零基資安訓練營(三):轉用 Signal 通訊軟件
文:薯伯伯
你的手機保安做到幾近天衣無縫,安全系數極高,但風險級別高低,從來是指整個系統,單點故障,木桶短板原理,說的就是這個概念。舉個例子,你手機關閉了生物認證,開機密碼有十個位數數字混合英文字母,開足 VPN 上網,定期刪除訊息及照片。
但是,你朋友的手機甚麼保安措施也不管,因為他一直堅信「我的手機沒有敏感訊息」,某天手機不慎被鼠竊狗偷盜,輕易就能破解手機,並把你與他之間的對話完整無缺地抽出來。所以一個木桶可以裝多少升水,不是視乎最長木板的高度,而是最短的木條,就就是木桶短板效應,也是資訊保安最需要注意的地方。
說一下通訊軟件,香港人最愛用 WhatsApp,有端對端的加密,理論上不易從中攔截訊息。但問題是,萬一與你聯絡的人,手機沒有做好資安保障,別人一拿到對方手機,你這邊的加密也就毫無用處。你們的對話全都讓對方知道,沒有秘密或「違法」嗎?那麼萬一有人研究你們的對話,判斷你們之間的關係,再冒認對方叫你轉賬金錢,或做其他欺詐行為,又是否有此可能?
所以儘量減少使用 WhatsApp,轉用 Signal。Signal 是目前最為簡單易用的加密聊天軟件,有次聽資安相關的播客節目,主持人問愛德華‧斯洛登(Edward Snowden)可否推介聊天軟件,斯洛登先是拒絕,說不想隨便「加持」( endorse)任何軟件,但轉過頭來又推介使用 Signal。Signal 是完全開源的軟件,在網絡保安圈子裡極多討論及認證。
下載地址:https://signal.org/
問:如何得知朋友有沒有安裝 Signal?
答:容許 Signal 存儲手機的通訊錄,每次有朋友新安裝,都會有提示。
問:我不能隱藏自己的手機電話號碼,安全嗎?
答:Signal 是取代 WhatsApp 的大部份功能,你在 WhatsApp 也要提供電話號碼給對方,才能聯絡。如果要完全隱去電話或個人身份,建議買太空 SIM 卡,或是用 Telegram(設定後再隱藏號碼)。
問:Signal 可以當「公海」用嗎?
答:不太建議,對我來說,Signal 是取代 WhatsApp 的使用場景。如果要用做「公海」,建議用 Telegram。
問:我很難說服身邊所有朋友改變使用習慣,他們大多堅持用 WhatsApp,怎麼辦?
答:我目前是同時用 Signal、WhatsApp 及 Telegram,按不同場景使用。我建議先跟一兩個經常聯絡的朋友協商,甚至只是開一個 Signal 戶口,純粹是為了跟一名朋友聊天,慢慢習慣。用了一段時間後,你會發現越來越多朋友安裝。
問:如何備份或轉移 Signal 的對話?
答:在 iOS 上沒有辦法備份,在其他平台可以備份,可參考這裡 https://support.signal.org/…/360007059752-Backup-and-Restor… ,方法較複雜。
問:為甚麼備份這麼麻煩?
答:在 Signal 上的對話,我本身是從來不做備份,設定閱後即焚。我的想法是,就像平日跟朋友吃飯面對面聊天,也不會做任何備份,遇有重要之事,另外記下便可。
問:怎樣設置「閱後即焚」的功能?
答:打開對話畫面,點擊名字位置,選擇「訊息在 X 天後消毀」。剛開始時試試實行一星期,之後選擇一天也可以。有時遇正特別敏感日子,也不妨考慮改為一小時後自動消毀。
問:我朋友堅持不用別的聊天軟件,說不想重新學習,怎麼辦?
答:你跟他說:「憑你的智慧與勇於探究的精神,你一定會學得懂。」其實也沒有甚麼辦法勸服所有人。沒關係,將就一點繼續用 WhatsApp。
問:我本身已經有用 Telegram,那為甚麼仍然要安裝 Signal?
答:Telegram 的訊息儲存在雲端,也就是說你刪去程式本身,也可以較輕易回復訊息,這是一層風險。而 Telegram 本身只有在 secret chat 模式才能設置「閱後即焚」,但手機與電腦介面的 secret chat 又分開當兩條聊天通道,用起來頗亂。
另外還有一個很關鍵的原因,Telegram 可以隱藏電話號碼,可以隨時更換 ID,聽起來雖然很方便,但這種方便只適合出「公海」,如果是朋友之間的聯絡,反而添了一重疑魂,我較難知道對方身份。但如果對方是用 Signal,由於是用真實的電話號碼,當我之前已有對方電話號碼,之後見他上 Signal,就較易相信對方是真身。(如果對方手機卡被盜,就是另一回事,以後再說。)總之 Signal 的作用,是用來取代 WhatsApp 的使用場合,而不是取代 Telegram 的使用場合。
還有甚麼問題或因素,令你依舊堅持不轉用 Signal 呢?不妨留言,看看我有沒有辦法說服你。
*———*
請訂閱 Patreon 頻道,支持不受干預的獨立分析及評論。
http://patreon.com/pazu
同時也有1部Youtube影片,追蹤數超過24萬的網紅啟點文化,也在其Youtube影片中提到,【線上課程】《理財心裡學》~擺脫家庭影響,從心培養富體質 課程連結:https://pse.is/EPBWE 第一講免費試聽:https://youtu.be/HgrDK7pqR-0 不定期推出補充教材,讓學習無限延伸:https://pse.is/NJ5VE 【10/13開課!】《學「問」~高難...
