小棗棧 » security

最易記密碼排行榜 2011

Joe Ho — Fri, 25 Nov 2011 02:26:00 +0000

2011 年差不多完結, 就等小棗搶先同大家回顧今年最易估密碼. 如果閣下既密碼表內有以下任何一組, 恭喜你! 你有機會被入侵了.

password
123456
12345678
qwerty
abc123
monkey
1234567
letmein
trustno1
dragon
baseball
111111
iloveyou
master
sunshine
ashley
bailey
passw0rd
shadow
123123
654321
superman
qazwsx
michael
football

要找一個安全度高既密碼其實不難, 只要密碼採用下列既基本法則便可:

英文小楷: 1 個
英文大楷: 1 個
數字: 2 個
最少密碼長度: 6~8 位
更改密碼時間: 1 個月/

例如: 1L0v3TV$ = I Love TV Show

以上列出既密碼只屬示範, 而且已可在網上找得到. 小棗既例子有機會成為 2012 上榜既密碼, 切忌使用及請自行以相同方法構思.

android 平台的安全威脅

Joe Ho — Thu, 15 Sep 2011 22:25:00 +0000

防毒軟件公司 F-Secure 在 2011 年 9 月 8 日發表了一篇名為 New Android Riskware 的文章, 內容提及近日發現 android market 內有數個遊戲 app 有安全問題.

那些毒 app 會要求很多讀取私隱權限, 例如 SMS / MMS 存取, 甚至停止部分程式運行既權限.

不過, 這些毒 app 部分會有安裝失敗既情況. 如下圖:

雖然 app 安裝失敗亦不代表安全, 因為實情係程度會在安裝失敗前毒 app 會先記下系統的 IMSI 碼, 先嘗試透明上網傳回系統資料到下列伺服器:

http://mobile.tx.com.cn:[...]/client.[...].do

http://mobile.tx.com.cn:[...]/client/[...].do

如果上網失敗就會以下列格式透過短訊傳回資料:

99# [ IMSI ]#android#[ app_specific_string ]

暫時估計都有想用家進入收費陷阱, 不過安全 app 時還是留意一下每個 app 既權限.

參考資料:
New Android Riskware – http://www.f-secure.com/weblog/archives/00002233.html

假 Windows Update 網站企圖攻擊 firefox

Joe Ho — Fri, 17 Jun 2011 06:27:00 +0000

最近有報導指 firefox 用戶有機會被騙到假 Windows Update 網站並試圖引誘 firefox 用戶下載及安裝含有病毒既假 Windows Update 程式. 報導內沒有提及那個網站, 但此次事件明顯針對 Windows 版本既 firefox.

小棗認為這招影響性較低, 禍及特定平台既 firefox, 受騙人數亦極有限, 始終 firefox 用戶應該對電腦有較深認識.

要禦防這類欺騙網站其實好簡單, 只要使用 Windows 內置既 Windows Update 功能便可.

以下是各版本執行 Windows Update 既方法:

Windows XP: http://support.microsoft.com/kb/896532

Windows Vista: http://windows.microsoft.com/zh-HK/windows-vista/Install-Windows-updates

Windows 7: http://windows.microsoft.com/en-US/windows7/products/features/windows-update

Gmail 再次被入侵 / Gmail hacked again

Joe Ho — Fri, 03 Jun 2011 03:37:00 +0000

繼幾日前轉載了某位網友關於 google 2 step authentication 後, 有傳媒報導 google gmail 再次被入侵, 消息指源頭來自中國內地. Reuters 是最先報導此消息, 但 google 方面未有在 google 或 gmail 網誌內提及有關事件, 只有在 google blog 內提供設立 2 step authentication 方法. 正如小棗在如何保護你的 Facebook Account 內所講, 2 step authentication 是現時最安全既登入機制. 無論閣下是否政界中人, 如果你的 gmail 真的被 hack, 那麼你的 action list 除了要改 password 外最好還是啟動這個安全既登入機制及向 Google 報告被 hack 情況. 下面就引用 google blog 所提及的方法去啟動 2 step authentication.

Here are some ways to improve your security when using Google products:

Enable 2-step verification. This Gmail feature uses a phone and second password on sign-in, and it protected some accounts from this attack. So check out this video on setting up 2-step verification.

Use a strong password for Google that you do not use on any other site. Here’s a video to help.
Enter your password only into a proper sign-in prompt on a https://www.google.com domain. We will never ask you to email your password or enter it into a form that appears within an email message. Here’s a video with more advice.
Check your Gmail settings for suspicious forwarding addresses (“Forwarding and POP/IMAP” tab, Fig. 1) or delegated accounts (“Accounts” tab, Fig. 2).

