Tag Archives: 網絡安全

How to ensure your credit card payments

Leave a reply

How to ensure your credit card payments are secure at the point-of-sale

Big data breaches from big businesses dominate the media headlines, and for good reason. 70 million consumers were affected by the Target hacks in late 2013 [1], and 53 million were affected by The Home Depot breach in 2014 [2].

But here’s a headline you probably haven’t read: Visa estimates that 95 percent of the credit-card data breaches it discovers happen to its smallest business customers [3]. And those breaches cost an estimated $201 per affected record for the small and medium businesses affected [4].

What’s a business to do? Not accepting payment for services rendered is clearly not an option. But you don’t have to leave yourself vulnerable, either. Here are four point-of-sale (POS) security tips you should be following to help keep your business—and your customers—safe.

1. Secure the OS
While it’s tempting to think of POS solutions as secure black boxes that never need to be touched, the reality is they’re just as vulnerable to threats as your PCs or notebooks. That means you need to take the same security precautions—such as installing antivirus software—that you do with your other network-connected devices.

Windows-based tablets like the HP ElitePad 1000 offer the added assurance of HP Client Security features like HP BIOS Protection [5] and Microsoft Defender [6] to automate data protection and help reduce down time for employees and IT.

2. Be compliant
More than just a good set of guidelines, the Payment Card Industry Data Security Standards (PCI DSS) are the rules every merchant must meet for credit card processing. If you aren’t in compliance, you could be on the hook for financial damages from leaked data. Yet more than one in five retailers (22 percent) are not PCI DSS compliant, and an additional 14 percent don’t know if they’re PCI compliant or not [7]. Find out if you are, and stay compliant to minimize your liability.

Before purchasing a POS system, it’s also important to ensure the POS hardware itself meets PCI standards for merchants. Solutions like the HP Retail Case offer universal PED (PIN Entry Device, or mobile payment terminal) attachment slots for plugging PCI-compliant devices into the HP ElitePad.

3. Keep up
Even after you’ve purchased a POS solution, PCI DSS standards, viruses, and emerging threats are constantly changing. To stay ahead of vulnerabilities, schedule regular audits of your systems to be sure you’re up-to-date. And before you upgrade, make sure your solution provider regularly updates the system.

HP has been serving retail customers for over 40 years, and remains at the forefront of security with software suites like HP Client Security. This suite of tools includes Security Manager, Credential Manager, and Drive Encryption modules to help keep your business secure.

4. Consider your options
There are a number of additional advanced security measures your business may want to consider:
· P2P encryption: Also called end-to-end encryption, this security measure addresses risk by encrypting all the payment card data before it even gets to the POS.
· 2-Factor authentication: HP ProtectTools with Multi-Factor Authentication allows any combination of password, smartcard, and biometrics to enhance multi-user pre-boot security.
· Active network monitoring: This tactic can help spot suspicious behavior before more user information is leaked by injecting test traffic onto a network and monitoring the flow of that traffic to detect leaks.
· Isolating networks: POS systems are often connected to many other systems, exposing them to unnecessary risk; you can decrease that risk by restricting connections to payment data flows.

The consequences of lax point-of-sale security, especially for smaller businesses, can be stark. Among businesses that experience a breach, 60 percent go out of business within six months [8]. But with a few simple steps—combined with secure solutions like the HP ElitePad Mobile Retail Solution—you can both avoid the cost of breaches, and provide your customers with the convenience and efficiency they want and you need.

Source

超級簡單的保護網上密碼安全的方法

Leave a reply

超級簡單的保護網上密碼安全的方法

該方法來自於從事多年網路資訊安全的資深人士,絕對實用,而且操作簡單,一學就會,老少皆宜!請花3分鐘認真看完,會讓你一輩子受益的,看完別忘了轉給你的好朋友共用!

用網銀的人多了,網銀被盜的人也就自然多了,常在河邊走,哪能不濕腳啊,一旦網銀被盜,那損失可不小,估計得心疼幾個月吃不下飯,睡不好覺。網上也有很多很多介紹保護網銀密碼安全的方法,無外乎什麼把密碼設置得複雜點啊,安裝殺毒軟體啊,很多方法都是殺毒軟體廠商的促銷手段,要知道殺毒都在病毒出現後,網銀都被盜了,裝再好的殺毒軟體有什麼用,給大家傳授幾招簡單實用的,絕對管用。

