【大整合+重開】電話+電腦+通訊+密碼+洗機消毒：保安+常見誤解

匿名者

【大整合+重開】電話+電腦+通訊+密碼+洗機消毒：保安+常見誤解

• 分享自 LIHKG 討論區
  https://lih.kg/1956324

【大整合+重開】電話+電腦+通訊+密碼+洗機消毒：保安+常見誤解

《目錄》

1. 習慣性嚴重錯誤
2. 分散投資原則
3. 通訊軟件
4. 密碼
5. 洗機消毒方法+全碟加密

唔想喺連登睇嘅，可以下載完全手冊：https://drive.google.com/file/d/1cm50T0no9RFSUwFE28KpOhOnU9DjtRO8/view

坊間好多保安問題其實唔係「密碼唔夠長」呢啲流於片面嘅錯誤，而係成個保安流程習慣性出錯。Security is only as good as your weakest link. 你淨係顧及「我條密碼夠唔夠長」或者「我有冇用iPhone」基本上係冇用，因爲你條防禦線淨係得一個位硬，個入侵者就可以兜路去攻擊你冇理嘅嗰個弱點。繼續讀落去之前請先check你有冇做任何以下嘅習慣性嚴重錯誤：

==1. 習慣性嚴重錯誤==

1. 去唔同網站或軟件開account嘅時候用同一個e-mail或電話做username
2. 去唔同網站或軟件開account嘅時候用同一個密碼（或同一個密碼做基礎然後加少少變化）
3. 用同一個通訊account處理公司（行動）同私人嘢
4. 用同一部電話+電腦處理公司（行動）同私人嘢
5. 任何電話+電腦有安裝過中國公司製作嘅軟件（e.g. AliPay, Taobao, Clean Master, MiFit, WeChat, Doutin/TikTok, WiFi Master Key, iQiyi, QQ Video, Toutiao, etc etc etc）
6. 使用某人捐贈嘅二手機之前完全冇消毒過（下面會有消毒講解）

如果有犯下上述錯誤，請立即糾正。第5點我個人會直接買過部新機，但係如果你想承擔「洗機其實可能洗得唔乾淨」嘅風險，可以考慮消毒instead of買過部。

==2. 分散投資原則==

1. 凡係保安嘅嘢，都唔可以淨係rely on一個防線。公司嘅資料請您唔好直接download落部電話到，因爲咁樣你就會完全依靠「電話嘅offline資料加密係work」。通訊軟件一樣，各位開咗2-factor authentication未？
2. 工資資料麻煩你除咗電腦/電話本身嘅加密之外，再擺入去一個Veracrypt container裏面，而且唔好咁無聊個Veracrypt container嘅密碼同電腦加密嘅密碼一樣。
3. 不論電話，電腦，定係container，你存取裏面嘅資料嘅時候，其實已經解咗密：意思即係，如果你電話冇閂機（唔係lock screen，係完全閂機），或者個Veracrypt container冇閂，咁你部電腦其實同冇加密冇分別。
4. 善用Veracrypt hidden container嘅功能。佢嘅功能係可以一個container整兩個password，一個假嘅password會開到第一層加密，真嘅password可以開到第二層加密。當你真係被警甴拉咗打到頂唔順，你真係feel到會有生命威脅嘅時候，你可以透露第一層嗰個password。第一層裏面麻煩你真係擺一啲敏感但係唔係最敏感嘅公司資料。

==3. 通訊軟件==

Q：Telegram唔係secure㗎咩？佢話有加密㗎喎，我甚至有用secret chat添喎。
A：電腦保安界其實講咗好多年Telegram唔係真係咁secure，佢嘅加密其實係你同個server之間 (client-to-server encryption)，唔係你同個聯絡人之間 (end-to-end encryption/”E2E”)，secret chat係有 E2E，但係Telegram個加密方法係佢自主研發，唔係用保安界公認work嘅加密法。