電腦 開機 一長三短 沒 畫面 在 Pazu 薯伯伯 Facebook 的精選貼文
電腦手機網絡安全(四):有關安全鑰匙 YubiKey,你問我答(頗大篇幅修訂版)+ 香港用戶訂購優惠詳情
文:薯伯伯
(超長文,建議先儲存,有需要再找來讀。不想全文讀,只想買 keys,請只看「香港用戶訂購優惠詳情」,第十三條問答及第十四條問答。)
早幾天寫了一篇文章,提到二步認證的安全鑰匙 YubiKey,無獨有偶,《立場》的另一位博客,《茉莉花開:中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司,希望取得他們的贊助,在核實身份後,這家瑞典公司寄出了五百條 YubiKey 送給香港人,來自遠方的慷慨之舉,實在令人感動。
我發覺不少人對於 YubiKey 的功能及用法均有誤解,甚至有人認為「有伏」,或誤以為用上 YubiKey 後反而更危險。我回應了一些評語,整合之後發到自己的臉書專頁,《立場》的編輯看到,問可否轉載到《立場》,所以我又花了一點時間,整理一下文稿。
後來我跟 YubiKey 的香港代理分銷商聯絡,提到近日大家較為關注網絡保安,他們同意給讀者提供一個折扣優惠,也希望加強普羅大眾對網絡安全的意識。於是,我又再把之前的文章修訂一下,再講解清楚相關的使用細項,希望有興趣的讀者,讀完這篇文章後,可以加強自身的網絡保安防護。
香港用戶訂購優惠詳情
先說一下香港分銷商的優惠模式:
1. YubiKey 的產品,全線八折,目前這個優惠沒有定下限期,但會看看情況再決定何時終止。(這個優惠折扣,其實是我建議的,因為只是想跟官網的教育優惠體齊而已。我希望讀者可以有優惠,但同一時間也不希望分銷商要做蝕本生意。)
2. 又或者是以原價購買 YubiKey,但會送上 Bitdefender 防護軟件一年的訂閱服務(原價是 HK$ 300 一年)。
優惠方案之一:
YubiKey 5Ci:HK$ 440(原價 HK$ 550)
YubiKey 5 Nano:HK$ 310(原價 HK$ 390)
YubiKey 5 NFC:HK$ 285(原價 HK$ 355)
YubiKey 5C:HK$ 310(原價 HK$ 390)
YubiKey 5C Nano:HK$ 375(原價 HK$ 470)
優惠方案之二:
Bitdefender TOTAL SECURITY 2020 的銷售價是 HK$ 300 /年費(可以用五部機),與 YubiKey 合拼購買,會有以下組合優惠:
YubiKey 5Ci + Bitdefender 一年:HK$ 550
YubiKey 5 Nano + Bitdefender 一年:HK$ 390
YubiKey 5 NFC + Bitdefender 一年:HK$ 355
YubiKey 5C + Bitdefender 一年:HK$ 390
YubiKey 5C Nano + Bitdefender 一年:HK$ 470
詳情可以看: https://netmon.zohocommerce.com/categories/yubikey/45023000004418001(注意,不能直接在網站上購買,購買流程在下面有寫。)
(利申:我的 YubiKey 是自己用原價購買,而各位用以上優惠碼購物時,我是完全不會有任何佣金。)
購買的流程如下:
1. 先了解要買哪款型號、數量及價格,然後致電 Yubico 的官方認可香港分銷商 NetMon 查詢有沒有存貨。Coupon code 是 PAZU20。如果有貨,可以直接上觀塘鴻圖道的辦公室購買,以現金交收。
2. 可以先用 PayPal 或信用卡支付,然後寄到順豐站或「順便智能櫃地址」,運費由買家自行支付,目前順豐的運費有優惠,原價 HK$ 30,在 2019 年 10 月底前只用 HK$ 20。
Netmon Information Systems
地址:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。
電話:25272086。
網址: www.netmon.asia
至於如何選擇 YubiKey,請看下面的問答:「有很多款 YubiKey,我到底應該選擇哪條?」
———
以下是第二次修訂的〈有關安全鑰匙 YubiKey,你問我答〉,刪去了一些概念重複的問題,又加入了數條問題,還有鳴謝相識於二十多年前的 Ben 深夜通電話,與我分享他的意見。
一
問:若果 YubiKey 安全鑰匙被其他人拿到,他們是不是可以直接登入我的戶口?
答:先說答案,不可以的。我們首先要搞清楚 YubiKey 的用途,它是用來作為登入戶口的其中一個因素,即是說,你要登入戶口,仍然需要帳號本身的密碼,以及 YubiKey,又或是其他因素,例如手機短訊(不建議)、authenticator app 的軟體六位密碼,或是備用的號碼。
所以即使別人取得你的 YubiKey,也不能單單使用 YubiKey 去登入你的帳戶。「二步認證」時需要你本身的密碼,以及一個額外的認證因素,才能登入戶口。
如果別人只是取得你的 YubiKey,但又沒有得到你的帳號密碼,那也是沒有辦法登入你的帳號。
二
問:我本身已經在手機裡用 authenticator app 去做二步認證,那為甚麼仍然要用 YubiKey 呢?
答:按保安級別來說,YubiKey 的 FIDO2(在線快速身份識別)比起 authenticator app 的 TOTP(基於時間單次密碼)較為優勝,而 Android 手機的漏洞又較 iPhone 的多。在 iPhone 上好像沒有怎麼出過事,但以前就曾經爆出,Android 機有惡意 app 成功利用保安漏動偷取了 app 二步認證的資料。
理論上去說,用安全鑰匙來做認證,肯定會較為安全。但很多用家,包括我自己,其實也會在手機上安裝 authenticator app。iPhone 較安全,但即使你用的是 Android,如果手機的廠家較為可信,堵塞保安漏洞的更新較快,你又不 root 機,又沒有胡亂安裝軟件,本身的風險未必算高。
那麼為甚麼本身已經有用 authenticator app,還要加一個安全鑰匙?我的原因,是因為使用硬件鑰匙,可以加快二步認證的速度及便捷程度,從而把這個二步認證,變成網絡生活的習慣。
三
問:我還是不明白,那麼說我豈不是可以直接用手機上的 authenticator app,為電腦登入做認證就可以了嗎?何以要另外花錢,給電腦買一條安全鑰匙?
