 雖然未必是最好的選擇，但就以我自己的情況來說，因為用 Gmail 用了很多年，是在還需要邀請碼的年代便申請的第一批用戶，用開有感情，所以仍然會保留這個戶口。

那麼用 Gmail 時，如何把戶口提升至 Google 最高級的保護級別呢？那就要啟動 Google 高級保護計劃（Advanced Protection Program），之前有提及過要使用二步認證（2FA），2FA 本身可以用軟件或硬件來做，但如果要啟用高級保護計劃，就一定要使用硬件的安全鑰匙。

安全鑰匙在坊間主要有兩個牌子（不計電子錢包），生產商分別是瑞典的 Yubico 及北京的 Feitian（飛天）。飛天獲得不少中華人民共和國的國家認證及讚許，官方對其安全產品及科技成就予以高度的認可及肯定，目前並沒有證據顯示這家公司的產品有後門或安全漏洞——

——所以我選用瑞典的 Yubico。

要開啟 Google 高級保護計劃：

1. 不能使用軟件做二步認證。

2. 一定要用硬件安全鑰匙。

需要的材料：

👉 兩條（或以上）的硬件安全鑰匙，我建議是電腦配備一條，手機配備一條，另加一條最便宜的做後備。

👉 預計購買硬件安全鑰匙的成本：每條安全鑰匙的價錢約為 HK$ 160 – HK$ 550 不等。

建議只使用 USB A、USB C，Lightning 插頭或 NFC 近距無線感應的款式，不建議使用藍牙的模式。

設置的方法不複雜，先到以下網址：

https://landing.google.com/advancedprotection/

跟著相關指示，分別插入及認證合共兩條安全鑰匙。

之後再到： https://myaccount.google.com/signinoptions/two-step-verification

選擇「新增安全密鑰」，再加入一條安全鑰匙。

啟動高級保護計劃，其實只需要兩條安全鑰匙，但為免自己兩條鑰匙一次過全都丟失，舉個例子，對不少用戶而言，很大機會這兩條鑰匙是放在同一空間，萬一遇正火災，水浸，又或者被狗咬，有可能令你一次過丟我兩條鑰匙，所以我建議再加一條鑰匙，作終極的後備，並把這條後備鑰匙放在他人家中。之後你所有的裝置會完全登出，需要重新登入，並插入安全鑰匙做驗證。

* * *

以前我不建議開啟高級保護計劃，是因為在 2019 年，手機對硬件安全鑰匙的支援做得很差，但在 iOS 13 推出多月之後（講真等咗好耐！），支援的情況越來越好，我這段時間做了一輪測試，覺得手機上使用 Yubikey 已算成熟，是時候可以推廣開去。

Yubikey 在香港有官方代理，而該代理的貨件，全是瑞典製造（而非美國）。有關選購建議，以下是我自己覺得合適的組合，僅屬建議，未必人人適合。

薯伯的安全鑰匙心水組合推介：

1. 只有用桌面或手提電腦（USB A接口）：如果不介意長插，選用 5 Nano。如果介意長插，選用 5C。較推介前者。

2. 只有用桌面或手提電腦（USB C接口）：如果不介意長插，選用 5C Nano。如果介意長插，選用 5C。較推介前者。

3. 使用 12 吋的 MacBook（只有一個 USB C 接口的電腦）：用 5C，而不要用 5C Nano，因為只有一個 USB C 接頭，要經常拔插。

4. 如果有手機，若是 iPhone 或支援 NFC 的 Android：添購一個 5 NFC。

5. MacBook Air（有兩個USB C接口）：因為兩個 USB C 接口都在機身左邊，如果不會長期用 hub，那麼用 5C Nano 也可以。如果這個插口本身又要連 iPhone 或其他設備，那麼用 5C 會較好。

6. 以上任何組合也好，再買一條做終極後備鑰匙，使用最便宜的 Security. Key 就可以。

（注：如果讀者因為我之前的建議，而買了 Yubikey 5Ci ，即有 iPhone 接頭的那款，真的不要因為我更改了推介的心水組合而介意。因為我推介別人買的時候，自己也有購買並測試使用。這次不再推介 5Ci，是因為 iPhone 對 NFC 的安全鑰匙支援大有進步，用戶體驗甚佳，所以我也更改了推介的心水組合。）

