前陣子,花時間慢慢把中國廠商和中資廠商記錄下來,若比較敏感的產品,可以避開這些公司。
後來發現,這件事情早就有人在做了,整理成資料庫「笨他侵略」,而且還比我敏感很多,連和辦活動有合作關係的公司都被記錄戲來。
Linux 個人電腦的分割區建議
常看到其他人建議新手分區切 / 和 /home,但覺得那是伺服器和多人共用的切法。
通常會把 /home 獨立出來,是因為多人共用主機時:
- 儲存空間用盡可能導致
/var/log無法寫入,導致服務中斷 - 若要使用 Linux quota 來限制每個使用者的空間使用量,需要建立獨立的分割區
若電腦是個人使用的話,不會遇到上述問題,就不需要把 /home 獨立出來。整個分割區給 / 其實也沒問題。若擔心的話,倒是可以把 /boot 獨立出來 (看建議是保留 2 GB),開機失敗還有機會還原。
/boot:系統開機程式用,保守的話使用 ext 檔案系統格式,其他格式也可以/:其他資料放一起就好
建立安全的密碼需要思考的一些問題
隨著電腦速度越來越快,密碼的長度以及複雜度就變得更重要。
最近正在設計新的密碼來取代原有強度不夠的密碼,以下是設計密碼時我會考量到的因素,給大家參考。
容易記憶
密碼之所以被稱作「密」碼,意思就是只有你一個人知道,其他人不應該透過任何方式,例如紙條、你的個人資料、平日對話關鍵字等方式,來得到、猜到你的密碼。
簡而言之,密碼必須記在腦裡,不應該出現在其他地方。如果密碼無法記在腦中,而必須寫在紙上,或是儲存在其他地方,這個密碼就不能算是一個安全的密碼。
長度
長度當然越長越好,因為密碼長度越長,表示要破解時猜測要花的時間也會越長。但若長度過長而導致密碼記不起來、必須透過其他方法記憶時,與前一項「容易記憶」就衝突了。
個人建議密碼盡可能超過 12 個字,而長度到多長依照個人能力而定。再透過「複雜度」讓密碼更不容易被猜到。
複雜度
可以用來當密碼的文字,可以除了數字以外,還有應無大小寫 (大寫和小寫是不同的),另外可以再加上特殊符號,如 @、&、! 等等,密碼中包含越多不同類型的文字,安全性越高。
目前大多數的系統僅支援基本英文文字與符號,因此使用中文文字或是全形符號、emoji (🤘) 來當作密碼,可能會遇到一些問題、導致部份系統發生錯誤。
到這邊應該會有人有疑問,長度要夠長、又需要包含數字、英文大小寫,還要加上特殊符號,這連寫下來都有困難,怎麼可能記得住?事實上,有一些方法可以幫助密碼記憶 (可以參考中文輸入法拆字根的方法):
- 使用字形來幫助記憶
- 英文的大寫
H,可以拆成二個英文小寫l與一個符號-,變成l-l - 英文
x可以拆成>< - 中文的
丼可以用符號#來替代 - 數字和英文的這幾個字長得很像:
0、o、O,或是拆成符號表示[] - 當然也可以把顏文字當作密碼的一部分:
/__\==b
- 英文的大寫
- 使用文字、符號的意思來協助記憶:
- 符號
@有英文at(或中文在) 的意思,所以可以「我在睡」可以用me@ZZzz..表示 - 肯定句用
.、疑問句用?,有和沒有可以透過+或-來表示 - 常用句表示法:網路上常使用
!@#$%^&*來代表髒話,你可以建立只有自己在使用的特殊格式
- 符號
- 使用發音協助記憶:
- 「悲劇」改為
BG、「科科」改為kerker - 「好酷」改為
how、Kooool - 「打趴」二個字分別拆成
da和%
- 「悲劇」改為
- 用鍵盤按鍵位置記憶 (記住鍵盤按鍵位置並不是大家都做的到,但可以用):
- 「科科」的注音對應的按鍵是
dkdk - 「啊」注音則會對應到鍵盤
*(有個空白沒錯)
- 「科科」的注音對應的按鍵是
以上應該可以讓大家多出很多增加密碼長度又不會增加記憶難度的方法。
密碼管理工具
現在有一些密碼管理工具,像是 1Password、bitwarden、KeePass,你只需要記憶一個主要密碼用來開啟密碼管理工具,而其他網站、服務的密碼,都是由管理工具隨機產生,不需要你記憶。
這樣有一個好處,你只要花時間設計並記住一個夠安全的密碼,來開啟密碼管理工具,網站、服務登入時,只要從管理工具複製帳號、密碼再貼上就好。這樣每個網站都會有完全不同的密碼,即使其中一個網站的密碼被盜用,其他網站仍然是安全的。
但這個方式也有一個缺點,就是把雞蛋放在同一個籃子,LastPass 在 2022 年被駭客入侵成功,甚至有傳言使用者密碼資料庫也被竊。
密碼管理工具並不表示絕對的安全,使用時記得搭配 2FA 工具來多加一層保護。
另外我想提一些比較沒有人在討論的問題。
行動裝置、觸控螢幕
前段有提到可以使用鍵盤的對應位置來協助建立密碼,但在寫這篇文章的當下,鍵盤可能已經不是主流的輸入工具了,可能是觸控螢幕。而使用觸控螢幕時,輸入法 app 的排版、操作方法則會是影響密碼輸入最大的因素。
以上二張圖,可以看出不同的輸入法有不同的排版,英文按鍵的位置上大多是類似的,但遇到要輸入符號,則不同輸入法可能都有不同的版面,若輸入法沒有特別為符號輸入設計,輸入包含符號的密碼會變得很麻煩,甚至常常出錯。
若如果經常使用行動裝置,可以將符號縮限在 @、#、$ 或 $ 等一些比較常用的符號,這些符號在大多數螢幕輸入法上比較容易找到。
密碼側錄與猜測方法
一些使用者平常沒注意到的地方,以及新的技術發明,導致密碼輸入時可能更容易被辨別或猜測:
- 有些人使用的螢幕、鍵盤保護貼磨損嚴重,導致螢幕解鎖圖形、按鍵容易猜測
- 利用熱成像攝影機,可以讓被按過的按鍵、接觸過的螢幕區塊變得很明顯,可用來猜測使用者輸入的內容。或許透過重複輸入某個文字,可以來降低猜測準確度?
