前陣子買了 iMac 21.5" (Mid 2011),本來想在 Apple Online Store 上用教育價優惠(借用女友的學生證),結果過程非常不順利。聽說以前用教育價購買是不需經過身分驗證的(另有一說是只會抽驗),但現在一律必須將身分證明文件(電子檔)寄給 Apple 客服。
基本上只要學生證正反面影本電子檔即可,若是父母買給子女,要另外附上身分證正反面影本以證明親子關係。但我明明寄了學生證正反面影本電子檔,Apple 客服還是鬼打牆說我沒有提供身分證明文件,一怒之下就退單,用其他方式購買了。
退單後女友很認真的打電話去問,結果客服說「下單的人、刷卡的人、收貨的人最好都是同一個,也就是有學生身分的那個人,這樣審核比較容易通過」(看起來好像也不保證會通過),但是從往返的 email 中完全看不出來這一點,只是不斷重複要求我提供身分證明文件。
希望有需要用教育價買 Apple 產品的人可以成功,看來真的是越來越難了 ~~
2012年7月15日
2012年7月12日
快把你的密碼改成完整的英文句子 (Pass Phrases)
在Openfind 2012 Solution Day 筆記中我提到「運用一般家用硬體,在 1 秒內即可破解任何 8 位數(含)以下的密碼」,因此密碼長度基本上是越長越好。從當兵的時候開始為了滿足長度&複雜度的要求,我都用注音輸入法的順序當做密碼,例如「林益世」就是「xup6u4g4」,通常這樣的密碼不但長度夠,而且複雜度也夠。
問題是開始使用 Smartphone 以後,這樣的密碼就變得非常難輸入,沒有桌上的標準尺寸鍵盤,根本就記不住注音符號對應到哪些英數字/標點符號,因此有一段時間都把密碼改為比較簡單的密碼,但這樣風險就變高了。
幸好前陣子看到 Jeff Atwood 的 Passwords vs. Pass Phrases 這篇文章,於是我開始把自己常用網站的密碼都改成完整的英文句子,好處包括:
以下是測試結果。
問題是開始使用 Smartphone 以後,這樣的密碼就變得非常難輸入,沒有桌上的標準尺寸鍵盤,根本就記不住注音符號對應到哪些英數字/標點符號,因此有一段時間都把密碼改為比較簡單的密碼,但這樣風險就變高了。
幸好前陣子看到 Jeff Atwood 的 Passwords vs. Pass Phrases 這篇文章,於是我開始把自己常用網站的密碼都改成完整的英文句子,好處包括:
- 長度絕對足夠,且包含標點符號。
- 容易記憶,與其用家人的生日「1900/01/01」,不如改為「Tim's bDay was January 1st.」、「My s0n's 1st Xmas is sooo great!!」等句子,並且故意把「英文o,數字0」、「英文l、數字1」之類的字元交替使用(多用英文的網路慣用簡寫),強度更強。
- 在 mobile devices 上容易輸入,因為都是英文+數字+標點符號。
以下是測試結果。
- Microsoft Windows Live ID (Hotmail, SkyDrive)
- 密碼長度:6~16個字元,不允許使用空格。沒有密碼強度提示。
- Google Account (GMail, Calendar, Drive...)
- 密碼長度: 沒有明確標示,但可使用長達22個字元的密碼。輸入第8個字元時強度由medium變為strong,不符合現況!
- 兩階段驗證設定方式
- Yahoo! Account (Yahoo! Mail)
- 密碼長度:6~32個字元,有密碼強度提示,輸入第6個字元時強度由「密碼無效」變為「甚強」。
- Apple ID (iTunes Store, iCloud)
- 密碼長度:8字元以上,輸入第17個字元的時候強度由moderate變為strong。 可使用長達22個字元的密碼 。
- Dropbox
- 密碼長度:沒有明確標示,但可使用長達22個字元的密碼。奇怪的地方是新密碼不用重複輸入兩次。
- Evernote
- 密碼長度:沒有明確標示, 但可使用長達22個字元的密碼。沒有密碼強度提示。
- Plurk (噗浪)
- 密碼長度:沒有明確標示, 但可使用長達22個字元的密碼。沒有密碼強度提示。
- Facebook (臉書)
- 密碼長度:沒有明確標示, 但可使用長達22個字元的密碼。輸入第8個字元時強度由medium變為strong,不符合現況!
