在Apple Online Store欲用教育價購買產品，需注意刷卡人&收貨人需為同一人，且有學生身分

前陣子買了 iMac 21.5" (Mid 2011)，本來想在 Apple Online Store 上用教育價優惠(借用女友的學生證)，結果過程非常不順利。聽說以前用教育價購買是不需經過身分驗證的(另有一說是只會抽驗)，但現在一律必須將身分證明文件(電子檔)寄給 Apple 客服。

基本上只要學生證正反面影本電子檔即可，若是父母買給子女，要另外附上身分證正反面影本以證明親子關係。但我明明寄了學生證正反面影本電子檔，Apple 客服還是鬼打牆說我沒有提供身分證明文件，一怒之下就退單，用其他方式購買了。

退單後女友很認真的打電話去問，結果客服說「下單的人、刷卡的人、收貨的人最好都是同一個，也就是有學生身分的那個人，這樣審核比較容易通過」(看起來好像也不保證會通過)，但是從往返的 email 中完全看不出來這一點，只是不斷重複要求我提供身分證明文件。

希望有需要用教育價買 Apple 產品的人可以成功，看來真的是越來越難了 ~~

快把你的密碼改成完整的英文句子 (Pass Phrases)

在Openfind 2012 Solution Day 筆記中我提到「運用一般家用硬體，在 1 秒內即可破解任何 8 位數(含)以下的密碼」，因此密碼長度基本上是越長越好。從當兵的時候開始為了滿足長度&複雜度的要求，我都用注音輸入法的順序當做密碼，例如「林益世」就是「xup6u4g4」，通常這樣的密碼不但長度夠，而且複雜度也夠。


問題是開始使用 Smartphone 以後，這樣的密碼就變得非常難輸入，沒有桌上的標準尺寸鍵盤，根本就記不住注音符號對應到哪些英數字/標點符號，因此有一段時間都把密碼改為比較簡單的密碼，但這樣風險就變高了。


幸好前陣子看到 Jeff Atwood 的 Passwords vs. Pass Phrases 這篇文章，於是我開始把自己常用網站的密碼都改成完整的英文句子，好處包括：

1. 長度絕對足夠，且包含標點符號。
2. 容易記憶，與其用家人的生日「1900/01/01」，不如改為「Tim's bDay was January 1st.」、「My s0n's 1st Xmas is sooo great!!」等句子，並且故意把「英文o，數字0」、「英文l、數字1」之類的字元交替使用(多用英文的網路慣用簡寫)，強度更強。
3. 在 mobile devices 上容易輸入，因為都是英文+數字+標點符號。

以下是測試結果。

• Microsoft Windows Live ID (Hotmail, SkyDrive)
• 密碼長度：6~16個字元，不允許使用空格。沒有密碼強度提示。
• Google Account (GMail, Calendar, Drive...)
• 密碼長度： 沒有明確標示，但可使用長達22個字元的密碼。輸入第8個字元時強度由medium變為strong，不符合現況！
• 兩階段驗證設定方式
• Yahoo! Account (Yahoo! Mail)
• 密碼長度：6~32個字元，有密碼強度提示，輸入第6個字元時強度由「密碼無效」變為「甚強」。
• Apple ID (iTunes Store, iCloud)
• 密碼長度：8字元以上，輸入第17個字元的時候強度由moderate變為strong。 可使用長達22個字元的密碼 。
• Dropbox
• 密碼長度：沒有明確標示，但可使用長達22個字元的密碼。奇怪的地方是新密碼不用重複輸入兩次。
• Evernote
• 密碼長度：沒有明確標示， 但可使用長達22個字元的密碼。沒有密碼強度提示。
• Plurk (噗浪)
• 密碼長度：沒有明確標示， 但可使用長達22個字元的密碼。沒有密碼強度提示。
• Facebook (臉書)
• 密碼長度：沒有明確標示， 但可使用長達22個字元的密碼。輸入第8個字元時強度由medium變為strong，不符合現況！
• 兩階段驗證設定方式
• Skype
• 密碼長度：6~20個字元，沒有密碼強度提示。
• Battle.Net
• 密碼長度：8~16個字元，輸入第11個字元時強度由「中等」變為「強」。
• PayPal (2012-07-17更新)
• 密碼長度：8~20個字元， 輸入第11個字元時強度由「一般」變為「高」。