先講講密碼是如何被盜的,現在99%都是因為電腦中了木馬盜號程式。你在進入網銀支付頁面的時候,會看到輸入帳號密碼的介面,不用說,一般人都是老老實實的按照從上而下的順序,先輸入卡號,然後輸入密碼,然後附加碼,在輸入的過程中,還特別認真,擔心輸錯,木馬程式在判斷出你進入銀行網站後,就記錄下你的鍵盤輸入的數位,然後發送郵件給盜號者,你輸入得越好,帳號越容易被盜,密碼再複雜也沒用,你就等著哪天哭吧。針對這種木馬盜號方式,採用二招就可以輕鬆破解了:

招式一:隨機輸入。

做人也不能太老實了,沒人規定要按照順序從上往下輸入,也不要輸完一個框框後,再輸入另外一個框框,以上圖舉例,假設帳號是」12345678″,密碼是」abcdef」,在輸入的過程中,可以在密碼框先輸入」abc」,然後跳到帳號框輸入」1234″,然後再到密碼框」def」,再到帳號框」5678″,不怕麻煩的,可以多跳幾次,次數越多越安全

招式二:故意在輸入的過程中輸錯。

可以故意輸錯幾個數位,然後再修改過來就可以了,而木馬程式就沒有辦法進行判斷了,哪個是正確的,哪個是錯誤的,只有把這個不可能解答的問題留給盜號者了,如要輸入」12345678″,我先輸入」15678″,然後刪除掉」5678″然後再輸入正確的數字,同樣道理,故意輸錯的次數越多,越安全。

通過以上2招,盜號者收到的木馬記錄的郵件,就像天書一樣的,無法被破解。

全球多地現WhatsApp刪除潮 土耳其當局就事件展開調查 本土軟件一日過百萬下載

Leave a reply

多地網民不滿WhatsApp新私隱政策,紛紛「逃亡」至其他通訊軟件。

通訊軟件WhatsApp近日設立新的強制性私隱條款,硬性迫使用戶跟Facebook分享資料,並要求用戶2月8日前接受,否則便不能再使用WhatsApp,但條款被指侵犯私隱,惹來大量用戶不滿。全球多地WhatsApp用戶轉用其他軟件,土耳其更出現刪WhatsApp潮,令本土通訊軟件BiP一夜爆紅,24小時內激增逾百萬用戶,連土耳其總統埃爾多安也響應,當局其後宣佈對WhatsApp及Facebook展開調查。

2018年數字顯示,WhatsApp是全球133個國家或地區最常用的通訊軟件,包括英國、法國、印度、俄羅斯等,但美國和澳洲人則較常用facebook messenger。而香港周邊的東亞地區,日本、南韓和泰國普遍使用Line和KakaoTalk,中國則以微信為主,只有馬來西亞和印尼較多人用WhatsApp。

不過,WhatsApp要求用戶同意新私隱條款後,Twitter隨即湧現「#DeleteWhatsapp」標籤。Tesla創辦人馬斯克(Elon Musk)呼籲支持者轉用另一通訊軟件Signal後,上述情況更趨明顯,網上不少人呼籲人們轉用Signal或Telegram等通訊軟件。路透社報道,單在周六及周日,全球已有220萬人下載Telegram、逾10萬人下載Signal。

土耳其總統率頭杯葛WhatsApp 競爭委員會展開調查

刪除WhatsApp的潮流在土耳其造就了本土軟件BiP的興起。BiP在2013年成立,由土耳其通訊公司Turkcell持有,提供文字訊息、語言及視像對話功能,目前可在192個國家使用,並擁有約5,300萬名用戶。另外,BiP亦提供限時短訊功能,可讓訊息內容在限時後自動刪除,並設有緊急提示功能,方便用戶在遇險時即時通知親友所在位置。

Twitter周六在土耳其單日錄得逾10萬個標註「#DeletingWhatsapp」的帖文,當地更出現BiP下載潮。單在周六至周日的24小時間,BiP用戶數量便大增112萬。埃爾多安一直不滿中美兩國「數碼殖民」,因此亦趁機宣佈棄用WhatsApp,並從周一起轉用BiP,呼籲國民響應。

競爭委員會周一表示,會就Whatsapp及母公司facebook要求民眾同意強制性私隱條款一事展開調查,聲明指委員會裁定,有關允許收集數據的要求,應該暫停至完成調查為止。

印度商會促禁制WhatsApp facebook

印度是刪除WhatsApp浪潮另一熱點,Signal周日在當地應用程式下載排行榜已升至榜首,甚至一度因印度用家大量湧入而導致伺服器「死機」。印度全國貿易商聯合會(CAIT)促請印度政府,向WhatsApp及母公司facebook頒佈禁令,批評兩者侵犯了逾2億印度用戶私隱,危害國家安全