- 兩階段驗證設定方式
- Skype
- 密碼長度:6~20個字元,沒有密碼強度提示。
- Battle.Net
- 密碼長度:8~16個字元,輸入第11個字元時強度由「中等」變為「強」。
- PayPal (2012-07-17更新)
- 密碼長度:8~20個字元, 輸入第11個字元時強度由「一般」變為「高」。
目前看來長度比較危險的是微軟的Windows Live ID & 暴雪的帳號,但暴雪還有手機動態密碼鎖可以保護,因此還是比較安全的。
2012年7月3日
Openfind 2012 Solution Day 筆記
去年也有參加 Openfind Solution Day,今年主題是開創個資防護、郵件安全新浪潮 (協同溝通x內容感知x主動稽核),所有的簡報檔在這裡。
承襲去年的優良傳統,最值得聽的 session 是第二場-Xecure Lab 執行長 邱銘彰 (Birdman) 的「從 APT 攻擊剖析 2012 郵件安全技術趨勢」。其餘的 session 都還不錯,自家產品講解的蠻清楚。
CEO Ivan 引用的影片很讚:Scientists Make Easter Island Statue Walk,實驗證實只要 18 個人就可以搬動重達 1萬公斤 (10公噸) 的 Moai 石像,在 2012.10 個資法預計正式上路以後,只要超過 20 個人就可形成團體訴訟,單一案件最高賠償金額 2 億,足以扳倒一家公司。
以下是這次聽到的一些重點:
承襲去年的優良傳統,最值得聽的 session 是第二場-Xecure Lab 執行長 邱銘彰 (Birdman) 的「從 APT 攻擊剖析 2012 郵件安全技術趨勢」。其餘的 session 都還不錯,自家產品講解的蠻清楚。
CEO Ivan 引用的影片很讚:Scientists Make Easter Island Statue Walk,實驗證實只要 18 個人就可以搬動重達 1萬公斤 (10公噸) 的 Moai 石像,在 2012.10 個資法預計正式上路以後,只要超過 20 個人就可形成團體訴訟,單一案件最高賠償金額 2 億,足以扳倒一家公司。
以下是這次聽到的一些重點:
- 運用一般家用硬體 (用 nVIDIA 顯卡上的 GPU 透過 CUDA 架構以平行運算的方式來執行暴力破解),在 1 秒內即可破解任何 8 位數(含)以下的密碼,因此若你的密碼小於等於 8 位數,那不如直接設一個字元就好了,意思是一樣的。建議密碼最小長度是 16 位數。由此引申的重點是,若某網站限制密碼長度為 6~8 or 8~12 字元,等於是自廢武功,非不得已最好避免使用這網站。(Google 帳號可支援長達 30 字元的密碼)
- APT 攻擊 (Advanced persistent threat) 無法利用傳統防毒軟體來阻擋,因為防毒軟體靠的是在 global 散怖的病毒的特徵碼,但 APT 攻擊是針對少數人(公司高層或者可接觸重要資料的人)特別精心設計的,郵件總數可能最多幾十封,因此無法找出特徵碼。以往進行病毒郵件的演練都強調「不要開啟來路不明的郵件」,但 APT 攻擊往往是偽裝成你的上司/熟識的同事來發信,來路都很明,因此極難防範。
- 近幾年來駭客最愛用的攻擊手法是 Document Exploit,利用 MS Office Files (.doc/.xls/.ppt) & PDF 檔發動攻擊,Xecure Lab 有個線上 APT 偵測服務 - XecScan,我認為這是除了 virustotal 以外大家應該要記住的服務(記住名字用 Google 搜尋即可),收到可疑的文件檔案就趕快丟上去掃描一下,若被判定為有問題,立刻打電話跟發信人求證。