- 透過聲學辨識,可以準確得聽出使用者按下的是哪個按鍵,這還真的想不到要怎麼防
其他新的身份驗證方法
密碼並不是唯一可以用來辨識身份的方法,一些新的技術,可以讓你使用其他方法來做驗證:
- 生物特徵辨識:透過每個人都不同的特徵來辨別人的身份,像是指紋、虹膜、臉型等等
- FIDO:通常用做 2FA 來辨識身份,透過實體的 USB、藍芽、手機等設備,來確認使用者為本人
參考資料:
zstd 其實不支援多檔案解壓縮
zstd 是由 Facebook 開發的一個壓縮演算法,由於壓縮率、花費時間介於 gzip 與 bzip2 之間,且支援多執行緒,近期很紅。
稍早看了 zstd 的 manual,有個 -r 參數的說明:
-r: operate recursively on directories
想說支援巢狀檔案結構,解壓縮會輕鬆一些,就直接使用 -r 來備份整個目錄:
tree -a www www ├── docker-compose.yaml └── .env zstd -T4 -r www/ -o web-backup.zst
結果在解壓縮時發現問題,解壓縮以後不會還原資料結構,只會變成一個包含所有檔案內容的檔案:
unzstd web-backup.zst web-backup.zst : 27 bytes ls web-backup
查了一下資料,發現 Github 上有 issue 卻被 closed,而 StackExchange 上的文章也說明無法還原目錄結構。
如果你用了 zstd -r 的話,請注意資料可能無法復原,還是使用 tar 比較保險。
tar 使用 -z 時,會使用 gzip 壓縮檔案內容,指令大概長這樣:
tar zcvf web-backup.tgz www/
若要使用 bzip2 時,參數則為 -j:
tar jcvf web-backup.tbz www/
若想要使用 zstd,可以透過 tar -I 的參數來指定要使用的壓縮工具:
- 使用
pigz來壓縮:tar -I pigz -cvf web-backup.tgz www/ - 使用
lbzip2來壓縮:tar -I lbzip2 -cvf web-backup.tbz www/ - 使用
zstd則是:tar -I zstd -cvf web-backup.tbz www/
zstd 預設只會使用 1 個執行緒來壓縮,若要支援多個執行緒記得加上 -T 參數:
tar -I 'zstd -T4' -cvf web-backup.tbz www/
2024 年回顧
去年沒有很順利,但算是撐過去了。發生了一些事情讓心情很遭,但也發生了一些事情讓我非常感謝。
健康
還是必須跑醫院,症狀不明,做了罕見疾病檢查與 DNA 定序,確認還有救,只是還不清楚到底症狀是怎麼樣罩成的,可能是單一病症、也可能是複合型的病症。
感謝醫師沒有為了面子而亂開藥,幫我轉診給其他較有經驗的醫師做檢查,也感謝其他醫師用下班時間幫我查資料。也感謝家人支持和協助,這問題實在困擾我好久了。
Side project
無法做正職只好想辦法接案,已 PHP 失態圈中最常看到的專案大概就是 Laravel、WordPress,而我不想碰 WordPress 開發,就認命把 Laravel 學吧。
這次選了一個 side project 來當作 Laravel 的練習,這個 side project 越做越複雜,時間也拉得很長,導致需要花很多時間處理可用性和正確性。
但也不錯,大概知道一個短期專案和長期專案 (產品?) 的差別了。
雜學
前同事創業,創業不能只有軟體開發的知識,法律、市場、行銷等知識也必須了解。這幾年有多餘的時間,加上現在資源取得實在很容易,看了一些營養學、經濟學、管理學、法律入門相關書籍、影片,也和幾位有特定專業領域的前輩請益,覺得較為了解這個世界如何運轉。
結語不知道怎麼寫,只好借別人的文章:「因為需要感謝的人太多了,就感謝天吧」。