Fig. 1

Fig. 2

Watch for the red warnings about suspicious account activity that may appear on top of your Gmail inbox.
Review the security features offered by the Chrome browser. If you don’t already use Chrome, consider switching your browser to Chrome.
Explore other security recommendations and a video with tips on how to stay safe across the web.

Please spend ten minutes today taking steps to improve your online security so that you can experience all that the Internet offers—while also protecting your data.

如何保護你的 Facebook Account

Joe Ho — Tue, 31 May 2011 01:40:06 +0000

[本文最後由 Joe Ho 於 2011-06-04 09:09 AM 編輯]

繼 Google 推出 2-step verification 後, Facebook 最近亦推出基於 SMS 既二重登入機制. 只要申請時填入使用者既手提電話號碼, 完成整個程序後每次登入都要輸入特定認證碼. 可能會覺得麻煩, 不過暫時二重登入機制係最安全既登入方法. 就算登入名稱及密碼被人知道, 仍有第二重防線保護帳戶. 但這樣便需要連手提電話也要好好保管, 否則怎樣登入呢?

如果各位有興趣可跟據下列步驟開啟 Facebook 二重登入功能.

1. 登入 Facebook 戶口, 進入 “帳戶” > “帳戶設定”

2. 在 “設定” 頁面, 進入 “帳戶安全” 部份. 在 “登入許可” 中, 剔選 “要求我輸入發送到我的電話的安全碼”

3. 出現設定畫面後, 只要按要求輸入必要資料便可. 在電話輸入畫面, 輸入香港既區碼, 例如: 85212345678

4. 最後步驟會測試使用者輸入既電話號碼是否正確

5. 如果設定全部成功後, 帳戶會立即被登出. 此後所有登入必須透過二重登入程序

想同大家分享一下使用心得. ~~此功能只對電腦版 Facebook 至有用. 手提電話 / 行動裝置並沒有支援這個功能, 所以開啟了二重登入後並不代表永久沒有安全威脅.~~ 如果用手機登入 Facebook, 第一次會因密碼不正確而未能成功登入, 之後會收到一個 SMS 提示要求以特定既密碼登入, 只要這次輸入正確便登入成功. 另外, 因為第二重認證碼透過 SMS 傳送, 使用者必須 “手提電話不離身”, 而且小棗曾在假日接收不到 Facebook 的 SMS, 令小棗不能登入電腦版 Facebook, 只可透過手提電話或行動裝置查看朋友們的更新.

如各位對 Facebook 既安全有任何問題可在此互相討論.

參考資料:

http://www.mytechguide.org/2011/05/13/enable-two-factor-authentication-login-facebook-security/
http://www.facebook.com/note.php?note_id=10150172618258920&comments

[轉載] 如何保護你的 Google Account 免避盜用

Joe Ho — Sun, 15 May 2011 02:19:00 +0000

最近 Google 推出了一個叫 Google Two Steps Verification 的驗證機制。簡單而言除了用日常的 Google account 密碼來驗證還帶來另一組編碼作雙重驗證。

當啟用了這個服務，簡稱 2-Step verification 後, 每當第一次使用你的 google account 來登入google 的 web apps 或使用 google account 的 3rd parties web apps 或裝置(devices) 如手機，Google 就會要求再輸入另一組驗證碼來登記你所使用的application/device。

這有什麼好處呢？

例如當你的 gmail account 給人盜用了，對方在自己的電腦登入時，因為 hacker 那部電腦之前沒有做過驗證登記，所以 Google 會要求輸入驗證碼。到這裡看到好處嗎？對方知道你的密碼也不能登入讀取你重要的 emails 或其他依賴 Google account 做用戶驗證的 web apps。

如何啟用2-Step verification

到 http://www.google.com/accounts/ 登入你的Google Account

點擊 ”Using 2-step verification”

一些簡單的介紹文字；直接按 ”Set up 2-step verification”

之後會問你用什麼方法來產生驗證碼(verification code)。Google 主要支援兩種方法來產生驗證碼，

智能手機(smartphone) app, 目前支援 Android, BlackBerry 和iPhone
通過其他手機/固網電話發出SMS text 或語音

這裡，以 Android 手機為例，在你的手機，到 Android Market 搜 ”Google Authenticator” 這個 app 並安裝。

設置畫面會產生一個 QR 碼，用剛安裝好的 Google Authenticator app 來掃描一下。

Google authenticator app 掃描後，會產生一個驗證碼，在頁面上輸入這個碼。

驗證成功就出現這個頁面，按 ”Next”

