【大整合+重開】電話+電腦+通訊+密碼+洗機消毒:保安+常見誤解


  • 【大整合+重開】電話+電腦+通訊+密碼+洗機消毒:保安+常見誤解

    【大整合+重開】電話+電腦+通訊+密碼+洗機消毒:保安+常見誤解

    《目錄》

    1. 習慣性嚴重錯誤
    2. 分散投資原則
    3. 通訊軟件
    4. 密碼
    5. 洗機消毒方法+全碟加密

    唔想喺連登睇嘅,可以下載完全手冊:https://drive.google.com/file/d/1cm50T0no9RFSUwFE28KpOhOnU9DjtRO8/view

    坊間好多保安問題其實唔係「密碼唔夠長」呢啲流於片面嘅錯誤,而係成個保安流程習慣性出錯。Security is only as good as your weakest link. 你淨係顧及「我條密碼夠唔夠長」或者「我有冇用iPhone」基本上係冇用,因爲你條防禦線淨係得一個位硬,個入侵者就可以兜路去攻擊你冇理嘅嗰個弱點。繼續讀落去之前請先check你有冇做任何以下嘅習慣性嚴重錯誤:

    ==1. 習慣性嚴重錯誤==

    1. 去唔同網站或軟件開account嘅時候用同一個e-mail或電話做username
    2. 去唔同網站或軟件開account嘅時候用同一個密碼(或同一個密碼做基礎然後加少少變化)
    3. 用同一個通訊account處理公司(行動)同私人嘢
    4. 用同一部電話+電腦處理公司(行動)同私人嘢
    5. 任何電話+電腦有安裝過中國公司製作嘅軟件(e.g. AliPay, Taobao, Clean Master, MiFit, WeChat, Doutin/TikTok, WiFi Master Key, iQiyi, QQ Video, Toutiao, etc etc etc)
    6. 使用某人捐贈嘅二手機之前完全冇消毒過(下面會有消毒講解)

    如果有犯下上述錯誤,請立即糾正。第5點我個人會直接買過部新機,但係如果你想承擔「洗機其實可能洗得唔乾淨」嘅風險,可以考慮消毒instead of買過部。

    ==2. 分散投資原則==

    1. 凡係保安嘅嘢,都唔可以淨係rely on一個防線。公司嘅資料請您唔好直接download落部電話到,因爲咁樣你就會完全依靠「電話嘅offline資料加密係work」。通訊軟件一樣,各位開咗2-factor authentication未?
    2. 工資資料麻煩你除咗電腦/電話本身嘅加密之外,再擺入去一個Veracrypt container裏面,而且唔好咁無聊個Veracrypt container嘅密碼同電腦加密嘅密碼一樣。
    3. 不論電話,電腦,定係container,你存取裏面嘅資料嘅時候,其實已經解咗密:意思即係,如果你電話冇閂機(唔係lock screen,係完全閂機),或者個Veracrypt container冇閂,咁你部電腦其實同冇加密冇分別。
    4. 善用Veracrypt hidden container嘅功能。佢嘅功能係可以一個container整兩個password,一個假嘅password會開到第一層加密,真嘅password可以開到第二層加密。當你真係被警甴拉咗打到頂唔順,你真係feel到會有生命威脅嘅時候,你可以透露第一層嗰個password。第一層裏面麻煩你真係擺一啲敏感但係唔係最敏感嘅公司資料。

    ==3. 通訊軟件==

    Q:Telegram唔係secure㗎咩?佢話有加密㗎喎,我甚至有用secret chat添喎。
    A:電腦保安界其實講咗好多年Telegram唔係真係咁secure,佢嘅加密其實係你同個server之間 (client-to-server encryption),唔係你同個聯絡人之間 (end-to-end encryption/”E2E”),secret chat係有 E2E,但係Telegram個加密方法係佢自主研發,唔係用保安界公認work嘅加密法。