答:因為我每天會登出登入戶口數次或以上,所以有必要加快這個過程。先說明一點,網絡保安的兩大關鍵。一是在可行的情況下,開啟二步認證。二是在每次上網之後,都要登出戶口,最好避免儲存電郵或社交媒體的登入狀態。
最簡單直接的設定,是每次關掉瀏覽器,就會自動刪去所有瀏覽記錄、登入狀態及 cookies,通常是在設定偏好,安全隱私裡可以設置。而我其實即使在自己的電腦上網,也習慣使用「私隱模式」去瀏覽網站。
當你養成了這個習慣,每天也要登入登出戶口數次。如果你每次看到登入的畫面,都有一種不安的恐懼感,擔心自己不懂如何登入,那麼更加要熟習登出登入的過程,每天登出登入,把登出登入變成生活的習慣,就不會見到 log in 畫面時便忍不住向空氣驚叫或斥罵一聲。如果你已經記不清對上一次是何時登入帳號,那只代表你的戶口經常處於「登入」的狀態,這是保安漏洞,也是很壞的上網習慣,一定要改。
由於每天登出登入的次數較多,如果能夠安全地加快這個速度,就是值得考慮的方案。我具體去說一下,authenticator app 跟 YubiKey(或其他硬體驗證)在使用習慣上的分別。
假如你一天要登出登入帳戶五次,如果用的是手機 authenticator app 去做認證,安全程度也算是足夠,但每次都要先找來手機,然後輸入手機的開機密碼,打開 authenticator app,我用的是 Lastpass Authenticator,之後取得六位數字後,複製到剪貼簿,再把六位數字傳送去電腦,或手動輸入,再按確認,這樣才能登入戶口。
但如果有 YubiKey 或其他硬件認證,過程就相對快速。先輸入帳戶密碼,從鎖匙扣或錢包裡拿出 YubiKey,把 YubiKey 插進電腦,掃一掃上面的金屬圈,便能登入。而我用的 YubiKey,是細小得可以長期插在電腦的 USB C 插頭(一些熟知技術的讀者,知道我的電腦長期插著安全鑰匙,可能會響警號,稍安毋躁,我將會說清楚這個安全隱患)。我每次登入戶口時,先是用手指打完密碼,然後直接伸手在電腦旁邊摸一摸 YubiKey 的金屬環,便能登入。
所以用 YubiKey 的原因,在我的情況,並不是要把它當成唯一的二步認證因素,而是要加快二步認證的過程。對於不同的用家,這個速度是否重要,很看使用習慣。即使這個速度不重要,單純基於保安考慮,用了安全鑰匙,整個系統的保安級別有所提升。
四
問:我應該要有一條還是兩條 YubiKey 呢?
答:按官方的說法,最好是兩條,因為一條常用,另一條則做後備。但對於大多數用戶來說,其實用一條也是足夠。我會建議大家先買一條,再以其他方式去做後備的密碼重設方案,例如其中一個二步認證的「因素」是 YubiKey,但同一個戶口,要加上 authenticator app 做另一個認證的方案。之後有需要,再買不同型號的安全鑰匙。
如果你本身打算參加 Google 的高級保護計劃(Advanced Protection Program),你是必須有兩條鑰匙。不過參加了這個計劃之後,使用 Google 的所有服務都會極為不便,我自己也沒有參加。
簡單來說,對於不打算參加 Google 高級保護計劃的用家來說,只要有後備的認證方案,那麼一條安全鑰匙,也是足夠的。
五
問:YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal?
答:YubiKey 不支援 WhatsApp、Telegram 或 Signal,所以不會影響你使用這些聊天軟件。
六
問:Google 官方推介的那款安全鑰匙,叫 Titan,為甚麼你反而要推介瑞典出品的 YubiKey?
答:Titan 的製造商是飛天誠信(Feitian Technology),總部設於北京。這家公司獲得不少國家認證及讚許,官方對其安全產品及科技成就予以高度的認可及肯定,目前並沒有證據顯示這家公司的產品有後門或安全漏洞。
所以,我選擇用瑞典及美國製造的 YubiKey。
還有,大家可以比較兩者的設計,YubiKey 真係靚仔好多。
答完這條問題後,發覺 Google 在 2019 年 10 月 15 日(剛好是此文修訂版發佈同一天)推出了一條新的 Titan,這次是跟 Yubico 合作,新的 Titan,設計外觀上跟 YubiKey 5C 大同小異。可能之前 Google 跟 Feitian 的合作,確實引來太多揣測,這次才找瑞典的 Yubico。
七
問:如果有人用 YubiKey 插進我的電腦,是否沒有密碼就能直接打開電腦?
答:這個要看你如何設置,如果你想設置為開啟電腦時,要先輸入密碼,再插入 YubiKey 才能登入電腦,那你應該要使用 pluggable authentication module(PAM,可插拔認證模塊)。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide
如果你使用 PAM 模塊的設定,即使別人取得你的 YubiKey,也不可以打開你的電腦,他是必須有你的 YubiKey,加上你本身開機的密碼,才能登入電腦。
不過話又說回來,如果是使用電腦,只要設定妥當,其實不用配合 YubiKey 開機,也算安全。因為我是用 Mac 機,也只能用 Mac 機的情況去說一下,如何才算安全。
1. 你常用的開機戶口的權限只是 standard 而不是 admin。
2. 你的硬盤本身有開啟加密,即 FileVault。
3. 你本身 admin 及 standard 的戶口密碼夠強。
這三點當中,以第三點最為容易被用家忽略,很多人為了貪方便,開機密碼簡單到不能再簡單,有些密碼甚至只有三四個位,極易被破解。尤其開機的密碼,是容許不停地試,即可以使用「蠻力」(brute force)去猜度,所以一定要小心選擇。
舉個例子,如果你的密碼是 west,破解的時間是 @_$*,兩組密碼,哪個較難破解?前面的那個,是馬上立即就能被破解,而後面這個,用的時間較多,是用一個微秒,也就是一百萬分之一秒而已!
至於如何選擇強勁密碼,不妨參考骰子密碼法(Diceware),也就是用一粒骰仔,投擲出六位的隨機數字,再用這個數字,透過列表,選擇其對應的字,都是一些字典中可以找到的字詞,如果選擇了七個以上的字詞,這個密碼就很難破解了。有關說明,詳見:https://en.wikipedia.org/wiki/Diceware
大家也可以去這裡測試一下自己的密碼安全程度,不要輸入真的密碼,差不多就可以,我的密碼,聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/
八
問:你認為我可以長期把安全鑰匙插在電腦嗎?