Google 會產生10組的後備驗證碼，目的是用來日後如果沒有手機在身上而要輸入驗證碼就可以用這10組後備驗證碼來作驗證。
列印出來作好好保管。

Google 同時要求提供第二個電話號碼以作日後有需要時通過這個電話號碼來產生驗證嗎。
以我為例，我登記了一個家裡的固網電話，用語音來說出驗證碼的。

因為我的手機有跟 Google account 聯繫，所以這個頁面說明 Google 偵測到需要建立application-specific passwords。（容後就知道這是什麼東西）

最後按 ”Turn on 2-step verification” 就完成了設置。

Google 提示會將你自動登出目前你已登入了的 Google account 包括手機。

因為設定 2-step verification 後，第一次登入 Google web app, Google 會要求你輸入驗證碼；用 Google authenticator app 來產生並輸入。

後話

咦…為什麼我的手機突然要求我輸入 Google account 密碼，試了很多次也錯誤，花了一點時間在網上找出問題。
最後原來這就是剛才提到的 application-specific password。什麼是 application-specific password 呢？

Application-specific password 就是 web apps, native mobile, desktop applications 例如 desktop mail client, 使用了 Google account 而不兼容 2-step verification 之下不會彈出要求輸入驗證碼。因此 Google 就會要求你輸入一組密碼，這就是 Application-specific password. 如何產生呢？請繼續下去…

登入你的 Google account http://www.google.com/accounts , 按 “Authorizing application & sites”

在textbox 內輸入任何文字以作識別

然後按 ‘Generate password’ 就會產生一組密碼, 在你要求輸入密碼的 application/device 輸入這組密碼就完成驗證。

再據多一個使用例子, 要是你有用 Thunderbird 或其他 email client 來收取 gmail 郵件, 當你啟用2-Step verification 後,
你會發現email client 登入不到像下圖，就算你確認自己輸入的gmail 密碼正確無誤

其實這個密碼不是你的 gmail 密碼而是 application-specific password, 跟剛講過的方法再產生一個 application-specific password 再輸入就 OK 啦.
以我使用為例，就需要 Android 手機和 Thunderbird mail client

最後，大家會看到右邊 ”Revoke” 的字樣，當你按下 ”Revoke” 後，這個 app 或 device 就會除消登記, 當你再次登入會再次問你一次驗證碼的. 通過這個機制, 要是遺失手機或個人手提電腦, 你就可以按下 ”Revoke”, 對方就不能用web browser, 手機使用你的Google account 了.

參考:
Google’s Two Step Verification – Why everyone needs to use it :
http://jpwhiteblog.net/2011/03/15/googles-two-factor-authentication-why-everyone-needs-to-use-it/
Google Accounts Help – 2-step verification :
http://www.google.com/support/accounts/bin/topic.py?hl=en&topic=28786

原文的短地址是 http://bit.ly/ejUGzI , 歡迎大家隨便轉載, 分享

adrianmak
發表於 2011-3-26 13:50

2011 防毒軟件比較 – 付費篇

Joe Ho — Fri, 28 Jan 2011 04:15:24 +0000

延續 2011 防毒軟件比較報告, 今次 PCWorld 對市面最新版付費防毒軟件進行了10 強排名. 與上個測試不同, 為顧及大家都是真金白銀既 “投資”, 他們較上次測試得更全面, 例如不再以 “介面比較友善” 作為推介理由, 而是前瞻性地分析它們如何應付那些尚未有紀錄既病毒, 因為這是最常見既情形.

與之前既結果比較, 今次 Norton 以最高平均分穩奪冠軍寶座. BitDefender 則以強勁既 malware 阻擋技能及較高既清除病毒能力保持第二名. 第三名被及時發力既 G Data 趕過 Avast, 亦獲得抵買之選既獎項.

下圖是轉載自 PCWorld 既評測結果:

2011 AntiVirus Comparison - Paid Version

想瞭解更多可直接參考 PCWorld 既文章:

http://www.pcworld.com/article/217389/antivirus_2011_digital_defenders.html

Microsoft Security Essentials 推出 2.0 版

Joe Ho — Thu, 27 Jan 2011 17:17:57 +0000

[本文最後由 Joe Ho 於 2011-02-08 11:00 PM 編輯]

今日 Microsoft 推出了 2.0 版本既 Security Essentials. 因為沒有公開詳情, 除了介面有少許改變外, 只可以假設系統有了更新. 另外當然可以順道檢查一下各位是否仍然支持正版軟件, 因為被查到是翻版時, 你的電腦便會出現那句 “你不是用正版” 來提示你

這個程式既改動除了介面改變了一下之外, 它加入了控制 CPU 在掃瞄病毒時既工作量. 這樣可避免 CPU 不需集中在掃毒程式既工作上, 不過似乎單核 CPU 未能發揮這個選項既優點, 雙核或多核 CPU 反而會有得着.