    Q:咁用咩好?
    A:公認係Signal嘅加密最好,連Snowden都推薦,但係有一個缺點:開account要用電話號碼。所以你要買一張即棄電話咭(俗稱太空卡)。
    A:如果唔用Signal用咩好?我會推薦以下全部都係open-source嘅選擇:Keybase, Jami. (Tox唔建議用,因爲個加密方法未被密碼學人士稽查。)

    Q:係咪淨係轉用一個好啲嘅通訊軟件就得?
    A:唔係,你仲要用得啱先得。例如:你部公司電話有齊同事嘅contact,跟住你又log in個人嘅Google/Apple account,搞到同事嘅contact sync哂落個個人account到,咁你不如唔好用公司電話。又例如:你有一部處理某公司嘅電話(張記滅火),跟住你想去另外一間公司幫手(陳記宣傳),你竟然用同一部電話+account同第二間公司聯絡,咁你就間接害死咗兩間公司。

    ==4. 密碼==

    Q:係咪長短嘅問題?
    A:係,但係亦都唔係,因爲鳩長係冇用。以下係錯誤示範:

    1. 用一個所謂base password再加唔同嘅字串(e.g. FuckThePopo2020LIHKG, FuckThePopo2019Facebook, FuckThePopo2019Instagram),有用過撞密碼軟件嘅人(e.g. John the Ripper)就知呢啲咁嘅pattern根本同冇加係一樣,因爲撞密碼嘅軟件根本會自動試埋呢啲pattern
    2. 用一啲所謂變化字(e.g. F2ckTh3P0p0, FuCktHEpOPO),原因同1一樣
    3. 加一啲數字符號落一個基本嘅base password(e.g. Fuck1The2Popo3),原因同1一樣
    4. 同一條base password重複幾次(e.g. Fuck The Popo Fuck The Popo Fuck The Popo),原因同1一樣

    Q:咁我用 gÏB»¥{9Ä*:-&ò"P"[_!#Xr9}]!y; 一定夠安全啦啩?
    A:係,但係你個人腦唔會記到。

    Q:咁點先得?
    A:用一種叫做password manager嘅嘢,再加diceware。

    Q:即係點?
    A:你個人腦淨係需要記得兩個密碼:一個係電腦/電話加密嘅開機密碼,一個係個password manager嘅密碼。其餘全部網站/app/通訊嘅密碼,都用個password manager gen出嚟,由個password manager幫你記。

    (Linux LUKS/dm-crypt同MacOS FileVault加咗密之後,開機都要入一條加密密碼,同你個log in密碼唔同。Windows BitLocker預設係冇呢個防禦,所以請您跟https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin-on-windows/ 加返個開機PIN,有或者直情唔好用Bitlocker,用VeraCrypt)

    Password manager普通人我會推薦Bitwarden,熟電腦嘅我會推薦KeepassXC。安裝完之後入去你每一個account,逐個重新用個password manager gen過一個新嘅password,用個password manager幫你記。整完之後鏟哂Chrome呀,Firefox呀嗰啲幫你記咗嘅密碼。

    好啦,咁password manager同你部電腦加密開機嗰個密碼又點gen呢?用diceware。

    你真係間諜嘅話可以搵一粒骰人手做Diceware,但係而家科技發達所以不如用網站好過:
    https://www.rempe.us/diceware/#eff
    用6 words或更長,gen一條人腦記到但係又夠entropy嘅密碼。
    Diceware嘅原理講解(有英文字幕):
    https://www.youtube.com/watch?v=Pe_3cFuSw1E

    ==5. 洗機消毒+全碟加密==
    之前寫過,而家直接copy and paste,sorry唔係用港文寫…

    請按情況選擇應對:

    1. 電腦從未接觸過公司敏感資料,包括Google Drive,Telegram,其他有關文件或project:無須銷毀
    2. 電腦曾經接觸過公司敏感資料,但由未接觸之前已經開啓了全碟加密(full-disk encryption,亦即Veracrypt encrypt system partition, Bitlocker, Filevault, 或 LUKS+dm-crypt):無須銷毀,但切記電腦資料只有在完全關機情況下才爲保密,若電腦在待機模式(suspend/sleep)時被充公(例如你淨係搇埋個mon),敵人有辦法繞過加密。
    3. 電腦曾經接觸過公司敏感資料,但由接觸之後已經開啓了全碟加密:清洗空間(wipe free space)。
    4. 電腦曾經接觸過公司敏感資料,而且至今仍未開啓全碟加密:開啓全碟加密,然後清洗空間(wipe free space)。
    5. 公司資料放在加密container內(如:Veracrypt container),且用過冇全碟加密的電腦存取:開啓全碟加密,然後清洗空間(wipe free space)。
    6. 銷毀個別檔案:見如何銷毀個別檔案。
    7. 銷毀整部電腦:見如何銷毀整部電腦。

    如何全碟加密
    ==Windows (Veracrypt)==

    1. 下載Veracrypt: https://www.veracrypt.fr/en/Downloads.html
    2. System > Encrypt System Partition/Drive
    3. 跟指示繼續

    ==Windows (BitLocker)==

    1. BitLocker只適用於Pro版嘅Windows,而且香港警察已經試過用某種辦法破解過(2017年縱橫遊case,可能係人手疏忽backup咗個recovery key係未加密嘅地方,亦可能係Bitlocker根本政府有辦法破解)
    2. 入控制台Control Panel > System and Security > Manage Bitlocker > Enable Bitlocker
    3. 跟指示繼續

    ==MacOS (Filevault)==

    1. Apple menu (左上角) > System Preferences > Security & Privacy > Filevault
    2. 跟指示繼續

    ==Linux (LUKS+dm-crypt)==

    1. 自己搵distro嘅guide,或者參考:https://wiki.archlinux.org/index.php/disk_encryption

    ==如何清洗空間 (wipe free space)==

    啲link出唔到(喊)

    ==Windows+Linux (Bleachbit)==

    1. 下載Bleachbit
    2. Scroll落去 System,剔 Free disk space
    3. 按垃圾桶 ‘Clean’ icon
    4. 食返個tea,等

    ==MacOS (手動)==

    1. 舊版MacOS(El Capitan之前)可以開Disk Utility直接wipe free space,但係最新版無咗呢個功能,要手動整
    2. 開Terminal
    3. Copy and paste以下命令,然後按enter:
    4. diskutil secureErase freespace 1 "/Volumes/Macintosh HD"
    5. 沖返杯茶,等

    ==如何銷毀個別檔案==
    ==Windows+Linux (Bleachbit)==

    1. 下載Bleachbit
    2. File > Shred Files / Shred Folders

    ==MacOS (Permanent Eraser)==
    Eden Waith嗰個。自己search,出唔到link lol

    ==如何銷毀整部電腦==

    1. 下載DBAN(右上角)
    2. 如果被銷毀嘅電腦有CD-drive,可以直接將DBAN嘅ISO檔案燒落CD到,然後放CD落電腦,開機,跳落第9步,如果想用USB,繼續讀落去
    3. 下載Rufus(scroll落download)
    4. 插入一個USB手指(會del哂啲嘢),開Rufus
    5. Make sure個Device係個USB手指
    6. 按SELECT,揀返DBAN嗰個iso檔案
    7. 按START
    8. 將個USB插入想銷毀嘅電腦,開機
    9. 見到以下畫面後,按F3,入quick commands:

    alt text

    1. 見到以下畫面後,打prng,ENTER;DBAN會將全部資料改寫爲隨機亂碼:

    alt text

    1. 讀小說,或處理其他嘢,慢慢等

    ==電話消毒==
    自己睇官方程序,唔好跟啲網民自己post嘅嘢。

    Android: https://support.google.com/android/answer/6088915
    iOS: https://support.apple.com/en-hk/HT201351

    Android用戶記得做以上程序之前入去settings delete哂呢啲Google accounts先,因爲你唔del嘅話部機會factory reset之後食死咗喺個舊account到,如果你係二手機嘅話就永世用唔到部機。