答:要看使用的場景,以及自己的需要。如果處於高風險環境,把安全鑰匙長期插在電腦中,是不衛生的做法,一些機構甚至明確要求員工不能這樣做,雖然大多員工會對這個建議置若罔聞。
我的 YubiKey 是用來登入網上的帳號,而不是登入電腦(可以看看上一條問題)。先說我的習慣,我是長期把 YubiKey 插在電腦中,有兩款較細小的型號可以做到這點,分別是 YubiKey 5 Nano 及 YubiKey 5C Nano。
但我們首先要明白自己想防範的是甚麼,再評估應該要做的安全措施。以我的情況,密碼是極難猜的(按不一定科學的估計,我的密碼可能要 919 萬億年才能破解),而我的密碼又完全不重複,不同網站也會用不同的密碼,所以如果密碼洩露,有三個較大的可能,一是服務供應商的問題,二是電腦被人安裝了惡毒軟件或不乾淨的瀏覽器 add-ons,例如鍵盤記錄器(keylogger)或直接偷取密碼發到遠方,三是上了釣魚網站。至於其他難測的漏洞,很難估計,在這裡就不討論。
對於第一點,能夠用上二步認證的服務,本身保安做得較好,即使系統受到入侵,估計(估計而已!)密碼的記錄也有加密,所以因為服務供應商的漏洞而洩露密碼的情況很低。至於第二個情況,我本身用的是 Mac,Mac 不是完全沒有病毒或惡毒軟件,所以我儘量不安裝來源不明的東西,有時逼不得已要安裝,也只會在虛擬的環境(virtual machine)中進行。較大的風險可能是瀏覽器的 add-ons 或 extensions,只好儘量找些評分高,信譽好的插件來安裝。
第三個情況,即釣魚網站(phishing sites) ,通常是假冒的銀行網站。這些網站弄得像是真網站(其實通常還是有些破綻,例如圖片的成像差一些,圖片起角,字體模糊,拼錯英文等等,倒是有點像藍絲的美學風格)。總之打開一些需要登入的網站,都會留意清楚網址,又或是看看有否證書。每次上銀行網站、Google 及 Facebook 等,都一定要加倍小心,因為即使用了二步認證,釣魚網站是可以同時騙取密碼及驗證碼。如果忽然收到電郵,提供連結叫你輸入密碼,更要加倍留意。
總之評估了自身的使用習慣,最需要防範的風險,是壞人從遠處入侵電腦,並偷取或截取密碼,再入侵我的戶口。所以我只要確保我的認證因素,一個是發到線上的密碼,另一個是線下的因素便可以。即使有人從網絡取得我的密碼,他的手也不能伸到我的手機或安全鑰匙,企圖登入我的戶口,他們要同時取得我的硬件及手機上的二步認證因素,其可能性始終很低。
另外有些要防範的情況,例如你在公司使用電腦,鄰座的同事相當有可疑,又可以近距離碰到你的電腦,自然就要加倍小心,不要長插鑰匙。你的安全顧慮,也可以因為不同的司法環境,或是本身的敏感程度而改變。若果你是一直備受監控的對象,入侵者有計劃也有資源去取得你的密碼,例如派人偷拍你在咖啡館輸入密碼的情形,入侵者甚至可以取得法庭搜查令,採用不道德的公權力去挾持你的電腦及其安全鑰匙。如果是這樣,你要採取的安全級別,可能要高出其他人很多倍,例如斯諾登要求到訪者把手機的電池取出,又或是要求把 iPhone 等關機後放進雪櫃或 faraday bag。如果你認為他有妄想症,不妨讀一讀《No Place to Hide》(作者 Greenward)又或是《Permanent Record》(作者就是斯諾登本人)。
說了一大堆,其實就是說,評估過自身的風險後,我使用 YubiKey 的習慣,是經常把它插在電腦上。我不覺得會危害到戶口安全,也不認為會降低安全系數,大家自行評估相關風險。
九
問:為甚麼我覺得 YubiKey 有伏?真的安全?這個東西有沒有後門?
答:可能因為你不了解這個技術,所以覺得有伏。
說實在的,當我看到這樣的提問,確是頗感驚訝呀,就像看到有人堅拒打疫苗因為擔心會自閉一樣驚訝。
十
問:有甚麼服務是支援安全鑰匙的二步認證呢?
答:對香港人而言,可能有機會用到而又支援安全鑰匙的服務包括:Google (Gmail, Drive, Youtube, Cloud Platform), Facebook, Dropbox, Github, Amazon Web Services, 1Password (版本7以上), Lastpass (Premium), Bitwarden, Dashlane, Boxcryptor (免費版也支援), Twitter 等等。
至於 Apple ID 戶口則不支持安全鑰匙,但有提供其他方式的二步認證。
十一
問:我是用 iPhone,為甚麼我覺得這類產品對 iPhone 的支援,好像很弱很不足呢?
答:因為這類產品,對 iPhone 的支援,真的很弱很不足啊!即使 YubiKey 出了一款 5Ci 有 lightning 連接頭,但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone,我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano),而不用為 iPhone 買 5Ci 那款,那個 lightning 接頭很雞肋。
對於 MacBook + iPhone 的用家來說,最適合的方案,是在 MacBook 用 YubiKey,在 iPhone 還是用 authenticator app。
如果你只有 iPhone,沒有電腦,那麼很簡單,乾脆不用買安全鑰匙,用 app 去做二步認證就可以。(如果你本身是單機 iPhone 的用家,讀到這裡,才發覺原來我是不建議單機 iPhone 用家使用安全鑰匙,可能會覺得浪費了寶貴的閱讀時間,但希望這篇文章裡其他保安知識,也會對你有幫助啦!)
十二
問:萬一我的安全鑰匙遺失了,我是否不能再登入我的戶口呢?
答:要看你如何設定,但先說答案,不是。如果你遺失了鑰匙,還是可以登入戶口。安全鑰匙只是登入戶口的其中一個認證因素,但你同時可以設定其他方式去認證。
其他認證的方式包括:
1. 手機短訊(SMS):因為 SMS 的保安差,不建議。若然真的要用手機短訊,可以用不同居又可信任的朋友手機號碼,而這個電話號碼,最好不是存在手機的電話簿內。
2. Authenticator app:在 iPhone 及 Android 都有這類 app,我推介的是 Lastpass Authenticator,免費使用,軟件本身可以加上六位數字的密碼鎖。如果你想讓朋友幫你作為後備的方案,建議把設定的二維碼發給朋友,而該朋友又不是朝夕相對,一個 app 裡是可以儲存大量網站的認證碼,而且可以標明服務及戶口名稱,以作識別。
3. 安全鑰匙:也就是硬件認證方式,其中最多人使用的,是本文裡提到的 YubiKey。
4. 後備認證碼:部份網站,例如 Google 及 Facebook,會提供八個後備認證碼,可以寫下來,放在安全的地方,但有時貪方便,會儲存在電腦裡(其實不建議這樣做)。
所以,萬一遺失了安全鑰匙,只要設置合宜,其實也不代表不能用其他認證方式去登入戶口。而在設定了二步認證後,也應該要做一些練習,想像一下,萬一丟失了手機後,你還能用甚麼方式登入呢?如果你的手機、電腦及安全鑰匙全都放在公事包裡,而整個公事包被盜,你還有其他可行的二步認證方式嗎?手機丟失,你不能用 authenticator app。電腦丟失了,而你又貪方便只把後備碼儲存在電腦裡,連電腦也丟失了可以怎麼辦?如果你把不同居的朋友手機號碼作為後備的驗證方案,你能夠單憑手機最後兩個數字,就想起這位朋友嗎?網絡保安,除了要有措施,還有要反複練習。
另外,如果你使用的是 Google 最高級別的保安計劃(即 Google Advanced Protection Program),那就真的只能用兩條安全鑰匙進行登入。我本身是用 iPhone 及 Mac,因為安全鑰匙對於 iPhone 的支援太弱,所以我也沒有加入這個計劃。
還有,萬一你喪失了所有認證因素,其實 Google 或是 Gsuite 的管理人,仍然有辦法幫你重設密碼,但 Google 方面的驗證需要很多天,而且過程要問上大量問題,入侵者也不易通過。至於 Gsuite 的管理人,即使他單方面想幫你重設戶口密碼,這個雖然可能會成為另一個安全隱患漏洞,但他們也只能把密碼發到你後備的聯絡方式,而且當中也要有幾重驗證的過程,亦要花上一至數天。只要你那個後備的聯絡方式設定得較安全,入侵者也不能輕易破解。
十三
問:有很多款 YubiKey,我到底應該選擇哪條?