Microsoft Security Essentials 2.0

最新發現, 該新版只更新了防毒核心. 其他防毒功能未有改動.

Android 存在另一個 SMS 漏洞

Joe Ho — Wed, 26 Jan 2011 01:57:09 +0000

舊問題還未解決新問題繼續接種而來. 早排發現 android 存在 SMS 後, 舊問題還未廣泛解決, 新既 SMS 問題又被發現出來.

新問題影響了 SMS 既接收, 原因可能與記憶體滿載時處理程序出現錯誤所致. 當記憶體滿載時, 系統會發出通告知使用者. 問題在於使用者查看系統信息後, SMS 程式就會 . 暫時解決方法係重新開機, 更甚者需要刪除部分 SMS 信息或者程式令記憶體處理程序再次運行.

Google 方面未有交代會否解決這個問題. 以舊問題既處理手法, 似乎要很久既將來或者從不解決這個問題.

參考資料:

http://www.zdnet.com/blog/hardware/another-android-sms-bug-that-google-doesnt-seem-interested-in-fixing/11090

2011 防毒軟件比較

Joe Ho — Fri, 03 Dec 2010 14:03:51 +0000

[本文最後由 Joe Ho 於 2011-01-29 04:11 PM 編輯]

防毒軟件已是 Windows 用戶既必備品, 但產品花多眼亂. 除收費軟件外, 坊間還有免費防毒軟件可供選擇. 一般電腦用家往往只靠其他人既口碑去選擇, 但網上又難獲得一致結論. 最新一篇防毒軟件既報告, 當中分別對免費及收費防毒軟件進行測試. 測試針對介面, 防毒功效及速度三個範疇. 下表就簡明地列出免費與收費防毒軟件既排名:

免費防毒軟件排行榜	收費防毒軟件排行榜
Avast Free Antivirus 5	Symantec Norton Antivirus 2011
Avira AntiVir Personal Free AntiVirus 10	BitDefender Antivirus Pro 2011
Microsoft Security Essentials 1.0	Avast Pro Antivirus 5
Panda Cloud Antivirus 1.0	G-Data AntiVirus 2011
Comodo Internet Security Premium 5.0	Kaspersky Lab Anti-Virus 2011

當然 Avast 於免費防毒軟件排行冠軍除了於三項有較好既表現之外, 它有獨立既模組去負責各類既應用, 例如針對 P2P 下載工具及 Instant Messenger 既防毒能力等等. 而 Avira 上榜既原因主要係其功能都有好既表現, 不過坊間傳言此防毒軟件不時會有視窗彈出, 小棗就好少推介俾朋友. 唔知道係當時傳媒炒作定係技術已經落後, 在 beta 公開既時候獲得不少好評既 Microsoft Security Essentials 現在排名下降了, 希望 Microsoft 對這個與 Win7 “非常夾” 既軟件繼續改善功能, 令越來越多人轉用. 另外一提名次較為落後既 Comodo Internet Security, 它其實是防毒, 防火牆及 registry 保護既結合. 好處當然係免費之餘仲可以同時有多種保護, 不過防毒曾誤判過幾次, 而且每當有 registry 更新就需要確認才可繼續步驟較繁複. 建議一般電腦用家選頭三位比較好.

其次在收費防毒軟件方面, Norton 終於都改善到 scan engine 拖慢系統既問題, 加上完善既 virus database, 令排名回到來第一位. 而防毒功能出名既卡巴斯基今次被其他防毒軟件趕上實在令人意外.

更令人意外既就係於免費防毒軟件赢得冠軍既 Avast 於競爭激烈既收費防毒軟件方面仍保持於三甲.之內. 假設 Avast 於兩者均使用相同防毒技術, 大膽總結出暫時收費防毒軟件提供較全面既保護. 當然這個假設會因為 Avast 在免費與收費軟件内使用不同防毒技術而否定.

最新既付費防毒軟件比較已經推出, 有興趣既朋友可到下列網址參考:
2011 防毒軟件比較 – 付費篇
http://www.joe-ho.com/index.php/2011/01/2011-防毒軟件比較-付費篇

iPhone 再發現安全漏洞

Joe Ho — Wed, 27 Oct 2010 06:06:53 +0000

據外國傳媒報導 iPhone 再發現安全漏洞. 該漏洞是從解鎖畫面內既緊急撥號轉回鎖定畫面時出現. 當進入緊急撥號時, 輸入符號###, 再按打出電話鍵, 此時立刻按下電源按鈕, 電話便解了鎖.

此漏洞較嚴重既問題係用家無從得知電話曾被解鎖. 暫時只有唔好俾其他人借用便可.

最新消息指當電話被解後有機會不能接聽來電