目前看來長度比較危險的是微軟的Windows Live ID & 暴雪的帳號，但暴雪還有手機動態密碼鎖可以保護，因此還是比較安全的。

Openfind 2012 Solution Day 筆記

去年也有參加 Openfind Solution Day，今年主題是開創個資防護、郵件安全新浪潮 (協同溝通x內容感知x主動稽核)，所有的簡報檔在這裡。

承襲去年的優良傳統，最值得聽的 session 是第二場-Xecure Lab 執行長 邱銘彰 (Birdman) 的「從 APT 攻擊剖析 2012 郵件安全技術趨勢」。其餘的 session 都還不錯，自家產品講解的蠻清楚。

CEO Ivan 引用的影片很讚：Scientists Make Easter Island Statue Walk，實驗證實只要 18 個人就可以搬動重達 1萬公斤 (10公噸) 的 Moai 石像，在 2012.10 個資法預計正式上路以後，只要超過 20 個人就可形成團體訴訟，單一案件最高賠償金額 2 億，足以扳倒一家公司。

以下是這次聽到的一些重點：

• 運用一般家用硬體 (用 nVIDIA 顯卡上的 GPU 透過 CUDA 架構以平行運算的方式來執行暴力破解)，在 1 秒內即可破解任何 8 位數(含)以下的密碼，因此若你的密碼小於等於 8 位數，那不如直接設一個字元就好了，意思是一樣的。建議密碼最小長度是 16 位數。由此引申的重點是，若某網站限制密碼長度為 6~8 or 8~12 字元，等於是自廢武功，非不得已最好避免使用這網站。(Google 帳號可支援長達 30 字元的密碼)
• APT 攻擊 (Advanced persistent threat) 無法利用傳統防毒軟體來阻擋，因為防毒軟體靠的是在 global 散怖的病毒的特徵碼，但 APT 攻擊是針對少數人(公司高層或者可接觸重要資料的人)特別精心設計的，郵件總數可能最多幾十封，因此無法找出特徵碼。以往進行病毒郵件的演練都強調「不要開啟來路不明的郵件」，但 APT 攻擊往往是偽裝成你的上司/熟識的同事來發信，來路都很明，因此極難防範。
• 近幾年來駭客最愛用的攻擊手法是 Document Exploit，利用 MS Office Files (.doc/.xls/.ppt) & PDF 檔發動攻擊，Xecure Lab 有個線上 APT 偵測服務 - XecScan，我認為這是除了 virustotal 以外大家應該要記住的服務(記住名字用 Google 搜尋即可)，收到可疑的文件檔案就趕快丟上去掃描一下，若被判定為有問題，立刻打電話跟發信人求證。
• Flame 病毒是近年來最可怕的病毒，它是先盜取微軟的數位簽章，將惡意程式簽署以後，再透過 Windows Update 散佈！可說是達到駭客夢寐以求的聖杯，因為地球上所有的防毒軟體都不會阻擋微軟的數位簽章。由此引申出來的重點是，簽章本身固然牢不可破，但駭客不需要設法破解簽章，只要多一個步驟，設法先盜取簽章即可 (Stuxnet 病毒使用的是台灣竹科廠商的合法簽章)，這是目前資安防禦上很大的一個盲點，畢竟要辨識「合法的簽章是否被惡意使用」是非常困難的。

Openfind Solution Day 大約在每年 7月左右舉辦，全程免費，而且緊接在 CEO 之後的第二個 session 都請外部資安專家來演講，非常值得一聽，中午有提供便當，下午有 tea time，過程中會抽獎，有興趣的人可以訂閱 Mail 2000 部落格來得知最新消息！

設定 ssh 免密碼登入需注意 ~/.ssh 目錄和 ~/.ssh/authorized_keys 檔案的權限

通常要利用排程執行 rsync 將檔案在多台設備間同步，都需要先設定 ssh 免密碼登入(利用 RSA / DSA 金鑰認證)，之前我都是參考：ssh keygen 免輸入密碼 (需要設定 passphrase 的話參考這篇)，但遇到有一台設備不管怎樣設定都不 work。

後來請前輩幫忙看了以後發現，因為 ssh 對檔案/目錄權限控管非常嚴格，因此要 check 以下幾點：

1. ~/.ssh 目錄的權限必須是 700
2. ~/.ssh/authorized_keys (/etc/ssh/sshd_config 中的預設金鑰檔) 的權限必須是 644

這兩個權限設定非常重要，必須完全一模一樣才可以，任何一個數字不對就不 work。

通常是不需要特別查這兩個權限設定，但有可能因為 chmod -R 這種指令把整個 home directory  (含 .ssh 這個隱藏目錄)的權限都改了，反而衍生出這個問題。所以說有用到 -R 改權限真的要非常小心阿！