- Flame 病毒是近年來最可怕的病毒,它是先盜取微軟的數位簽章,將惡意程式簽署以後,再透過 Windows Update 散佈!可說是達到駭客夢寐以求的聖杯,因為地球上所有的防毒軟體都不會阻擋微軟的數位簽章。由此引申出來的重點是,簽章本身固然牢不可破,但駭客不需要設法破解簽章,只要多一個步驟,設法先盜取簽章即可 (Stuxnet 病毒使用的是台灣竹科廠商的合法簽章),這是目前資安防禦上很大的一個盲點,畢竟要辨識「合法的簽章是否被惡意使用」是非常困難的。
Openfind Solution Day 大約在每年 7月左右舉辦,全程免費,而且緊接在 CEO 之後的第二個 session 都請外部資安專家來演講,非常值得一聽,中午有提供便當,下午有 tea time,過程中會抽獎,有興趣的人可以訂閱 Mail 2000 部落格來得知最新消息!
2012年7月2日
設定 ssh 免密碼登入需注意 ~/.ssh 目錄和 ~/.ssh/authorized_keys 檔案的權限
通常要利用排程執行 rsync 將檔案在多台設備間同步,都需要先設定 ssh 免密碼登入(利用 RSA / DSA 金鑰認證),之前我都是參考:ssh keygen 免輸入密碼 (需要設定 passphrase 的話參考這篇),但遇到有一台設備不管怎樣設定都不 work。
後來請前輩幫忙看了以後發現,因為 ssh 對檔案/目錄權限控管非常嚴格,因此要 check 以下幾點:
後來請前輩幫忙看了以後發現,因為 ssh 對檔案/目錄權限控管非常嚴格,因此要 check 以下幾點:
- ~/.ssh 目錄的權限必須是 700
- ~/.ssh/authorized_keys (/etc/ssh/sshd_config 中的預設金鑰檔) 的權限必須是 644
這兩個權限設定非常重要,必須完全一模一樣才可以,任何一個數字不對就不 work。
通常是不需要特別查這兩個權限設定,但有可能因為 chmod -R 這種指令把整個 home directory (含 .ssh 這個隱藏目錄)的權限都改了,反而衍生出這個問題。所以說有用到 -R 改權限真的要非常小心阿!
訂閱:
文章 (Atom)
Google Spreadsheet 裡用規則運算式
最近因為工作關係,遇到要用 Google Form 及 Google Sheet 所以研究了 Google Sheet 裡的一些 function 怎麼用 首先,分享一下如何在 Google Sheet 裡用規則運算 :D
-
今天坎尼去上課老師講了一題很有趣的題目 所以回到家坎尼就順手試驗了一下 I. XOR (exclusive OR) XOR 是邏輯運算子之一,定義為: 當兩數的值不同才為 true,相同則為 false 其他相關說明可以參考 維基百科:XOR II. 程式 以往的做法會宣...
-
好久沒開 Chart Control 議題了 剛好前陣子 Codeplex 出現可以輕鬆建立 Excel 檔案的 Library- NPOI 於是坎尼想說研究一下,看能不能把 Chart Control 匯出圖片到 Excel 中 沒想到只花了不到1小時就研究...
-
上個週末打開一個影片檔,發現字幕檔是中英文混合的,造成字幕吃掉畫面很大的空間, 打開字幕檔一看,果然每一段時間都有先英文後中文的字幕: 因此我想要自己作成「只有中文」&「只有英文」兩個字幕檔,但這個檔案有6418 行,如果要手動一行一行的刪除...