Q：咁用咩好？
A：公認係Signal嘅加密最好，連Snowden都推薦，但係有一個缺點：開account要用電話號碼。所以你要買一張即棄電話咭（俗稱太空卡）。
A：如果唔用Signal用咩好？我會推薦以下全部都係open-source嘅選擇：Keybase, Jami. （Tox唔建議用，因爲個加密方法未被密碼學人士稽查。）

Q：係咪淨係轉用一個好啲嘅通訊軟件就得？
A：唔係，你仲要用得啱先得。例如：你部公司電話有齊同事嘅contact，跟住你又log in個人嘅Google/Apple account，搞到同事嘅contact sync哂落個個人account到，咁你不如唔好用公司電話。又例如：你有一部處理某公司嘅電話（張記滅火），跟住你想去另外一間公司幫手（陳記宣傳），你竟然用同一部電話+account同第二間公司聯絡，咁你就間接害死咗兩間公司。

==4. 密碼==

Q：係咪長短嘅問題？
A：係，但係亦都唔係，因爲鳩長係冇用。以下係錯誤示範：

1. 用一個所謂base password再加唔同嘅字串（e.g. FuckThePopo2020LIHKG, FuckThePopo2019Facebook, FuckThePopo2019Instagram），有用過撞密碼軟件嘅人（e.g. John the Ripper）就知呢啲咁嘅pattern根本同冇加係一樣，因爲撞密碼嘅軟件根本會自動試埋呢啲pattern
2. 用一啲所謂變化字（e.g. F2ckTh3P0p0, FuCktHEpOPO），原因同1一樣
3. 加一啲數字符號落一個基本嘅base password（e.g. Fuck1The2Popo3），原因同1一樣
4. 同一條base password重複幾次（e.g. Fuck The Popo Fuck The Popo Fuck The Popo），原因同1一樣

Q：咁我用 gÏB»¥{9Ä*:-&ò"P"[_!#Xr9}]!y; 一定夠安全啦啩？
A：係，但係你個人腦唔會記到。

Q：咁點先得？
A：用一種叫做password manager嘅嘢，再加diceware。

Q：即係點？
A：你個人腦淨係需要記得兩個密碼：一個係電腦/電話加密嘅開機密碼，一個係個password manager嘅密碼。其餘全部網站/app/通訊嘅密碼，都用個password manager gen出嚟，由個password manager幫你記。

（Linux LUKS/dm-crypt同MacOS FileVault加咗密之後，開機都要入一條加密密碼，同你個log in密碼唔同。Windows BitLocker預設係冇呢個防禦，所以請您跟https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin-on-windows/ 加返個開機PIN，有或者直情唔好用Bitlocker，用VeraCrypt）

Password manager普通人我會推薦Bitwarden，熟電腦嘅我會推薦KeepassXC。安裝完之後入去你每一個account，逐個重新用個password manager gen過一個新嘅password，用個password manager幫你記。整完之後鏟哂Chrome呀，Firefox呀嗰啲幫你記咗嘅密碼。

好啦，咁password manager同你部電腦加密開機嗰個密碼又點gen呢？用diceware。

你真係間諜嘅話可以搵一粒骰人手做Diceware，但係而家科技發達所以不如用網站好過：
https://www.rempe.us/diceware/#eff
用6 words或更長，gen一條人腦記到但係又夠entropy嘅密碼。
Diceware嘅原理講解（有英文字幕）：
https://www.youtube.com/watch?v=Pe_3cFuSw1E