答:有三個考慮因素,一是你用甚麼電腦,二是你用甚麼手機,三是你用甚麼服務。我把幾種可能的情況寫出來,大家參考一下。要先說一點,因為 iPhone 對 YubiKey 或安全鑰匙的支援不好,所以按目前的情況,iPhone 的用家在手機上還是建議用 authenticator app 算了,即使你用的是 NFC 或 lightning 版的安全鑰匙,能夠支援的服務還是太少,可以忽略。選用哪款鑰匙,也要看自己的使用習慣,請參看「每次登入戶口時,都要把安全鑰匙插在電腦,有點麻煩,你認為我可以長期把安全鑰匙插在電腦嗎?」。
簡單來說,如果你打算長期把安全鑰匙插在電腦,就買 Nano 版,如果經常需要拔插,就買長一點的版本,方便拔插。如果你是用 Android,可以考慮買 NFC 的版本,如果是用 iPhone,因支援較弱,還是用 authenticator app 算了。
再具體一點去說,我根據以下的電腦及手機組合,建議使用的安全鑰匙型號。
1. 只有用桌面或手提電腦(USB A接口):用 5 Nano 或 5C(按我的習慣,會用 5C Nano)。
2. 只有用桌面或手提電腦(USB C接口):用 5C Nano 或 5C(按我的習慣,會用 5C Nano)。
3. 使用 12 吋的 MacBook(只有一個 USB C 接口的電腦):用 5C 或 5C NFC(就快推出),而不要用 5C Nano,因為只有一個 USB C 接頭,要經常拔插,用 5C 或 5C Nano(暫未推出)會較好。
4. 電腦 (USB A接口) + iPhone (Lightning接口):用 5 Nano 或 5 NFC(在 iPhone 上不用)。
5. 電腦 (USB A接口) + Android (USB C接口):用 5 NFC。
6. 電腦 (USB A接口) + Android (MicroUSB接口):用 5 NFC。
7. 電腦 (USB C接口) + iPhone (Lightning接口):用 5C Nano 或 5C(在 iPhone 上不用)。
8. 電腦 (USB C接口) + Android (USB C接口):用 5C NFC(就快推出,暫時未有啊,如果現在用的話,建議可以先買一個 Yubikey 5C Nano,只在電腦上用,手機上則用 app)。
9. 電腦 (USB C接口) + Android (MicroUSB接口):用 5C NFC(就快推出,暫時未有啊,如果現在用的話,建議可以先買一個 Yubikey 5C Nano,只在電腦上用,手機上則用 app)。
10. 使用 12 吋的 MacBook(只有一個 USB C 接口的電腦)+ iPhone(Lightning接口):用 5C 或 5C NFC(暫時未出),不建議用 5C Nano。
11. MacBook Air(有兩個USB C接口):因為兩個 USB C 接口都在機身左邊,如果不會長期用 hub,那麼用 5C Nano 也可以。如果這個插口本身又要連 iPhone 或其他設備,那麼用 5C 會較好。
12. 以上任何配搭,但用的百度雲、淘寶、QQ 郵箱等:不用買。
至於 Security Key by Yubico 這一款,則可以用在電腦 (USB A接口) 上,沒有 NFC 功能,屬較為基礎的一款。之前 YubiKey 慷慨送給香港人的型號,就是這個。對於自己有能力購買的用家,請按上文所述的建議,對應自己的機型去購買。
另外,如果打算用轉換頭(例如 USB A 轉 USB C),請看看相關兼容情況:https://support.yubico.com/support/solutions/articles/15000006473-using-a-yubikey-with-usb-c-adapters (因為沒辦法逐一去試,萬一打開 YubiKey 的包裝後,發覺本身使用的 hub 或轉換器兼容不了,那就得物無所用,所以我不是太過建議用轉換頭。如果真的想用轉換頭,最好找朋友的安全鑰匙插進自己的電腦,再去 https://www.yubico.com/genuine/ 測試能否認出。
十四
問:可以在哪裡購買 YubiKey?