以下是相關的價錢：

YubiKey 5 Nano：HK$ 390

YubiKey 5C Nano：HK$ 470

YubiKey 5 NFC：HK$ 350

YubiKey 5C：HK$ 390

Security Key: HK$ 160

香港總代理地址：

Netmon Information Systems

地址：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。

電話：25272086。

網址： netmon.asia

（優惠預告：早前 Yubikey 的香港代理再聯絡過我，預計很快又會有些安全鑰匙的購物優惠，向預告一下，大家如果需要購買的話，請留意這裡的公佈。）

（強調這不是廣告啊。🥺）

簡易製作加密虛擬碟中碟
文：薯伯伯

電腦加密有不同的層次，其中一種必須做，是要把整個硬盤也加密，方法很容易，Mac 用戶只需要打開系統的 FileVault 便可，Windows 的用戶則只需打開 BitLocker，就能把整個裝置加密。把系統加密之後，如果沒有開機的密碼，理論上別人即使把硬碟取出來，也難把檔案抽出。當然不是所有人也擔心自己的電腦會被強行拆開並抽出硬碟，但還有其他情況，例如將來變賣電腦，又或是電腦被狗咬，系統加了密，感覺就安心一些。

具體的操作方法很簡單，問問 Google 就可以，這裡就不多說。

👉 搜尋：Mac FileVault 2 啟動磁碟加密
👉 搜尋：Windows BitLocker 開啟裝置加密

這篇文章主要想普及的一種資安保障，是在電腦中製作另一些「虛擬加密磁碟檔案」（virtual encrypted disk）。簡單來說，就是電腦上生成一個檔案，載入並輸入密碼之後，就會成為一個新的磁盤，像個「碟中碟」。

先說為甚麼電腦本身已經用 FileVault 或 BitLocker 加密了，何以仍然要再在裡面設置一個「虛擬加密磁碟檔案」，因為當你開機輸入密碼之後，電腦中的檔案便會即時解密，若然在操作過程中電腦受到攻擊，就會有很大風險。

另一個要考慮的情況，是現在有不少人把原生的檔案同步至 Google Drive 或 口程 Dropbox 作備份，用起來雖然方便，但這些服務便能讀取你的檔案內容。而如果你的 Google Drive 是由院校或公司提供（即 Google for Education 或 Google Enterprise），管理員雖然看不到檔案內容，但卻可以看到檔案名字，這是另一層的隱患。所以，除了裝置要加密，還需要加裝一個碟中碟，方為上策。

虛擬碟中碟，我推介用 VeraCrypt。

官方地址：https://www.veracrypt.fr/en/Downloads.html
免費，開源，跨三大電腦平台，在資安界裡評價一直很好
留意：一定要從官方網站下載，不要從第三方網站下載

這裡示範如何做一個 10GB 大小的虛擬加密碟中碟。

安裝 Veracrypt 後，在主畫面點擊 Create Volume，出現 Creation Wizard，跟著一步一步去做。

選擇 Create an encrypted file container，按 Next。
選擇 Standard VeraCrypt volume，按 Next。
選擇 Volume Location，點擊 Select File，點擊桌面位置，在 Save As 一欄輸入名字，這裡舉例叫做 10gb。之後選擇 Never save history，按 Next。
在 Encryption Algorithm 選擇 AES，下方的 Hash Algorithm 選 SHA-512，按 Next。
Volume Size 選擇 10 GB，按 Next。（小一點也可以，看自己需要。）
Volume Password，輸入密碼。下方的設定，全都不選，按 Next。
之後如果顯示 Large Files 一欄，選擇「I will store files larger than 4GB on the volume」，按 Next。
Format Options 選擇 Filesystem type: MacOS Extended 或 NTFS，按 Next。
Cross-Platform Support 選擇 I will mount the volume only on Mac OS X，按 Next。
之後在 Volume Format，不停無意地移動鼠標，軟件會蒐集隨機的訊息。建議不要只管打圈，也可以用鼠標寫寫詩，蒐集到的隨機數據越多越好。
之後按 FORMAT，等一會，檔案就會生成，按 Exit 就可以。

這時在桌面就會看到一個 10gb 的檔案，把檔案拖至 VeraCrypt 的主畫面，按 Mount，輸入密碼，這時就會在 Finder 或檔案總管，就會看到好像插入了一個 USB 手指一樣。把需要加密的檔案放進這個加密虛擬碟中碟。用完之後，在 VeraCrypt 上按 Dismount All 便會自動退出。

VeraCrypt 還有很多有趣的功能，例如有個 Hidden VeraCrypt volume，可以製作同一個檔案，但輸入不同密碼，卻會看到不同檔案。例如有人節磨你，要求你打開檔案，你不情不願，輸入密碼後，裡面只有愛情動作片。但實際上當你輸入另一組密碼時，卻會有個驚世大陰謀！是不是有點電影橋段的感覺了？
把電腦檔案加密存儲，可以有千百萬個不同的原因及動機，但要記住，做事光明磊落的人，做實事的人，是更應保護好檔案免受侵擾。檔案加把檔，是保障資訊安全的重要的一步，必須學習。

