關於 signal 在線 看 ，我們在網路上蒐集到這些相關的討論、資訊與評價

《#讓寫作成為自我精進的武器》部落格文末抽獎贈書 2 本
你知道現在職場上最關鍵的隱藏技能是什麼嗎？你知道可以不說一句話就讓合作機會找上門嗎？你知道如何在充滿雜訊和紛擾的年代脫穎而出嗎？答案就是，學會寫作。寫作一直都是關鍵的技能，只是它的重要性在時代的演變之下只會變得愈來愈重要。你或許會問，為什麼要寫作？如何寫作？寫些什麼？我想透過這篇文章回答你。
部落格文章 https://readingoutpost.com/writing-as-weapon/
Podcast 用聽的 https://readingoutpost.soci.vip/
.
【這本書在說什麼？】
《讓寫作成為自我精進的武器》的作者是中國知名的寫作教育培訓教練師北宸，曾任鳳凰網科技頻道前主編和中國 LinkedIn 公關部門，現為《紐約時報》中文版專欄作家。他將在線下寫作課面對無數學員的教學經驗，搭配眾多的寫作案例，彙整成這本談寫作的書。

這本書裡面談的重點偏重於寫作的「心態」和「心法」，強調從建立內心的基本功先做起，先理解寫作會帶來的好處，然後認識一個好的寫作者需要具備什麼樣的心理素質，最後才是如何寫作的「技巧」和作者本身的經驗分享。

所以，如果你期待的是一本充滿了「寫作技巧」的操作手冊，這本書或許不適合你。如果你從來不曾覺得寫作很重要、想要了解寫作真正能帶來的好處、想知道如何建立正確的寫作心態，那麼這本書是初次接觸「寫作」的你很好的起點。在這篇文章裡，我試著用容易理解的方式總結這本書的一些重點跟你分享。
.
【為什麼要寫作？】
#無形之間行銷自己
作者認為，把自己「行銷」出去，是每個人一輩子都在做的事情。在求職履歷上做自我介紹時，是在行銷自己的職場能力。在向上級提案做預算企劃時，是在行銷自己的策劃能力。在寫給隔壁部門的會議結論和待辦任務時，是在行銷自己的跨部門合作能力。我們無時無刻都在行銷自己。

矽谷創業公司 37 signal 的創辦人傑生．佛里德（Jason Fried）曾經分享他如何挑選一個職位的最適合人選，他說：「要招募就招那個寫作最厲害的」。因為一個優秀的寫作者會有很清晰的思路，而且他們懂得表達和溝通，他們讓事情更容易被理解，也會站在別人的立場想事情。

無論對管理階層、行銷人、設計師、程式開發人員，寫作技巧都非常重要，一個優秀寫作者的特質，也是雇主想在任何求職者身上看到的特質。透過寫作，我們可以培養和精進自己思考的方式，也可以把內心的想法有組織、有脈絡地付諸文字之上，讓別人從文章裡進一步認識你這個人。
.
#內向者的社交利器
我曾經聽過一個說法，身為一個內向者所能擁有最好的武器，就是寫作。作者在這本書裡面用這句話傳達總結了這個觀念：「好文章自己會走路。對於內向的人來說，這是最好不過的社交方式。」對於不擅長在社交場合中侃侃而談的內向者而言，寫作是一個非常值得建立的技能。

作者進一步說明：「內向的人很容易被人認為是以自我為中心，孤僻而不愛交際的。事實上，性格內向的人往往更能聚焦於內在世界，有更強的感受和反思能力，這反而能幫助內向的人更好地理解外部世界。」內向者在旁人看來孤僻不善社交的缺點，反而在寫作的時候得以發揮優勢。

在另一本寫給內向者的《安靜，就是力量》書中有一段是這麼說的：「內向者聽得多講得少，並且比較容易從寫作、而不是從對話中表達自己的意思。他們不喜歡衝突。他們很討厭閒談瞎扯，但是喜歡有意義的討論。」好的文章不但會自己走路，還會幫你說話。
.
#自我精進的武器
你身處的環境決定你是一個什麼樣的人。開始寫作，可以讓你沉浸在一個持續精進的環境裡面。作者他舉自己為例，一開始他的英文特別差，但是他試著把自己浸泡在《紐約時報》和《紐約客》的高品質英文媒體環境裡，也訂閱了上百家科技媒體的文章大量閱讀。

此後，他一篇又一篇的翻譯優質的文章，不但提升了英文能力，也打下了撰寫科技文章的深厚基礎，造就他後來踏上媒體主編和寫作教練的道路。他調侃道自己開始寫作的時候就像是「群體裡面最差的人」，從寫作新手開始出發的他，等於無時無刻都要向更優秀的寫作者學習，讓自已沉浸在比自己的知識和視野更高的環境，才能不斷進步、寫出更好的文章。

我認為，高品質的文章本身就是一個「資訊含量充沛」而且容易「重複閱讀和賞味」的資訊載體，而且你很容易可以「照著寫寫看」。不同於影音之類的媒體，你要照著做的成本和門檻相對比較高。從高手的文章模仿寫作，挑選框架來給自己用，相對而言都是更簡單可上手的方式。學習寫作同時也會帶來自我精進，讓自己沉浸在好文章的環境之下，是一個跟高手的思維不斷靠近的過程。
.
【該如何寫作？】
#善用萬能的框架
在這本書裡，作者沒有教你一百種寫作技巧，而是只教你「一個」寫作技巧，那就是「萬能寫作法」。這是一個無論在什麼情境都可以運用的框架，簡單、易懂、好執行。無論是單一模組使用，或者是擴大成更大的框架，甚至是大框架包小框架，都可以有各種運用的方式。