答:上官網 Yubico.com,在香港則去官方認可的香港分銷商。
購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。
其中一種做手腳的方式,是企圖入侵的人,把鑰匙裡的物理序列號偷偷記錄,並用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,最好不要再用。
Yubico 的官方網站顯示,在香港有一個官方認可以的分銷商:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。
———
延伸閱讀:
陳婉容幫助香港人取得瑞典公司 Yubico 的贊助:https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1
電腦手機網絡安全(一):SIM 卡鎖:https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/
電腦手機網絡安全(二):簡介二步認證:https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/
電腦手機網絡安全(三):二步認證的驗證因素:https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/
———
* 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*
Instagram 🥑🥭🍉🍌: pazu
新博客:http://pazu.com/blog
另外還要提一提大家:
【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。
在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
電腦 開機 一長三短 沒 畫面 在 羅比媽的育兒與實驗廚房 Facebook 的最讚貼文
休息了幾天
這才有機會簡單分享一下我的人生壯遊🤣 (是誇張了)
幾個月前,好友突然捎來訊息
意思就是她人品大爆發
居然抽中了the wave門票、問我有沒有興趣一起飛Las Vegas
嗯~~膚淺愚婦如我
聽到《活動叫做the wave》+《機場在Vegas》
我合理腦補為———春天吶喊基款ㄟ董ㄘˉ董ㄘˉ電音派對
馬上點頭稱好!絕對加入
回家跟先省報備之後,他立馬噴了我半天「妳平常不愛戶外運動是去辛酸還是傻了還是想死?」
難道~~~~勁歌熱舞有這麼嚴重嗎(吶喊)
結果真的是我腦殘
The wave 真正的官方名稱是Coyote buttes north,具有得天獨厚侏羅紀時期留下的Navajo砂岩,在風化和水力交互侵蝕下呈現夢幻的波浪條紋,所以又俗稱為波浪谷
算是和羚羊谷齊名的世界奇觀
The wave位置美國亞利桑那州和猶他州的邊境,由土地管理局(Bureau of Land Management, BLM)管理
為了保護這塊遺跡不被人為破壞
每天只限制20人能進入參觀(其中10個名額必須4個月前上網申請抽籤,另外10個名額則是現場抽籤進入)
也就是說,這根本是個拼人品的行程
不是有錢就能前往的人間仙境啊!(遑論入谷前後至少需時4-6小時的步行路程)
我們星期五從西雅圖飛往LAS
直接租車、開三小時抵達距離the wave最近的城鎮Kanab(抽籤的旅客服務中心也在此地)
這個晚上我們吃點零食、泡麵果腹、早早就上床休息了(真相是,我們先吃了海南雞飯、功夫茶又買了炸雞、一路中吃喝沒停過)
星期六一大早,我們聘雇的tour guide就來旅館接我們。其實官方提供了一份極為清楚詳細的圖文對照地圖,當然其中不乏各種警語(諸如你遇難也要很久才有人來救)(建議趕快簽好生前契約)(我亂講的),但說真的每張照片都是黃黃的沙丘,全區不設任何路標、手機也幾乎沒有收訊,我們六個成員都不屬於登山悍將,一開始就決定另外聘請導遊帶著我們走,除了少走許多冤枉路之外,確實也比較安心至少能活著回到終點🤣 事後覺得這是這輩子最正確的決定之一,因為拿了地圖到現場,還是一整個霧煞煞每個山丘都長得好像啊!
上車後,除了正常道路一小時車程外,大概越野路又另外衝了半小時(這也是為什麼官方手冊建議大家使用四輪驅動的汽車前往)。抵達時有暈車症狀的小伙伴都已經面色慘白😱😱😱我們停好車、使用一下公廁、拍幾張照片就開始步行前往目的地。
波浪谷本身佔地面積並不大,但必須穿越大量紅土岩石與沙地才能到達,中間加上休息喝水的時間大概整體也花了3-3.5小時才抵達。原本以為攀爬各種大石才是最吃力的,錯!!沙地才是我們的致命傷啊⋯⋯走一步退半步、每一步都得從沙坑中拔出後腳才能繼續往前,加上荒漠高溫的曝曬,我們真正是體會絕處逢生的感覺。反而有幾處攀爬岩石,看似陡峭,但只要手腳著力點正確,稍微努力點還是能爬上制高點(我老!需要多喘兩口氣)。儘管沒有山波起伏之處我們也走得戰戰兢兢,因為平坦的地面仍然滿滿的坑洞與傾斜、一不小心就會扭傷。(路途中還看見了三趾恐龍足跡、攝影師天堂的岩石區,這些都只能遠觀不能碰觸)
我們最終來到波浪谷本人
那震撼的確筆墨難以形容
愚婦如我更是震懾在這大自然的巧奪天工中而無法自拔
每張照片都像是Microsoft 電腦開機畫面或螢幕保護程式般唯美(抱歉找不出更精準的形容)
我們在這邊瘋狂捕捉美景照
反正這輩子大概沒有體力再來一次
登愣~~~耗盡體力後得知還有一半的路程才能回到起點
全部人臉上都堆滿「絕望」二字
但還是得硬著頭皮走完🤣
這時因為高海拔的症狀,大家四肢開始浮腫、笑容沒了、也幾乎不停下拍照,這時導遊大哥為了振奮人心,特地請我們加油、告知大概只剩2 miles不到。我其實沒概念那要走多久,但已經轉頭跟旁邊的女友說「他膽敢告訴我還要走一個小時我就打爆他的頭」女友悠悠的告訴我「嗯⋯⋯⋯大概90分鐘吧」😱😱😱 真心要挑戰我的意志力⋯⋯我人生走馬燈在眼前跑了一圈啊
最後,看到停車場的瞬間
我真心感謝上帝讓我活著回來(是有沒有那麼誇張)
=============================
至此,雖然還是覺得自己孤陋寡聞蠢到以為是電音趴、但真心感謝好友把這樣珍貴的機會與我分享❤️
這趟旅程真的要做些什麼準備,應該有幾樣是我個人這種登山菜鳥覺得很有幫助的
✅ 水!水!水!建議至少2加侖的水。我平常水喝得少、又怕在山上得光天化日之下撇尿,所以只帶了1加侖,回程就喝光了還跟同行的朋友討。
✅ 輕便的背包。這路程說長不長說短不短,但有許多高低起伏、沙地、大石需要攀爬,多一分重量就是多一分負擔。我在Amazon買了登山用的駱駝背包,故名思義背包裡面內建水袋與吸管,除了減少水壺的重量與體積之外、長吸管可以讓我邊走邊喝防止脫水、不用拿下背包、開關與拿放水壺而拖累團體速度。想當初我還嫌它醜!沒想到真是救了我半條命。
✅ 登山鞋。漂亮的、名牌的、好看的球鞋拜託你們通通給我留在家!!登山鞋之所以有存在的必要真不是開玩笑的,好穿好走、輕、防沙、重點是抓地力強、在凹凸不平的地形甚至攀爬岩石都很穩!(別忘了提前break in多穿多走、讓鞋子適腳型,不然第一次穿新鞋爬山很冒險啊)
✅ 防曬。除了定時全身補擦防曬油之外,物理防曬比想像中還重要。沙漠型氣候機乎全程無遮蔽物,再熱也要全身包緊緊。我買了Uniqlo 防曬外套、太陽眼鏡、像阿珠媽的大傘帽(一定要蓋住耳朵與脖子後面),雖然整體造型就是大媽!但最後沒曬黑沒曬傷
✅ 急救包、面紙濕巾、乾糧這些大家可以分配著打包。不瞞各位說我們的團體還有人打包禮服🤣🤣
報告完畢!希望大家有機會一定要來抽籤試試手氣
電腦 開機 一長三短 沒 畫面 在 啟點文化 Youtube 的精選貼文
【線上課程】《理財心裡學》~擺脫家庭影響,從心培養富體質
課程連結:https://pse.is/EPBWE
第一講免費試聽:https://youtu.be/HgrDK7pqR-0
不定期推出補充教材,讓學習無限延伸:https://pse.is/NJ5VE
【10/13開課!】《學「問」~高難度對話的望聞問切》~第20期
掌握達成共識的關鍵能力!