儘管WhatsApp宣佈,歐盟及英國不會受今次更新私隱政策影響,但歐洲仍有不少人響應網絡號召罷用WhatsApp,Signal周日在蘋果App Store英國區下載排行更登上第一。不少非歐盟地區的網民亦批評WhatsApp雙重標準,只是為怕遭歐盟罰款而屈服。

彭博社/土耳其阿納多盧通訊社/印度報業托拉斯/印度Trak.in網站

Signal 如何設置「閱後即焚」、add錯人可以點樣做

Leave a reply

Signal使用教學Q&A 如何設置「閱後即焚」、add錯人可以點樣做

外國網站Wired也曾評論Signal會比Whatsapp更有保障,因為Signal開源,更易了解他的運作,WhatsApp母公司Facebook近年則有太多不當處理用戶資料的紀錄。

國安法殺到,即時通訊軟件的保安問題再度惹起關注,其中被指較為安全的Signal亦開始受到網民關注。網絡作家Pazu 薯伯伯作為用家亦整合了一些使用心得。

如何設置「閱後即焚」?

手機版,點擊名字位置,選擇「自動銷毀訊息」,設定日期。我一般選用一星期,討論私密話題時改為一日或更短的時間。

誰可以設置「閱後即焚」的功能?

任何小組成員或你聯絡的人,都可以隨便設置「閱後即焚」功能?

我設置了「閱後即焚」,但我朋友在一天後仍然看到訊息,為甚麼?
因為是「閱後」才開始計時,如果設置了「閱後即焚」的時間是一小時,你在一時發出訊息,由於你已即時閱讀了,所以兩點就焚毀。但你朋友是三時才閱讀,那麼在他的手機上,訊息會在四時焚毀。

如何設置小組管理人(admin)?

在 Signal 的小組沒有任何 admin 的概念,很公平,任何人也能改動小組的設定,包括加人進來。

我加錯了其他朋友,如何把他「踢」出去?

Signal 的小組不能踢人出去,如果加錯了人,只能請他自己離開,又或是自己開一個新的小組,然後忽略之前的小組。由於 Signal 的訊息普遍不打算長留,換小組的操作雖然有一點點麻煩,但也不算大災難。

有沒有可愛一點的 Signal 聊天貼紙?

有,注意這是非官方的網站,在這裏只可以下載貼紙: https://signalstickers.com/ 。如果要下載軟件,必須到達官方網站 http://www.signal.org/

我用了 Signal,等如是匿名、隱身嗎?

匿名隱身,以及安全加密,是兩個截然不同的概念。先說清楚,Signal 是一個相對安全有加密的聊天工具,不論你是用太空卡或個人的電話號碼,但不代表可以完全隱藏自己的身份。

我明明用了太空卡來登記 Signal 號碼,為何不是隱身?

簡單來說,單靠太空卡不能確保匿名隱身,例如你的太空卡插在舊有的電話,而舊電話又插過原來的電話卡,那麼你的真實電話卡與太空卡就能有關聯,也就不是真正意義的太空卡。即使你用了太空卡加太空機,但你購買的過程,是否乾淨?你使用太空卡機組合時,是否長期確保與你主要使用的手機長期保持距離及時間差別?有沒有曾經在家中使用過太空機?匿名隱身,以及安全加密,是兩個截然不同的概念。

如果不能隱身,為甚麼還要轉用 Signal?

打個比喻,一對夫妻不介意別人知道他們的關係,但會介意別人觀看他們做愛的方式。同樣道理,你與朋友之間是相互認識,這個不一定是秘密,但你與他相談幾千億的大生意,就未必想人知道太多內容細節了。

如果我想確保同一小組的人全部匿名,有甚麼辦法?

單是全部人使用太空卡,根本不足夠。使用 Telegram 的話,雖然理論上可以隱藏手機號,但實際上已發生過多次洩漏事件。而即使用太空卡登記 Signal,也不一定代表可以隱身。

Signal 有桌面電腦版本嗎?

不知為甚麼,已經不止一位朋友跟我說找不到 Signal for Desktop 版,但其實在他們官網就有: https://signal.org/download/

Signal 還有甚麼有趣的功能?