萬能寫作法由三個部分組成。第一個是「觀點」，指的是有價值導向的主觀論點，或描述的客觀事實。第二個是「案例」，引用軼聞趣事、實驗案例、研究數據來輔助說明你的觀點。第三個是「總結」，回顧主題，用一句話、一個段落，總結核心觀點。

以下引用一個我自己的寫作範例給你參考。我在分享《與成功有約》這本書的讀書心得時，分別說明了書中提到的七個高效人士習慣，其中第一個習慣「主動積極」的說明我是這麼寫的：

前半段是「觀點」：第一個是「主動積極」，意思是不要把自己的行為歸咎環境或他人；待人接物是根據本身原則與價值觀，做出有意識的選擇。

中段則是「案例」：史蒂芬引述《活出意義來》 作者法蘭柯的說法：「刺激與回應之間始終有段距離，而成長和幸福的關鍵，就在於如何利用這段距離。」法蘭柯是納粹集中營的倖存者，經歷過所有身外之物、僅有的尊嚴和身體自由完全被剝奪，身旁盡是絕望與痛苦的氛圍。

後半段是「總結」：他體悟到儘管外在環境再怎樣無法忍受、不受自己控制，人的內心卻仍可保有「人類終極的自由」，也就是選擇如何回應生命意義的自由。積極，是一種選擇。

善用這種萬能寫作法的框架，你就可以把任何想要表達的觀點，用你想要引用的案例來說明，最後再透過總結來加深讀者的記憶。你可以把這樣一個段落當成是一個「模組」，一篇文章就是好幾個模組的組合。如同作者所說：「寫作之道，大道至簡」，掌握這個寫法，你可以應用在無限種不同的場景裡面。
.
#閱讀高品質資訊
要練就一身好的寫作本領就要注意自己吸收的資訊品質。有一句話是這麼說的：「你，就是你吃進去的東西。」意思是你如果常吃高油、高鹽、高糖的食物，就會養成不健康的身體。嚮往健康的人們很在乎自己攝取的卡路里是否超標，也傾向選擇健康的食物。可是，我們對大腦「吃進去的食物」是否也有同樣程度的關注？

我們要去買新鮮和頂級的食材，需要付出相對高昂的成本；但是閱讀頂級的精神糧食，卻不一定要付出多麼高昂的代價。你攝取的資訊，決定了你將成為什麼樣的人。如同《深度數位大掃除》這本書中提倡要攝取「慢媒體」的原因是「 吸收少量優質的東西，通常比吸收大量劣質的東西更好」，我自己很推薦從《華爾街日報》之類的優質新聞來源去吸收資訊，這通常會比看八卦小報和農場新聞的文章來得更好。

就很像做數據分析的科學家常常掛在嘴邊的一句話：「垃圾進、垃圾出」，如果一個人總是吸收劣質和低廉的資訊來源，那些資訊就會影響他下筆寫出來的東西。因此，我們要慎選資訊來源，為自己營造出一個高品質的資訊環境。一個寫作者首先要有好的輸入，才可能有更好的輸出。
.
#寫作時必須誠實
在這本書中，有這麼一句話深深觸動了我的心，作者他說：「讀者不需要你完美，但他們需要你誠實。」起初我在練習寫作，並且鼓起勇氣公發表的時候，時常會在乎自己寫出來的東西，會不會被人嘲笑太淺、太無聊。有時候想著想著，乾脆就不寫了，至今回想起來，也錯失了暢談許多主題的機會。那些自己還未臻成熟的想法、還不夠完美的表現，時常會在害怕和自我質疑的時候偷偷藏起來。

作者認為，人們之所以「不敢誠實」有一個主要原因，害怕別人看到自己的缺點後，看不起、看不上自己。但是這種「害怕」，其實是對別人的不信任。一個作者如果不敢誠實，等於是不信任自己的讀者。真正支持你的讀者，會理解和體諒你，並且和你站在一起。如果一個作者不敢信任讀者，那麼讀者也難以信任作者。如果要寫出更好的文章，必須對自己的不完美更誠實，而且不要害怕公開自己的誠實。
.
【可以寫些什麼？】
#總是勤做筆記
在這本書中讓我很有收穫的，是作者提到他在寫作訓練營裡面，總結給學員們的最重要的經驗：第一，找到你這個行業最好的資料並努力深挖。第二，一定要做筆記，把你看到的、聽到的、讀到的、想到的、有價值的內容通通記下來。如果要讓寫下的文章自己會走路，就公開分享出來。

作者提到他寫筆記的方式是從紙本筆記，轉變成電子筆記，再變成電子和紙本，到最後全部轉為紙本筆記。只要是對他有幫助的、他感興趣的、未來寫作主題可能會用到的，他一定毫不猶豫全部記錄下來。只是很可惜的是，書中說了很多他寫筆記的原因，但是對寫筆記具體的「方法」卻著墨甚少。

我在閱讀的時候也不斷懷疑，純紙本筆記真的比較好嗎？因為我本身習慣用數位的 Notion 筆記 App 和紙本的子彈筆記，數位筆記利於搜尋，紙本筆記利於激發思考。稍做比較之後，我還沒有作者這般把「所有」所見所聞都記錄下來的習慣，這點倒是值得每個寫作者持續探究的主題。
.
#寫日記週記總結
除了作筆記之外，我們還能寫些什麼？作者提供了三個很有意思的寫作練習方法，很適合每個想學習寫作的人開始提筆。分別是每天寫日記，每週寫複盤週記，嘗試對事情做出總結。