課程資訊:http://www.koob.com.tw/contents/232
更多學員心得分享:http://goo.gl/A07zZ0
【線上課程】《過好人生學》~讓你建立迎向未來的思維與能力!
課程連結:https://pse.is/H8JXH
第一講免費試聽:https://youtu.be/-EHOn0UxMys
不定期推出補充教材,讓學習無限延伸:https://pros.is/KQZZH
【線上課程】《自信表達力》~讓你不再害怕開口
從「敢表達、說清楚」到讓人「聽得進、會去做」的完整學習
課程連結:https://pse.is/RG5NC
第一講免費試聽:https://youtu.be/fAjySLoa2f8
不定期推出補充教材,讓學習無限延伸:https://pse.is/NUJK9
【線上課程】《時間駕訓班》~
學會提升效率,擺脫瞎忙人生,做自己時間的主人
課程連結:https://pse.is/DDDHB
第一講免費試聽:https://youtu.be/flfm52T6lE8
不定期推出補充教材,讓學習無限延伸:https://pse.is/GXZWM
【線上課程】《人際斷捨離》~
讓你留下怦然心動的關係,活出輕盈自在的人生!
課程連結:https://pse.is/E5MW5
第一講免費試聽:https://youtu.be/YyLvd1cNcDw
不定期推出補充教材,讓學習無限延伸:https://pse.is/LVRLY
【我們有Podcast囉~】歡迎到Podcast應用裡搜尋「啟點文化一天聽一點」訂閱我們!
Apple Podcast~https://pse.is/N2WCZ
Google Podcast~https://pse.is/PEN2Z
在Himalaya收聽~https://www.himalaya.com/ekoob
在Spotify收聽~https://pse.is/PQT76
在SoundCloud收聽~https://soundcloud.com/ekoob
桌遊【人際維基】~一玩就懂得別人的在乎:https://goo.gl/Ej4hjQ
到蝦皮購買【人際維基】:https://goo.gl/ASruqR
=========================
歡迎來到「一天聽一點」,我們每週一到週五晚上7點,準時為你更新,結合心理跟生活的真實運用,每天陪伴你進步一點點,如果你每天都想要有所進步的話,就請你一定要訂閱我們的頻道。
昨天跟大家分享了《匱乏經濟學》裡面的「稀缺心態」。
「稀缺心態」會導致我們進入一種「隧道效應」,同時也會讓我們進入一種「預支」跟「透支」的生命形態。
那除了隧道效應,跟預支與透支之外,稀缺心態還會怎麼樣全面性的影響我們的生活呢?
接下來談第三個影響哦!第三個影響就是,稀缺心態會導致我們沒有辦法留下任何的餘裕,也就是沒有多餘的「時間」跟「空間」。
其實你不妨想一下,為什麼那些窮人他們會覺得生活特別的累?
其實回到真實的生活現場裡,如果你活在一種「花一塊錢」都要糾結、比較一下;花一點時間都要考慮再三,這個時間用在別的地方會不會更有效?
這樣的一個思維,直覺上看起來好像都是很審慎評估的,但其實如果你的每一件事情、每一分錢都要進行這樣的執行的話,那會讓你造成很龐大的心智負擔。
而這些心智負擔會消耗你的注意力、消耗你的精力,進一步又強化了你的「隧道效應」,因為你已經沒有辦法再處理別的訊息了!
這種感覺就好像是,你使用手機或者使用電腦,你裡面預備要執行的程式太多,你都沒有去把它刪掉的時候。
有沒有發現,每一次開機、每次關機,或者是每一次執行新的程序,花很長、很長的時間。
甚至於你有一種好像覺得自己的手機,自己的電腦跑不動的感覺!那為什麼會跑不動?就是因為你的不管是記憶體,還是CPU,它都沒有餘裕啊!
就像我們開車在路上,以一般的交通研究來說,如果一個道路的佔有率,超過了85%,它會塞車的幾率是100%的。
因為當車子多到一定的程度的時候,只要其中有一個司機,腳踩了一下剎車,那麼後面所有的司機都會連鎖反應的踩剎車。
你可能有過那種經驗,開車在高速公路上,然後塞車塞了一陣子,你覺得前面一定是有什麼問題,或者是一定有什麼事故。
結果呢你慢慢開,開到了某個階段,你就可以盡情的踩油門,你也沒看到有什麼事故,沒有什麼意外呀!
對呀,因為當那一個區段的車子的佔有率,超過了一定的比例,其實根本不用有任何的事故,就會導致整體的速度放慢下來。
那麼你想想看,在你的生活裡不管是時間、不管是金錢,是不是也是如此?
就像是如果你平常沒有儲蓄的習慣,你平常沒有做時間規劃安排的習慣,特別是幫自己安排休息的時間。
是不是任何的意外,都會導致你的時間或財務,整體的崩潰,這就是因為「稀缺心態」導致你沒有餘裕啊!
那你可能會想那「稀缺心態」導致沒有餘裕,到底是因還是果呢?其實我會覺得它是互為因果的。
因為有很多時候,比如說工作來講好了,你總覺得要把時間塞滿,才叫做有做事;可是呢,我反而在自己的線上課程【時間駕訓班】裡,我有特別提醒!
千萬記得哦,不要以為把時間塞滿叫做「有效率」,真正有效率的人,反而要把自己的休息,把自己的放空,有意識的排進自己的行事曆。
因為我雖然這種時間的餘裕,看起來好像會讓一個人效率沒有辦法提高,但是它帶來的整體的正向回饋,是非常高的。
因為你心中覺得自己可以休息,它就是一種很奢侈的心理感受,它會讓我們覺得自己不用急忙、不用匆忙。
隨之而來的就是,我們會感覺更放鬆、更自在;就算犯錯了也沒有關係,這是一種心理上的奢侈呀!而這樣的享受感、奢侈感,對於一個人的主觀幸福是非常重要的!