如果要完全隱藏網上身份
文：薯伯伯

有些朋友會覺得很奇怪，看到我一方面又對資訊保安很著緊，要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等，但另一方面又會用信用卡、電子錢包，甚至當 iPhone 可以使用八達通時，還第一時間搶著去試用。

朋友問：「我還以為你要做到隱藏自己的身份。」

不是的，我其實從來沒有打算完全隱藏自己的身份，我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄，其他人當然沒有資格過問。但換了是去超市買了 100 元東西，我又不是太過介意留下記錄，甚至用信用卡消費儲點積分來兌換機票。

坊間經常有人把「保護私隱」及「隱藏身份」混為一談，這是錯誤的說法，也是危險的說法，亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」，就覺得自己是匿名，那肯定是錯誤。又例如有人上網用了 VPN，就覺得隱藏了 IP，以為可以隱藏了真實身份，也是大錯特錯。

我在這篇文章，就大概講一下，如何可以做到真正隱身上網。真正隱身，是指即使對方有較高強的追蹤能力，也難以把你的網上身份，與真實的身份形成任何連結。

首先你要到一些不相熟的店鋪，以現金購買一台全新的電腦（二手未必好，因為你不知道之前是甚麼人用過），不能用信用卡付款，購買的過程要戴鴨舌帽，現在方便的話也要戴上口罩，以防監控電視把你拍下。在第一次開啟電腦及連線時，必須確保自己的手機或其他上網設備提前全部關閉。

在電腦上安裝 Tails 作業系統（The Amnesic Incognito Live System）及 TOR 瀏覽器，這部電腦只能作為你新建的匿名身份之用，絕對不能與其他身份混合使用。不過要留意，每部上網的設備本身都有一個 Media Access Control Address（即簡稱 MAC 地址），這是其中一個可能辨認的痕跡。例如去快餐店上網，每日限時一小時，他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下，為免增加寫作人及轉載媒體的法律風險，有關 MAC 地址的討論就到此為止。

還是得強調一點，保持匿名，是完全合法合理。

用 TOR 連到免費的 wi-fi 熱點，在商場裡監控鏡頭太多，巴士上的熱線可能好一些，但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址，例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證，但可能太多人濫用，最近要輸入電話做驗證。如果真的有這個情況，就要用現金買一部太空電話及一張太空卡，並在跟自己完全無關的位置開啟太空機及插入太空卡，接收到短訊認證，這部機就不應重複使用。

之後如果你有任何交易，可以使用加密貨幣 Bitcoin，但有 Bitcoin 的交易本身是公開，是可以輕易清楚查看每宗交易記錄，每一分每一毫都會清楚列出，這是區塊鏈（blockchain）的特性，不能關閉這個功能。

有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin，最有名氣的網站是 Paxful.com，你可以用 TOR 去該網站，以匿名情況下申請的電郵地址去開啟錢包，再看看不同貨幣販子的要求，有些需要你的身份認證，手續費較低，有些甚麼也不需認證，但手續費可能要 50%，這就是匿名的代價。支付的方式，可以用禮品卡，而因為 Bitcoin 本身不會隱藏交易記錄，所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡，要用安全的方法棄置。

之後可以用這些匿名購買的 Bitcoin 再買 VPN，例如 ProtonVPN。不過因為要維持匿名，即使 ProtonVPN 在業界裡的信譽很好，但在申請服務時也不要提供個人資料。

好了，你現在終於有一部新的電腦，裡面安裝了較安全的操作系統 Tails，還有 TOR，加上用 Bitcoin 買回來的 VPN，這裡預計花上數千港元。

之後是關鍵之處，想像一下，你花了數千元設置的匿名裝置及系統，卻一時不小心或手痕，把匿名設備連上了自己家裡或工作地點的 wi-fi，那這個設備就算是污染了，不再匿名。

又或是，你每次都很小心，明明家住香港仔，卻跑到天水圍才找免費的 wi-fi 上網，但原來每次你都同時帶備自己的手機兼全程開機，那麼你的行蹤也有可能暴露了，情況就有點像明星 A 和歌手 B 兩人從不交談，但經常出雙入對，難道只是巧合而已？

所以每次在新位置使用匿名裝置，就必須提前把身上其他上網裝置關閉，至於關閉了的手機會否仍然發出訊號，有點難說，所以還要把手機放進「法拉第袋」（Faraday bag），金屬物料做的布袋，能有效屏蔽外電場的電磁干擾，單用錫紙袋是沒有用。