首先，每天寫日記。作者認為最好的寫日記時段，是每天醒來的第一個小時。如同我在《起床後的黃金1小時》這本書的讀後心得寫下：「早晨醒來的時候，精神品質和心情都處在清空的最佳狀態」，在起床後開始寫點東西，是最好的起床儀式之一。寫日記可以帶來五個好處：

1. 計畫性：可以做好一天的準備。
2. 忠實性：可以準確寫出昨天發生的事情。
3. 中立性：冷靜思考前一天的事情，可以中立地看待事情。
4. 持續性：對於大部分午餐和晚餐都奉獻給工作的上班族來說，早上是自己最自由自在的時間，不會讓寫日記的習慣被中斷。
5. 活用性：可以將過去的寶貴經驗運用在當天。

寫日記還有一個好處，那就是「承諾和一致性」。《影響力》這本書的作者曾經說過人類有一種天性：「人們一旦對自己的行為或選擇做出承諾，就會努力保持言行一致。」善用這種天性，利用日記來驅策自己完成每天早上對自己做出的承諾。

其次，每週寫複盤週記。作者認為定期整理筆記可以帶來去蕪存菁的效果，他每週會重新對筆記大掃除，把無意義和不重要的扔掉，留下那些可以強化現在和未來的有意義的筆記。複盤的時候，他也會思考自己當週哪裡做得不好，並思考改善的方式。用寫作的方法來複盤，可以讓你更知道自己在想些什麼，也方便日後回顧自己的轉變歷程。

最後，嘗試對事情做出總結。作者舉工作為例，有些工作出現的頻率只佔 2%，卻可能影響你 90% 的工作績效，這件工作就是成果總結。所以平常期間，我們就要把自己的所見所聞和完成的事情，透過有主題性、系列性的方式做出總結。總結是屬於平時練習的少，可是卻很重要的工作。
.
#持續寫任何東西都好
很多人會以為寫作的時候，要有很多的「靈感」才寫得出來。但這是對寫作的根本誤解。作者提醒，無論是寫什麼，寫就對了。就像知名的高產出作家村上村樹和史蒂芬．金（Stephen King）都是以持續且規律的方式在寫作。

我很喜歡美國畫家查克．克洛斯（Chuck Close）曾經說過的這句話：「靈感是給業餘人士用的，我們其他的人就只是每天出現並投入工作。如果你等著烏雲散去，或等著一道閃電擊中你的大腦，你就不會做出很多工作。所有最好的想法都來自於過程；它們來自於工作本身。」

因此，不要相信靈感，不要期待一個不會天天憑空出現的東西。寫作這個行為的本身，一定要養成習慣。你可以參考《彈性習慣》這本書提到的核心觀念，你想養成的習慣不能太困難，必須要可以在你狀況最差的那一天照樣能夠執行。重點不是去拼靈感爆發，而是建立能維持規律寫作的方式。
.
【後記：寫作永不嫌遲】
從《讓寫作成為自我精進的武器》的閱讀過程之中，令我收穫最豐富的就是「讀者要看的不是你的文筆，他們要的是真實的你」這個觀念。作者希望我們擺脫寫作就是要文筆優美的老舊觀念，而更強調寫作對生活和職涯可以帶來的具體好處，以及如何建立正確的寫作心態。

這本書有點像是學習寫作的心靈雞湯，而不是技巧工具箱。如果你想學習除了「萬能寫作法」框架之外的技巧，我很推薦《高產出的本事》這本有著豐富寫作框架和步驟的書，其作者劉奕酉對使用框架是這麼評論的：「使用框架是為了跳脫框架，發展出自我的思考脈絡。」說得真好。

我也很慶幸自己曾經紀錄下來當初學習寫作的一些心路歷程，現在回味起來真的別有一番滋味。如果你有興趣的話，可以參考我在《學得更好》這篇讀後感分享過的六種學習寫作步驟，以及我在《心流》這篇讀後感分享透過寫作進入心流的方法。我透過這種書寫練習找到了自己寫作的意義。

最後，寫作真的會「讓機會自動找上你」。最近「生鮮時書」就找上瓦基一起合作，即將要開一堂「化輸入為輸出」的線上課程（早鳥問卷調查和優惠），我會淬鍊自己經營部落格兩年多來的經驗，分享有效輸入、高效輸出的實戰本領，教你如何在資訊紛擾的時代靠優質的文章內容脫穎而出。

寫作可以幫你達成自我行銷、提升職場形象、加深社交品質的功效，寫作也是最好的自我成長和精進的方式。或許，你也可以透過一個簡單的動作開啟自己的寫作練習，不妨在留言寫下你讀完這篇文章之後，有什麼想法上的改變和收穫吧。開始寫作，永不嫌遲。
.
瓦基的第一堂線上課程「化輸入為輸出」早鳥問券和優惠進行中
https://user134068.psee.io/3jdfxx
.
Kobo 購書連結：https://bit.ly/3mcN0ZK
Kobo 電子書7折代碼：WAKIWRITE
使用期限：8/22~8/29
.
感謝 新樂園出版 與你悅讀 提供抽獎贈書