發送圖片時,選擇好照片,在發送之前,上方有個類似「囲」的圓圈圖示,可以自動「模糊臉部」。發送照片之前的左下方有個 ∞ 的圖示,點一下變成 1x,對方便只能看一次圖片(軟件稱這是「一次性圖片」,嘿)。不過對方截屏的話,你是無法阻止,例如使用「錄屏」或用相機拍一張,又或者桌面看相片再在桌面電腦用截屏軟件。總之發了圖,就不要以為對方只能看一次。

資料來源:Pazu 薯伯伯

最好的保密者,不止要守口如瓶

Leave a reply

最好的保密者,不止要守口如瓶
文:薯伯伯

萬一法庭要求 Signal 提交客戶資料,Signal 會如何應對?我們不說理論,只看真實經過法庭驗證的實例。

話說在 2016 年 6 月 30 日,美國維珍尼亞州東區聯邦地區法院發出傳票,要求 Signal 的代表機構,向聯邦大陪審團提供兩名 Signal 用戶的信息。

Signal 的代表機構美國公民自由聯盟基金(American Civil Liberties Union Foundation)向法院提交的正式回應,摘要如下:

– 美國法院的大陪審團要求向 Signal 交出兩個用戶的戶口資料。

– Signal 的代表回應:兩個電話號碼,一個沒有 Signal 帳號,另一個有。

– Signal 所採用的 Open Whisper Systems(OWS)對這名用戶只保留了兩項資料:

1. 開戶時間(time of account creation)。

2. 最後一次連接到 Signal 伺服器的時間(date of the last connection to Signal servers)

在回應法院的聲明裡,Signal 的代表機構還強調:

– Signal 並沒有存儲用戶的姓名

– Signal 並沒有存儲用戶的地址

– Signal 並沒有存儲用戶的電話號碼

– Signal 並沒有存儲用戶的電郵地址

– Signal 並沒有存儲用戶的交費方式

– Signal 並沒有存儲用戶的IP 註冊

– Signal 並沒有存儲用戶的IP 登入資料及地址

– Signal 並沒有存儲用戶的帳號歷史

– Signal 並沒有存儲用戶的收費記錄

– Signal 並沒有存儲用戶的上下流的供應商

– Signal 並沒有存儲用戶的 cookies 資料

– Signal 並沒有存儲用戶其他相關資料。

Signal 的代表機構還嚴正地回應法院的傳票,指出根據法例美國法院根本不能以大陪審團的傳票形式取得該幾項的資料。即使有合法的傳票,他們根本就沒有相關資料,所以在技術上是無辦法提供任何資料。

後來 Signal 在自己的博客上這樣解釋:「我們設計 Signal 服務時,儘量減少保留的用戶數據,我們能提供的唯一信息是用戶註冊 Signal 的日期和時間,以及用戶連接到 Signal 服務的最後日期。」

並再補充道:「我們沒有存儲用戶聯繫人的任何信息(如聯繫人本身、聯繫人的哈希值、任何其他衍生的聯繫人信息等),關於用戶組的任何信息(如用戶有多少個組,用戶在哪個組,用戶組的成員列表),或者用戶與誰通信的任何記錄。」

Signal 強調:「所有的消息內容都是端到端加密的,所以我們也沒有這些信息。」

當有人說,他們發現 Signal 的用戶協議裡,聲稱會向司法機構提供資料,其實這句話的含意,是他們會提供開戶日期時間,及最後連線的日期資料。

至於 Telegram 呢?最近看 HKFP 的報道,聲稱 Telegram 承諾暫時停止向香港執法或司法機構提供用戶資料,那他們如果要提供資料,可以提供甚麼呢?按以往的其他報道,他們有保留用戶的 IP 地址及電話號碼。至於還有沒有其他,就不是太肯定。

不過與其信一間公司自己的說法,我寧願更信一個經受法庭傳票驗證的事實。

最好的保密者是甚麼?

不是守口如瓶的人,而是甚麼也不知道的伙伴。

這個在資訊保安上,其實有一個名詞,叫zero knowledge,零知識,當對方甚麼也不知道時,即使想出賣你,也沒有辦法。類似的情況,還有 ProtonMail。ProtonMail 是加密的電郵系統,服務供應商如果收到傳票要把你的資料供出,也是無能為力。他們可以幫你把戶口的密碼重置,但裡面的內容會自動全盤崩毀,100% 刪除,不能回復。

這就是 zero knowledge 的意義與威力。

我們的信任,從來不應天真地建立在一間公司或機構之上,而是建基在制度之上。只有當制度的設計本身,根本不容許背叛,我們才能相信自己不會被背叛。

香港人,不會對上述這句話感到陌生吧?

👉 有關 Signal 回應美國維珍尼亞州東區聯邦地區法院傳票一事,請參考:

https://signal.org/bigbrother/eastern-virginia-grand-jury/

https://www.patreon.com/posts/39028166