每次上網不能太長時間，例如斯諾登當年在美國舉報 NSA 監聽事件，就是開著車到處找尋開放的 wi-fi 訊號，而每次上網也只是十多分鐘，否則易受追蹤。他在爆料之前跟記者聯絡，要求對方先安裝 PGP（加密方法），但記者不明白又不在意，斯諾登等了數個月才成功跟記者建立了加密聯諾途徑，而在這幾個月裡，斯諾登顯出強大的自控能力，能抑壓著心中團火，沒有提前在其他渠道洩漏敏感訊息。

這篇文章很長，當中不少細節寫得粗疏，但最主要的目的是要普及一個訊息，要做到真正匿名，除了要有金錢資源，有技術知識，更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」，而不是「如何完全隱藏網上身份」，正正就是因為我覺得對大多數人而言，根本就不可能輕易隱藏自己的數碼足跡（包括上網，包括日常的電子交易等）。

所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡，手機卻在任何場合均會長開，打電話時甚至會用最原始的方式直接撥打號碼，而不用有點對點加密的方式聯絡（例如使用 Signal 的電話功能），我就總覺不安。

在適當的日子，去特定的地方，要用現金支付，避免留下交通記錄，這確實是常識，但如果不理解匿名的運作原理，卻誤以為自己沒有使用銀行卡或交通卡就等同安全，那是幻像而已。

https://www.patreon.com/posts/38185283

習慣使用密碼管理器
文：薯伯伯

最好的密碼，是連自己也記不住的密碼。例如我 Facebook 上一次的密碼是：

ukjPLMENnrNmPYXCLFKNXMD{u#Z8F6ik,49LpXLyFkMs??QHJYqEFNJmy3d6Q$cH

密碼共有 64 位，加上大小寫字母，數字及符號。萬一有人逼供要我交出密碼，我也愛莫能助，因為連我自己也記不住。最好的密碼，是自己都記不住密碼，所以必須要使用密碼管理器（Password Manager）。

經常有人問我，把密碼放進密碼管理器，會否反而更不安全呢？但在資訊安全方面的考慮，不是說完全排除所有風險，而是相對的情況作比較。例如用戶擔心密碼管理器不安全，那麼會如何做呢？

用紙和筆寫下密碼？

用純文字檔案記下密碼？

用純文字檔案記下密碼，再把該檔案加密？

在不同網站用上大同小異的密碼，例如 abcde, Abcde123, Abcde123!@# 等？

抑或是經常處於「登入」狀態，乾脆避免經常要打密碼？

如果你都有以上習慣，那就不應該質疑密碼管理器是否安全，因為密碼管理器比以上其他方法都安全得太多太多倍。

推介使用軟件：1Password

https://1password.com/

（順便分享一個小秘技，有時申請服務前，去 https://slickdeals.net/ 搜尋一下，或許能找到一些折扣優惠，或更長的免費試用期。另外，在 1Password 可以容許用戶匯出資料，再匯入到另一平台，所以用了它，以後不喜歡，也可以輕易轉台。）

1Password 這個軟件，顧名思義，就是說你只要記住一個打開密碼管理器的密碼，就可以打開其他網站的密碼。坊間有不少密碼管理器，但我比較推介 1Password，因為介面相對簡單易用，最易入口，而且可以選擇把密碼檔案加密並存儲到雲端，跨平台使用較方便，可以把密碼同步到 Mac, Windows, iOS, Android 等平台。

剛開始時，我建議大家先開一個 1Password 的戶口，以後到訪任何已登記的網站時，選擇「忘記密碼」或「重設密碼」，然後用密碼管理器製造一條隨機的密碼，再記錄下來。我覺得在電腦上去做這些過程，比手機操作稍微方便一些。

至於密碼管理器本身是否安全，尤其是把你的密碼倉褲（vault）放上雲端。近日黑警肆虐（我指的是黑色暴雨警告），大家對雲端有疑慮也屬正常。不過密碼倉庫本身有加密，而你必須好好保管加密的鑰匙（secret key）。即使別人取得你的主密碼，但想在其他電腦打開密碼倉庫，還是需要該鑰匙。

使用密碼管理器，要有心理準備，整個轉移過程要花些心機及耐性，但是成功使用後，當你可以輕鬆登入任何網站，你會覺得花時間去研究密碼管理器是值得的。

* * *

另外，1Password 本身有個博客介紹計劃，說只要我推介一個人，就會有兩美金或年金的 25% 作報酬，但我在寫這個資訊安全系列的文章時，寧願不提供任何介紹碼，那麼大家看到我推介一些 app 或服務時，就知我是因為認為該服務值得推介，而非其他金錢誘因。

我覺得現在這樣較好，大家在 Patreon 上支持我，我又可以不受干預地去發掘不同的題材，繼續寫作。