電腦手機網絡安全（四）：有關安全鑰匙 YubiKey，你問我答（頗大篇幅修訂版）+ 香港用戶訂購優惠詳情

文：薯伯伯

（超長文，建議先儲存，有需要再找來讀。不想全文讀，只想買 keys，請只看「香港用戶訂購優惠詳情」，第十三條問答及第十四條問答。）

早幾天寫了一篇文章，提到二步認證的安全鑰匙 YubiKey，無獨有偶，《立場》的另一位博客，《茉莉花開：中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司，希望取得他們的贊助，在核實身份後，這家瑞典公司寄出了五百條 YubiKey 送給香港人，來自遠方的慷慨之舉，實在令人感動。

我發覺不少人對於 YubiKey 的功能及用法均有誤解，甚至有人認為「有伏」，或誤以為用上 YubiKey 後反而更危險。我回應了一些評語，整合之後發到自己的臉書專頁，《立場》的編輯看到，問可否轉載到《立場》，所以我又花了一點時間，整理一下文稿。

後來我跟 YubiKey 的香港代理分銷商聯絡，提到近日大家較為關注網絡保安，他們同意給讀者提供一個折扣優惠，也希望加強普羅大眾對網絡安全的意識。於是，我又再把之前的文章修訂一下，再講解清楚相關的使用細項，希望有興趣的讀者，讀完這篇文章後，可以加強自身的網絡保安防護。

香港用戶訂購優惠詳情

先說一下香港分銷商的優惠模式：

1. YubiKey 的產品，全線八折，目前這個優惠沒有定下限期，但會看看情況再決定何時終止。（這個優惠折扣，其實是我建議的，因為只是想跟官網的教育優惠體齊而已。我希望讀者可以有優惠，但同一時間也不希望分銷商要做蝕本生意。）
2. 又或者是以原價購買 YubiKey，但會送上 Bitdefender 防護軟件一年的訂閱服務（原價是 HK$ 300 一年）。

優惠方案之一：

YubiKey 5Ci：HK$ 440（原價 HK$ 550）
YubiKey 5 Nano：HK$ 310（原價 HK$ 390）
YubiKey 5 NFC：HK$ 285（原價 HK$ 355）
YubiKey 5C：HK$ 310（原價 HK$ 390）
YubiKey 5C Nano：HK$ 375（原價 HK$ 470）

優惠方案之二：

Bitdefender TOTAL SECURITY 2020 的銷售價是 HK$ 300 /年費（可以用五部機），與 YubiKey 合拼購買，會有以下組合優惠：

YubiKey 5Ci + Bitdefender 一年：HK$ 550
YubiKey 5 Nano + Bitdefender 一年：HK$ 390
YubiKey 5 NFC + Bitdefender 一年：HK$ 355
YubiKey 5C + Bitdefender 一年：HK$ 390
YubiKey 5C Nano + Bitdefender 一年：HK$ 470

詳情可以看： https://netmon.zohocommerce.com/categories/yubikey/45023000004418001（注意，不能直接在網站上購買，購買流程在下面有寫。）

（利申：我的 YubiKey 是自己用原價購買，而各位用以上優惠碼購物時，我是完全不會有任何佣金。）

購買的流程如下：

1. 先了解要買哪款型號、數量及價格，然後致電 Yubico 的官方認可香港分銷商 NetMon 查詢有沒有存貨。Coupon code 是 PAZU20。如果有貨，可以直接上觀塘鴻圖道的辦公室購買，以現金交收。

2. 可以先用 PayPal 或信用卡支付，然後寄到順豐站或「順便智能櫃地址」，運費由買家自行支付，目前順豐的運費有優惠，原價 HK$ 30，在 2019 年 10 月底前只用 HK$ 20。

Netmon Information Systems
地址：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。
電話：25272086。
網址： www.netmon.asia

至於如何選擇 YubiKey，請看下面的問答：「有很多款 YubiKey，我到底應該選擇哪條？」

———

以下是第二次修訂的〈有關安全鑰匙 YubiKey，你問我答〉，刪去了一些概念重複的問題，又加入了數條問題，還有鳴謝相識於二十多年前的 Ben 深夜通電話，與我分享他的意見。

一

問：若果 YubiKey 安全鑰匙被其他人拿到，他們是不是可以直接登入我的戶口？

答：先說答案，不可以的。我們首先要搞清楚 YubiKey 的用途，它是用來作為登入戶口的其中一個因素，即是說，你要登入戶口，仍然需要帳號本身的密碼，以及 YubiKey，又或是其他因素，例如手機短訊（不建議）、authenticator app 的軟體六位密碼，或是備用的號碼。

所以即使別人取得你的 YubiKey，也不能單單使用 YubiKey 去登入你的帳戶。「二步認證」時需要你本身的密碼，以及一個額外的認證因素，才能登入戶口。

如果別人只是取得你的 YubiKey，但又沒有得到你的帳號密碼，那也是沒有辦法登入你的帳號。

二

問：我本身已經在手機裡用 authenticator app 去做二步認證，那為甚麼仍然要用 YubiKey 呢？

答：按保安級別來說，YubiKey 的 FIDO2（在線快速身份識別）比起 authenticator app 的 TOTP（基於時間單次密碼）較為優勝，而 Android 手機的漏洞又較 iPhone 的多。在 iPhone 上好像沒有怎麼出過事，但以前就曾經爆出，Android 機有惡意 app 成功利用保安漏動偷取了 app 二步認證的資料。

理論上去說，用安全鑰匙來做認證，肯定會較為安全。但很多用家，包括我自己，其實也會在手機上安裝 authenticator app。iPhone 較安全，但即使你用的是 Android，如果手機的廠家較為可信，堵塞保安漏洞的更新較快，你又不 root 機，又沒有胡亂安裝軟件，本身的風險未必算高。