其實金錢也是一樣,今天你可以花一筆錢,不用太考慮它的CP值,或者是不用太考慮它的對價關係;在合理的範圍裡,這樣的感受,是不是會讓你覺得自己很棒呢!
所以呢,如果長期讓自己處在「稀缺心態」裡,這真的很容易讓人沒有辦法有任何的餘裕;而這裡面最凸顯的,就是從小到大我們接收的信念。
好像有些人會覺得休息是不好的,或者是好像買一些對自己好的東西,就叫做浪費錢!你沒發現其實不一定是你沒時間沒錢,而是你的信念,導致你根本不可能讓自己留有餘裕啊!
而第四個稀缺心態影響的部分,這一點也是最重要的一點,就是它會引發我們認知頻寬的不足,什麼叫「認知頻寬」呢?
它就是我們所有、所有認知能力的總和,包含我們去計算權衡,包含我們去關注一件事,包含我們決策去執行,甚至於是抵抗誘惑的能力,這些都是我們的認知頻寬。
就像是前面舉的例子一樣,你可以把它想像成我們心智的CPU。
你可以感受一個情境噢,你手上正在忙一件事,同時有人找你講話,而這個時候旁邊的電話又響了;然後你發現你後面正在燒開水的水壺的聲音,也發出了煮沸的聲音,請問一下這個時候,你能夠同時做好這些事嗎?
可是呢,有很多時候,我們總覺得自己可以同時做好很多事。所以呢,你同時應付別人、同時眼睛在看螢幕,然後還瞄一下你的手機響的那個畫面到底是什麼?
然後腳呢,同時往後走,你會發現這樣的狀況就是,你每一件事情感覺上都做了,但是沒有一件事情做得好!
然而久而久之呢,這一定就會傷害我們對於長期真正重要事物的規劃。什麼叫做「長期規劃」?
在財務上面,就包含有意識的儲蓄,有意識的去理財,然而對個人而言,就是有意識的去學習,去運動、去健身。
可當你的認知頻寬還不夠的時候,你可能都會在忙於這些表面的事物,所以那些投資未來的事情,要麼你就根本不在乎,要麼就是你理論上知道要在乎,但是你實際上根本沒有去做。
所以呢,它會造成一個很矛盾的現象,理論上來說對一個窮人就是沒有錢,可是你會發現,他們要麼就是太過在乎錢,要麼就是太過不在乎錢,而且我遇到蠻多的是太不在乎錢!
怎麼說呢,先不管他們表面上的認知如何,回到他們的行為,你會發現這些進入財務惡性循環的。
常常是透支他們的信用,常常是衝動消費、衝動購物,常常是把錢花在短期的享受,而不是長期的投資!這就導致他們的債務永遠沒有還完的一天,而且是惡性循環,越來越糟。
那如果體現在時間的管理上,你會發現這樣的人,他們理性上都知道,他們要專注在最重要的事。
可是他們通常在實務上,就會關注太多的事情,而關注太多的事情,因為自己的恐懼,而恐懼就是稀缺心態,又會導致他們認知頻寬嚴重不夠。
所以呢,在他們的心中,再茲念茲的都是那些沒有做完的、應該去做的,或者是很急迫、有壓力的那些事,這就是心理學裡面講的「蔡尼格效應」。
那些事情一直縈繞在他們的心中,那也因為如此,他們根本沒有足夠的頻寬去處理真正重要的事。
於是更容易出現錯誤的決定,然而在錯誤的決定之後,又會導致他們的時間跟財務更加的稀缺。
聽出來了沒有,其實當你沒有給自己餘裕,當你把自己的認知頻寬全部佔滿了之後,那只是讓你有一個好像「你很努力」的錯覺,就像我常說的,你無論做任何事情,你不能讓自己只是很努力而已。
你要讓自己很清楚知道,你為什麼做、你為何而做?而當你做它能得到什麼,並且去檢核是不是真的能夠得到。
然而這一切的動作,都需要你在心中要先「留有餘裕」,而且要能夠留下你的認知頻寬。
然而當你聽到這裡,你可能也發現了,這一切的結果好像跟我們內在一些很核心的信念是有關的。
沒有錯!其實我們的信念,都受到我們過去的經驗,還有原生家庭的影響。
尤其是我們在面對財務的時候,原生家庭到底在你的心中種下什麼樣的信念?這個是你需要好好的認真看待的。
如果你沒有發現這些,或者是你沒有好好的覺察這些的話,你會發現你可能很看不慣自己父母親,面對財務的方式,然而你很有可能就複製了他們的行為。
又或者是你的父母親真的很有錢,可是你因為自己內在的一些功課沒有穿越,你會反其道而行,從此討厭錢。
可是你的理性上,又知道自己必須要好好的看待錢,然而你的行動怎麼樣就是做不到,我相信置身其中的你一定很辛苦吧!
所以呢,這些稀缺心態,導致我們信念跟行為的因果關係,我覺得它們真的很重要!
然而更重要的是,你能不能給自己一個機會去看看,自己在面對金錢面對財物的時候,你的核心信念到底是什麼,而又怎麼來的?
並且從中找到適合自己調整的方法,用很實際的,不管是記帳啊,財務規劃,讓自己活出一個更富有的人生。
其實如果你想要在這方面前進的話,我很鼓勵你可,以加入嘉玲老師的線上課程【理財心裡學】。
尤其是【理財心裡學】哦,到6月30號的晚上12點前,都可以用1399的優惠價加入學習。
我想無論你的功課是面對財務,還是更廣大的人生怎樣活得富有,這門課都會帶給你很大的幫助。你加入了嗎?歡迎你的加入~
然而更希望你透過我們這一系列的分享,讓自己開始活得更好,活得更自由;希望今天的分享能帶給你一些啟發與幫助,我是凱宇。
如果你喜歡我們製作的內容,除了YouTube之外,我們也有Podcast的頻道,你只要在Podcast的應用裡面,搜尋「啟點文化一天聽一點」,你就可以訂閱我們,也記得給我們5顆星的評價,我們需要你用具體的行為來支持我們。
然而如果你對於啟點文化的商品,或課程有興趣的話,如同今天最後提到的【理財心裡學】,相關連結在我們的影片說明裡都有,期待你的加入。
也期待你能夠把握6月30號1399的特別優惠,那麼今天就跟你聊這邊了,謝謝你的收聽,我們再會。