外國曾經有間醫院做了一個可移動的電腦工作枱,醫生及護士把電腦枱推到病床,隨時輸入資料,聽起來很方便,卻引伸出保安隱患,因為醫護經常忘記了登出,暴露了病人資料。於是管理層請來電腦保安專家,設計了一個感應器,萬一感應到醫護離開了,就會自動登出。

結果卻令到系統更不安全,何解?

因為感應器太敏感,有時醫生寫了幾隻字,只是去病床查看一下病人的情況,電腦居然就馬上登出,剛輸入的記錄全失,醫護覺得太麻煩,乾脆用發泡膠杯蓋著感應器,防止電腦自動登出。電腦雖然不安全,但方便了正常的工作。

這個問題,正是因為設計者沒有把人類與電腦的互動(Human Computer Interactions)考慮其中,在設計系統時,沒有先了解醫護的需要。如果感應器能降低敏感度,增加容許登入的距離,反而使得系統更為安全。

好了,回歸到這篇文章的正題。

之前我寫過,手機的密碼應該有 11 個位,並建議讀者最好避免使用生物認證,例如 Touch ID 或 Face ID。但後來我遇到有讀者反映一些真實的使用情況,令我不得不反思這個建議是否合理。

有讀者增加了密碼的位數,並關閉了生物認證,但問題來了。該讀者為了避免輸入密碼,居然把手機的自動鎖屏時間設置為永不,而即使在人來人往的餐廳,有時甚至把已經解鎖的手機放在桌上,故意不關機,貪圖方便避免不停輸入密碼。這樣的結果,豈非使得手機更為不安全?

因此我在這裡修正之前建議,有關手機的密碼鎖機,應否使用生物認證,補充幾點:

一,如果早已完全適應輸入手機密碼來解鎖,無需更改習慣,繼續用密碼解鎖吧。

二,用手指輸入密碼時,要確保有遮蔽,應留意附近會否有監控拍到輸入密碼,別人會否偷窺輸入密碼的過程。如果有些環境太難防止被偷窺,例如太多 CCTV,那麼使用生物認證,可能反而更為安全。

三,如果考慮使用生物認證,Touch ID 或 Face ID,可以分開不同場景。例如在家中、餐廳,或其他脫下口罩的情況下,使用 Face ID 來開機。在其他場合,則用手指輸入密碼開機,但確保輸入密碼時有遮蔽,不被偷窺。

四,密碼的長度最好有 11 個位或以上,詳細的解釋請參考此文:〈零基資安訓練營(二十一):iPhone 手機的密碼應該要長,但要多長?〉 

五,但要留意的是,即使每天都輸入手機密碼,如果幾天或幾星期不輸入,遲早都會忘記,人的記憶不是那麼可靠。

六,確保自己經常有機會用手指輸入密碼,除了是基於保安考慮,還算是記憶的練習,毋忘數字啊。

七,如果開啟了生物認證的開機功能,也要練習快速關閉生物認證的方法,以防不知羞恥的奸險之徒強逼機主解鎖。iPhone 上是同時按著開關鍵及任何一個音量鍵。Android 用戶在設定,選擇「鎖定螢幕」,「安全鎖定設定」,「以電源鍵立即鎖定」,設置成功後,長按開關鍵可以選擇鎖定模式(lockdown mode)。

 

🔑 【資訊保安文章整理,超務實長清單】 

作者 Patreon / Facebook / MeWe