那麼為甚麼本身已經有用 authenticator app，還要加一個安全鑰匙？我的原因，是因為使用硬件鑰匙，可以加快二步認證的速度及便捷程度，從而把這個二步認證，變成網絡生活的習慣。

三

問：我還是不明白，那麼說我豈不是可以直接用手機上的 authenticator app，為電腦登入做認證就可以了嗎？何以要另外花錢，給電腦買一條安全鑰匙？

答：因為我每天會登出登入戶口數次或以上，所以有必要加快這個過程。先說明一點，網絡保安的兩大關鍵。一是在可行的情況下，開啟二步認證。二是在每次上網之後，都要登出戶口，最好避免儲存電郵或社交媒體的登入狀態。

最簡單直接的設定，是每次關掉瀏覽器，就會自動刪去所有瀏覽記錄、登入狀態及 cookies，通常是在設定偏好，安全隱私裡可以設置。而我其實即使在自己的電腦上網，也習慣使用「私隱模式」去瀏覽網站。

當你養成了這個習慣，每天也要登入登出戶口數次。如果你每次看到登入的畫面，都有一種不安的恐懼感，擔心自己不懂如何登入，那麼更加要熟習登出登入的過程，每天登出登入，把登出登入變成生活的習慣，就不會見到 log in 畫面時便忍不住向空氣驚叫或斥罵一聲。如果你已經記不清對上一次是何時登入帳號，那只代表你的戶口經常處於「登入」的狀態，這是保安漏洞，也是很壞的上網習慣，一定要改。

由於每天登出登入的次數較多，如果能夠安全地加快這個速度，就是值得考慮的方案。我具體去說一下，authenticator app 跟 YubiKey（或其他硬體驗證）在使用習慣上的分別。

假如你一天要登出登入帳戶五次，如果用的是手機 authenticator app 去做認證，安全程度也算是足夠，但每次都要先找來手機，然後輸入手機的開機密碼，打開 authenticator app，我用的是 Lastpass Authenticator，之後取得六位數字後，複製到剪貼簿，再把六位數字傳送去電腦，或手動輸入，再按確認，這樣才能登入戶口。

但如果有 YubiKey 或其他硬件認證，過程就相對快速。先輸入帳戶密碼，從鎖匙扣或錢包裡拿出 YubiKey，把 YubiKey 插進電腦，掃一掃上面的金屬圈，便能登入。而我用的 YubiKey，是細小得可以長期插在電腦的 USB C 插頭（一些熟知技術的讀者，知道我的電腦長期插著安全鑰匙，可能會響警號，稍安毋躁，我將會說清楚這個安全隱患）。我每次登入戶口時，先是用手指打完密碼，然後直接伸手在電腦旁邊摸一摸 YubiKey 的金屬環，便能登入。

所以用 YubiKey 的原因，在我的情況，並不是要把它當成唯一的二步認證因素，而是要加快二步認證的過程。對於不同的用家，這個速度是否重要，很看使用習慣。即使這個速度不重要，單純基於保安考慮，用了安全鑰匙，整個系統的保安級別有所提升。

四

問：我應該要有一條還是兩條 YubiKey 呢？

答：按官方的說法，最好是兩條，因為一條常用，另一條則做後備。但對於大多數用戶來說，其實用一條也是足夠。我會建議大家先買一條，再以其他方式去做後備的密碼重設方案，例如其中一個二步認證的「因素」是 YubiKey，但同一個戶口，要加上 authenticator app 做另一個認證的方案。之後有需要，再買不同型號的安全鑰匙。

如果你本身打算參加 Google 的高級保護計劃（Advanced Protection Program），你是必須有兩條鑰匙。不過參加了這個計劃之後，使用 Google 的所有服務都會極為不便，我自己也沒有參加。

簡單來說，對於不打算參加 Google 高級保護計劃的用家來說，只要有後備的認證方案，那麼一條安全鑰匙，也是足夠的。

五

問：YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal？

答：YubiKey 不支援 WhatsApp、Telegram 或 Signal，所以不會影響你使用這些聊天軟件。

六

問：Google 官方推介的那款安全鑰匙，叫 Titan，為甚麼你反而要推介瑞典出品的 YubiKey？

答：Titan 的製造商是飛天誠信（Feitian Technology），總部設於北京。這家公司獲得不少國家認證及讚許，官方對其安全產品及科技成就予以高度的認可及肯定，目前並沒有證據顯示這家公司的產品有後門或安全漏洞。

所以，我選擇用瑞典及美國製造的 YubiKey。

還有，大家可以比較兩者的設計，YubiKey 真係靚仔好多。

答完這條問題後，發覺 Google 在 2019 年 10 月 15 日（剛好是此文修訂版發佈同一天）推出了一條新的 Titan，這次是跟 Yubico 合作，新的 Titan，設計外觀上跟 YubiKey 5C 大同小異。可能之前 Google 跟 Feitian 的合作，確實引來太多揣測，這次才找瑞典的 Yubico。

七

問：如果有人用 YubiKey 插進我的電腦，是否沒有密碼就能直接打開電腦？

答：這個要看你如何設置，如果你想設置為開啟電腦時，要先輸入密碼，再插入 YubiKey 才能登入電腦，那你應該要使用 pluggable authentication module（PAM，可插拔認證模塊）。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide

如果你使用 PAM 模塊的設定，即使別人取得你的 YubiKey，也不可以打開你的電腦，他是必須有你的 YubiKey，加上你本身開機的密碼，才能登入電腦。

不過話又說回來，如果是使用電腦，只要設定妥當，其實不用配合 YubiKey 開機，也算安全。因為我是用 Mac 機，也只能用 Mac 機的情況去說一下，如何才算安全。