==5. 洗機消毒+全碟加密==
之前寫過，而家直接copy and paste，sorry唔係用港文寫…

請按情況選擇應對：

1. 電腦從未接觸過公司敏感資料，包括Google Drive，Telegram，其他有關文件或project：無須銷毀
2. 電腦曾經接觸過公司敏感資料，但由未接觸之前已經開啓了全碟加密（full-disk encryption，亦即Veracrypt encrypt system partition, Bitlocker, Filevault, 或 LUKS+dm-crypt）：無須銷毀，但切記電腦資料只有在完全關機情況下才爲保密，若電腦在待機模式（suspend/sleep）時被充公（例如你淨係搇埋個mon），敵人有辦法繞過加密。
3. 電腦曾經接觸過公司敏感資料，但由接觸之後已經開啓了全碟加密：清洗空間（wipe free space）。
4. 電腦曾經接觸過公司敏感資料，而且至今仍未開啓全碟加密：開啓全碟加密，然後清洗空間（wipe free space）。
5. 公司資料放在加密container內（如：Veracrypt container），且用過冇全碟加密的電腦存取：開啓全碟加密，然後清洗空間（wipe free space）。
6. 銷毀個別檔案：見如何銷毀個別檔案。
7. 銷毀整部電腦：見如何銷毀整部電腦。

如何全碟加密
==Windows (Veracrypt)==

1. 下載Veracrypt: https://www.veracrypt.fr/en/Downloads.html
2. System > Encrypt System Partition/Drive
3. 跟指示繼續

==Windows (BitLocker)==

1. BitLocker只適用於Pro版嘅Windows，而且香港警察已經試過用某種辦法破解過（2017年縱橫遊case，可能係人手疏忽backup咗個recovery key係未加密嘅地方，亦可能係Bitlocker根本政府有辦法破解）
2. 入控制台Control Panel > System and Security > Manage Bitlocker > Enable Bitlocker
3. 跟指示繼續

==MacOS (Filevault)==

1. Apple menu （左上角） > System Preferences > Security & Privacy > Filevault
2. 跟指示繼續

==Linux (LUKS+dm-crypt)==

1. 自己搵distro嘅guide，或者參考：https://wiki.archlinux.org/index.php/disk_encryption

==如何清洗空間 (wipe free space)==

啲link出唔到（喊）

==Windows+Linux (Bleachbit)==

1. 下載Bleachbit
2. Scroll落去 System，剔 Free disk space
3. 按垃圾桶 ‘Clean’ icon
4. 食返個tea，等

==MacOS （手動）==

1. 舊版MacOS（El Capitan之前）可以開Disk Utility直接wipe free space，但係最新版無咗呢個功能，要手動整
2. 開Terminal
3. Copy and paste以下命令，然後按enter:
4. diskutil secureErase freespace 1 "/Volumes/Macintosh HD"
5. 沖返杯茶，等

==如何銷毀個別檔案==
==Windows+Linux (Bleachbit)==

1. 下載Bleachbit
2. File > Shred Files / Shred Folders

==MacOS (Permanent Eraser)==
Eden Waith嗰個。自己search，出唔到link lol

==如何銷毀整部電腦==

1. 下載DBAN（右上角）
2. 如果被銷毀嘅電腦有CD-drive，可以直接將DBAN嘅ISO檔案燒落CD到，然後放CD落電腦，開機，跳落第9步，如果想用USB，繼續讀落去
3. 下載Rufus（scroll落download）
4. 插入一個USB手指（會del哂啲嘢），開Rufus
5. Make sure個Device係個USB手指
6. 按SELECT，揀返DBAN嗰個iso檔案
7. 按START
8. 將個USB插入想銷毀嘅電腦，開機
9. 見到以下畫面後，按F3，入quick commands：

10. 見到以下畫面後，打prng，ENTER；DBAN會將全部資料改寫爲隨機亂碼：

11. 讀小說，或處理其他嘢，慢慢等

==電話消毒==
自己睇官方程序，唔好跟啲網民自己post嘅嘢。

Android: https://support.google.com/android/answer/6088915
iOS: https://support.apple.com/en-hk/HT201351

Android用戶記得做以上程序之前入去settings delete哂呢啲Google accounts先，因爲你唔del嘅話部機會factory reset之後食死咗喺個舊account到，如果你係二手機嘅話就永世用唔到部機。