問:最近,學民思潮有成員的Gmail戶口被竊,令不少學民思潮成員資料,以及Facebook曝光。現時Gmail有二步認證的方法,防止戶口被竊,但這麼多種二步認證方法中,有那一個方法是最可靠,而可以肯定密碼不會在途中被竊?
李建軍:谷歌現時支援二步認證的方法很多,包括短信、電話、手機應用程式,以及USB加密金鑰。
現時眾多二步認證方法中,最安全穩當而且易用是USB加密金鑰,因為USB加密金鑰完全不會將認證碼經任何未有加密的電訊網絡傳送,而現時買到的USB加密金鑰,亦在美國等國製造,很難受中國當局的影響。只不過,這種方法在技術上有比較多限制。只有桌面電腦能夠支援USB加密金鑰,手機以及平板電 腦就不能夠支援,亦只有Chrome瀏覽器才能支援USB加密金鑰,IE以及Safari使用者完全享受不到USB加密金鑰的好處。
對中國用戶而言,由於無法在中國買到USB加密金鑰,必須在美國或歐洲國家訂購,一旦遺失加密金鑰都將會頗為麻煩。
另一個相當可靠方法是Google Authenticator的應用程式,就算你手機接收不到短信,甚至完全沒連上互聯網都好,只要運行這個應用程式,都可以產生必須的二步認證碼,只要第一次做好短信或電話認證便可,這個應用程式適合一些頻繁更改電話號碼,又嫌買USB加密金鑰麻煩的人。現時Google Authenticator支援iOS、Android以及Blackberry,幾乎涵蓋了大部分手機作業系統。
你亦可以設定常用的電腦不用二步認證碼都可以登入,但其餘機器一律需要用二步認證碼,但設為不用二步認證碼的電腦或手機,都必須是常攜帶在身的手機或電腦,否則不法之徒或中國政府的人,就會有機可乘,偷掉了你的谷歌戶口也不自知。
問:在上集翻牆問答中,只是示範了MD-5雜湊碼來驗證翻牆軟件真偽,而沒有示範相對安全的SHA-1雜湊碼?
李建軍:要成功鑒定翻牆軟件的真偽,就必須軟件開發商提供相關的雜湊碼,現時無論自由門,還是無界瀏覽,都是在網站提供MD-5的雜湊碼,而並非SHA-1 甚至更安全的SHA-256雜湊碼。因此,我們就算想教如何使用SHA-1雜湊碼來驗證軟件真偽,都仍然無能為力。要等翻牆軟件開發商,陸續改用SHA-1甚至SHA-256雜湊碼,才可能會有更安全的使用方式。
除了翻牆問答教的方法,透過互聯網以及瀏覽器,都可以檢查檔案的MD-5雜湊碼是否原裝正版,而無須理會自己電腦的作業系統。這次翻牆問答預備視頻,示範有關用法,歡迎聽眾瀏覽本台的網站收看。
問:MD-5到底有什麼漏洞,為何有部分人視MD-5為一個不大安全的雜湊碼技術?
MD-5是上世紀九十年代發展的技術,至今用了接近廿五年,無論長度,還是當中演算法則,都被黑客所看破,因此MD-5技術己經不能夠保證百分百可靠。SHA-1稍遲於MD-5發展,但都用了二十年,不少弱點亦被黑客所識破,因此都被視為一種不大安全的技術。
現時俗稱SHA-256的SHA-2家族,是暫時最安全的技術,除了因為技術新外,亦因為雜湊字碼長度比較長,演算法暫時漏洞不多,黑客未有能力在SHA- 2的雜湊碼上動手腳。若更多軟件公司願意公布檔案的SHA-2雜湊碼,用戶可以改用SHA-2雜湊碼認辨軟件真偽,再配合檔案數碼證書的普及,中國當局以至部分黑客要在網上發放假的軟件,恐怕並非一件容易的事。而2012年發表的SHA-3現時尚未普及,相信在一段時日後才會出現相關應用。
0:00 / 0:00