1. 你常用的開機戶口的權限只是 standard 而不是 admin。
2. 你的硬盤本身有開啟加密，即 FileVault。
3. 你本身 admin 及 standard 的戶口密碼夠強。

這三點當中，以第三點最為容易被用家忽略，很多人為了貪方便，開機密碼簡單到不能再簡單，有些密碼甚至只有三四個位，極易被破解。尤其開機的密碼，是容許不停地試，即可以使用「蠻力」（brute force）去猜度，所以一定要小心選擇。

舉個例子，如果你的密碼是 west，破解的時間是 @_$*，兩組密碼，哪個較難破解？前面的那個，是馬上立即就能被破解，而後面這個，用的時間較多，是用一個微秒，也就是一百萬分之一秒而已！

至於如何選擇強勁密碼，不妨參考骰子密碼法（Diceware），也就是用一粒骰仔，投擲出六位的隨機數字，再用這個數字，透過列表，選擇其對應的字，都是一些字典中可以找到的字詞，如果選擇了七個以上的字詞，這個密碼就很難破解了。有關說明，詳見：https://en.wikipedia.org/wiki/Diceware

大家也可以去這裡測試一下自己的密碼安全程度，不要輸入真的密碼，差不多就可以，我的密碼，聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/

八

問：你認為我可以長期把安全鑰匙插在電腦嗎？

答：要看使用的場景，以及自己的需要。如果處於高風險環境，把安全鑰匙長期插在電腦中，是不衛生的做法，一些機構甚至明確要求員工不能這樣做，雖然大多員工會對這個建議置若罔聞。

我的 YubiKey 是用來登入網上的帳號，而不是登入電腦（可以看看上一條問題）。先說我的習慣，我是長期把 YubiKey 插在電腦中，有兩款較細小的型號可以做到這點，分別是 YubiKey 5 Nano 及 YubiKey 5C Nano。

但我們首先要明白自己想防範的是甚麼，再評估應該要做的安全措施。以我的情況，密碼是極難猜的（按不一定科學的估計，我的密碼可能要 919 萬億年才能破解），而我的密碼又完全不重複，不同網站也會用不同的密碼，所以如果密碼洩露，有三個較大的可能，一是服務供應商的問題，二是電腦被人安裝了惡毒軟件或不乾淨的瀏覽器 add-ons，例如鍵盤記錄器（keylogger）或直接偷取密碼發到遠方，三是上了釣魚網站。至於其他難測的漏洞，很難估計，在這裡就不討論。

對於第一點，能夠用上二步認證的服務，本身保安做得較好，即使系統受到入侵，估計（估計而已！）密碼的記錄也有加密，所以因為服務供應商的漏洞而洩露密碼的情況很低。至於第二個情況，我本身用的是 Mac，Mac 不是完全沒有病毒或惡毒軟件，所以我儘量不安裝來源不明的東西，有時逼不得已要安裝，也只會在虛擬的環境（virtual machine）中進行。較大的風險可能是瀏覽器的 add-ons 或 extensions，只好儘量找些評分高，信譽好的插件來安裝。

第三個情況，即釣魚網站（phishing sites） ，通常是假冒的銀行網站。這些網站弄得像是真網站（其實通常還是有些破綻，例如圖片的成像差一些，圖片起角，字體模糊，拼錯英文等等，倒是有點像藍絲的美學風格）。總之打開一些需要登入的網站，都會留意清楚網址，又或是看看有否證書。每次上銀行網站、Google 及 Facebook 等，都一定要加倍小心，因為即使用了二步認證，釣魚網站是可以同時騙取密碼及驗證碼。如果忽然收到電郵，提供連結叫你輸入密碼，更要加倍留意。

總之評估了自身的使用習慣，最需要防範的風險，是壞人從遠處入侵電腦，並偷取或截取密碼，再入侵我的戶口。所以我只要確保我的認證因素，一個是發到線上的密碼，另一個是線下的因素便可以。即使有人從網絡取得我的密碼，他的手也不能伸到我的手機或安全鑰匙，企圖登入我的戶口，他們要同時取得我的硬件及手機上的二步認證因素，其可能性始終很低。

另外有些要防範的情況，例如你在公司使用電腦，鄰座的同事相當有可疑，又可以近距離碰到你的電腦，自然就要加倍小心，不要長插鑰匙。你的安全顧慮，也可以因為不同的司法環境，或是本身的敏感程度而改變。若果你是一直備受監控的對象，入侵者有計劃也有資源去取得你的密碼，例如派人偷拍你在咖啡館輸入密碼的情形，入侵者甚至可以取得法庭搜查令，採用不道德的公權力去挾持你的電腦及其安全鑰匙。如果是這樣，你要採取的安全級別，可能要高出其他人很多倍，例如斯諾登要求到訪者把手機的電池取出，又或是要求把 iPhone 等關機後放進雪櫃或 faraday bag。如果你認為他有妄想症，不妨讀一讀《No Place to Hide》（作者 Greenward）又或是《Permanent Record》（作者就是斯諾登本人）。

說了一大堆，其實就是說，評估過自身的風險後，我使用 YubiKey 的習慣，是經常把它插在電腦上。我不覺得會危害到戶口安全，也不認為會降低安全系數，大家自行評估相關風險。

九

問：為甚麼我覺得 YubiKey 有伏？真的安全？這個東西有沒有後門？

答：可能因為你不了解這個技術，所以覺得有伏。

說實在的，當我看到這樣的提問，確是頗感驚訝呀，就像看到有人堅拒打疫苗因為擔心會自閉一樣驚訝。

十

問：有甚麼服務是支援安全鑰匙的二步認證呢？

答：對香港人而言，可能有機會用到而又支援安全鑰匙的服務包括：Google (Gmail, Drive, Youtube, Cloud Platform), Facebook, Dropbox, Github, Amazon Web Services, 1Password (版本7以上), Lastpass (Premium), Bitwarden, Dashlane, Boxcryptor (免費版也支援), Twitter 等等。

至於 Apple ID 戶口則不支持安全鑰匙，但有提供其他方式的二步認證。

十一

問：我是用 iPhone，為甚麼我覺得這類產品對 iPhone 的支援，好像很弱很不足呢？

答：因為這類產品，對 iPhone 的支援，真的很弱很不足啊！即使 YubiKey 出了一款 5Ci 有 lightning 連接頭，但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone，我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano)，而不用為 iPhone 買 5Ci 那款，那個 lightning 接頭很雞肋。

對於 MacBook ＋ iPhone 的用家來說，最適合的方案，是在 MacBook 用 YubiKey，在 iPhone 還是用 authenticator app。

如果你只有 iPhone，沒有電腦，那麼很簡單，乾脆不用買安全鑰匙，用 app 去做二步認證就可以。（如果你本身是單機 iPhone 的用家，讀到這裡，才發覺原來我是不建議單機 iPhone 用家使用安全鑰匙，可能會覺得浪費了寶貴的閱讀時間，但希望這篇文章裡其他保安知識，也會對你有幫助啦！）

十二

問：萬一我的安全鑰匙遺失了，我是否不能再登入我的戶口呢？

答：要看你如何設定，但先說答案，不是。如果你遺失了鑰匙，還是可以登入戶口。安全鑰匙只是登入戶口的其中一個認證因素，但你同時可以設定其他方式去認證。

其他認證的方式包括：

1. 手機短訊（SMS）：因為 SMS 的保安差，不建議。若然真的要用手機短訊，可以用不同居又可信任的朋友手機號碼，而這個電話號碼，最好不是存在手機的電話簿內。

2. Authenticator app：在 iPhone 及 Android 都有這類 app，我推介的是 Lastpass Authenticator，免費使用，軟件本身可以加上六位數字的密碼鎖。如果你想讓朋友幫你作為後備的方案，建議把設定的二維碼發給朋友，而該朋友又不是朝夕相對，一個 app 裡是可以儲存大量網站的認證碼，而且可以標明服務及戶口名稱，以作識別。

3. 安全鑰匙：也就是硬件認證方式，其中最多人使用的，是本文裡提到的 YubiKey。

4. 後備認證碼：部份網站，例如 Google 及 Facebook，會提供八個後備認證碼，可以寫下來，放在安全的地方，但有時貪方便，會儲存在電腦裡（其實不建議這樣做）。

所以，萬一遺失了安全鑰匙，只要設置合宜，其實也不代表不能用其他認證方式去登入戶口。而在設定了二步認證後，也應該要做一些練習，想像一下，萬一丟失了手機後，你還能用甚麼方式登入呢？如果你的手機、電腦及安全鑰匙全都放在公事包裡，而整個公事包被盜，你還有其他可行的二步認證方式嗎？手機丟失，你不能用 authenticator app。電腦丟失了，而你又貪方便只把後備碼儲存在電腦裡，連電腦也丟失了可以怎麼辦？如果你把不同居的朋友手機號碼作為後備的驗證方案，你能夠單憑手機最後兩個數字，就想起這位朋友嗎？網絡保安，除了要有措施，還有要反複練習。

另外，如果你使用的是 Google 最高級別的保安計劃（即 Google Advanced Protection Program），那就真的只能用兩條安全鑰匙進行登入。我本身是用 iPhone 及 Mac，因為安全鑰匙對於 iPhone 的支援太弱，所以我也沒有加入這個計劃。

還有，萬一你喪失了所有認證因素，其實 Google 或是 Gsuite 的管理人，仍然有辦法幫你重設密碼，但 Google 方面的驗證需要很多天，而且過程要問上大量問題，入侵者也不易通過。至於 Gsuite 的管理人，即使他單方面想幫你重設戶口密碼，這個雖然可能會成為另一個安全隱患漏洞，但他們也只能把密碼發到你後備的聯絡方式，而且當中也要有幾重驗證的過程，亦要花上一至數天。只要你那個後備的聯絡方式設定得較安全，入侵者也不能輕易破解。

十三

問：有很多款 YubiKey，我到底應該選擇哪條？

答：有三個考慮因素，一是你用甚麼電腦，二是你用甚麼手機，三是你用甚麼服務。我把幾種可能的情況寫出來，大家參考一下。要先說一點，因為 iPhone 對 YubiKey 或安全鑰匙的支援不好，所以按目前的情況，iPhone 的用家在手機上還是建議用 authenticator app 算了，即使你用的是 NFC 或 lightning 版的安全鑰匙，能夠支援的服務還是太少，可以忽略。選用哪款鑰匙，也要看自己的使用習慣，請參看「每次登入戶口時，都要把安全鑰匙插在電腦，有點麻煩，你認為我可以長期把安全鑰匙插在電腦嗎？」。

簡單來說，如果你打算長期把安全鑰匙插在電腦，就買 Nano 版，如果經常需要拔插，就買長一點的版本，方便拔插。如果你是用 Android，可以考慮買 NFC 的版本，如果是用 iPhone，因支援較弱，還是用 authenticator app 算了。

再具體一點去說，我根據以下的電腦及手機組合，建議使用的安全鑰匙型號。

1. 只有用桌面或手提電腦（USB A接口）：用 5 Nano 或 5C（按我的習慣，會用 5C Nano）。
2. 只有用桌面或手提電腦（USB C接口）：用 5C Nano 或 5C（按我的習慣，會用 5C Nano）。
3. 使用 12 吋的 MacBook（只有一個 USB C 接口的電腦）：用 5C 或 5C NFC（就快推出），而不要用 5C Nano，因為只有一個 USB C 接頭，要經常拔插，用 5C 或 5C Nano（暫未推出）會較好。
4. 電腦 (USB A接口) + iPhone (Lightning接口)：用 5 Nano 或 5 NFC（在 iPhone 上不用）。
5. 電腦 (USB A接口) + Android (USB C接口)：用 5 NFC。
6. 電腦 (USB A接口) + Android (MicroUSB接口)：用 5 NFC。
7. 電腦 (USB C接口) + iPhone (Lightning接口)：用 5C Nano 或 5C（在 iPhone 上不用）。
8. 電腦 (USB C接口) + Android (USB C接口)：用 5C NFC（就快推出，暫時未有啊，如果現在用的話，建議可以先買一個 Yubikey 5C Nano，只在電腦上用，手機上則用 app）。
9. 電腦 (USB C接口) + Android (MicroUSB接口)：用 5C NFC（就快推出，暫時未有啊，如果現在用的話，建議可以先買一個 Yubikey 5C Nano，只在電腦上用，手機上則用 app）。
10. 使用 12 吋的 MacBook（只有一個 USB C 接口的電腦）+ iPhone（Lightning接口）：用 5C 或 5C NFC（暫時未出），不建議用 5C Nano。
11. MacBook Air（有兩個USB C接口）：因為兩個 USB C 接口都在機身左邊，如果不會長期用 hub，那麼用 5C Nano 也可以。如果這個插口本身又要連 iPhone 或其他設備，那麼用 5C 會較好。
12. 以上任何配搭，但用的百度雲、淘寶、QQ 郵箱等：不用買。

至於 Security Key by Yubico 這一款，則可以用在電腦 (USB A接口) 上，沒有 NFC 功能，屬較為基礎的一款。之前 YubiKey 慷慨送給香港人的型號，就是這個。對於自己有能力購買的用家，請按上文所述的建議，對應自己的機型去購買。

另外，如果打算用轉換頭（例如 USB A 轉 USB C），請看看相關兼容情況：https://support.yubico.com/support/solutions/articles/15000006473-using-a-yubikey-with-usb-c-adapters （因為沒辦法逐一去試，萬一打開 YubiKey 的包裝後，發覺本身使用的 hub 或轉換器兼容不了，那就得物無所用，所以我不是太過建議用轉換頭。如果真的想用轉換頭，最好找朋友的安全鑰匙插進自己的電腦，再去 https://www.yubico.com/genuine/ 測試能否認出。

十四

問：可以在哪裡購買 YubiKey？

答：上官網 Yubico.com，在香港則去官方認可的香港分銷商。

購買這類安全產品，跟買安全套一樣，理論上是要避免使用中介渠道或集運公司，因為理論上越多中間人，那麼理論上就越大機會被人做手腳。

其中一種做手腳的方式，是企圖入侵的人，把鑰匙裡的物理序列號偷偷記錄，並用其他方式去產生密鑰。強調是「理論上」，因為估計實行起來，也非容易，太多顧慮，聽起來好像又太多疑，但既然說到網絡安全，當然要在各個可行的層面，也儘量做好防範的措施。例如萬一你的鑰匙被人偷走，非法扣留，又或是買回來的時候包裝已經打開，最好不要再用。

Yubico 的官方網站顯示，在香港有一個官方認可以的分銷商：Netmon Information Systems，地址是：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ，建議在辦公時間先打電話去查詢存貨量。

———

延伸閱讀：

陳婉容幫助香港人取得瑞典公司 Yubico 的贊助：https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1

電腦手機網絡安全（一）：SIM 卡鎖：https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/

電腦手機網絡安全（二）：簡介二步認證：https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/

電腦手機網絡安全（三）：二步認證的驗證因素：https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。

為了大推韓劇Signal給妞看，讓我簡單敘述一下這部劇情（注：絕對不是恐怖片喔）是警察辦案。一部對講機連起兩個平行時空，全程智商在線，對講機一接通我雞皮疙瘩就來了～明明是部懸疑犯罪片却又煽情得可以把人看哭！很久沒看到那麼厲害的劇情了！强推～（而且連海報都特意作出是兩個不同時空背景）

打草結 技能 死不修就是不修 是不是有貓病
明明剛開始好好的 不知哪次更新完壞掉就整組放壞到現在
一直不大幅度更新 然後看心情增加只有儲值才會送的神獸
每天日複一日的日常 然後再被課金玩家虐待 根本逼人棄坑呵呵

不管了 我要去看韓劇了
前幾天看河伯的新娘我真的覺得還好 看得我都放空出戲了
這幾天正在看名不虛傳 蠻推的還行 但還是再次重逢的世界好看
不過今年我依然最推薦張赫的Voice 去年是Signal 幾霸昏！
有其他好看的也可以推薦我 謝謝！！

馴寵大冒險FB(台版遊戲資訊 下載教程)
https://www.facebook.com/GeniusAdventure

在線客服(我不是客服 疑難雜症請往這＝＝)
https://goo.gl/aBpRaV