關於 淘寶帳號被盜保護 ，我們在網路上蒐集到這些相關的討論、資訊與評價

《 唯有制定規則、積極管理，熱門路線才有未來 》

最近登山圈子最大的新聞，莫過於新北三重山岳協會明知沒有申請到天池山莊床位與營位，卻依然招生成行，惡意鑽漏洞擠爆天池山莊的事件了。4/24日，他們率領52人浩浩蕩蕩前往天池山莊，教團員逢人問起就要撒謊說「我們是要睡檜林保線所」，最後一行人晚間七點才抵達天池山莊，要求莊主收容「迫降」，引發眾怒。

從事前有團員詢問，就不斷的避重就輕、說謊，不願正面說明就是沒有抽到位置，打算整團人到天池「偷睡」；到東窗事發上新聞後，甚至還偽造協作道歉啟事被抓包又秒刪文神隱，至今仍未見該協會有誠意的道歉，素質與心態之惡劣，不忍直視。

但這不是個案，今天只是三重山岳協會多行不義而自斃而已，類似的事情在稜線上是無窮無盡、行之有年。追根究底，就是主管單位「不願意管理登山商業團」、「少有嚴格執行的有效管理」，與「沒有足以威嚇違規者的懲處手段」三個原因所造成，可以說是登山法規不完善所造成的不積極放任。

舉個案例，過去雪霸國家公園曾經粗暴禁止「第一天住翠池與雪北山屋」，被山友嚴正抗議後才取消。為何會出現這種不合理的限制？追根究底，就是上述的「技術性迫降」實在太多，造成大量翠池與雪北山屋的名額浪費。我就曾經在天氣很好時，在雪北山屋遇過申請網站明明顯示當天客滿，但到山屋發現只有6個山友加我7人。其他人呢？「技術性迫降」三六九山莊了，好個漂亮的操作啊！

另外，太魯閣國家公園的南湖地區與奇萊主北，更有「比預定出發日期多提早申請幾天」的玩法，因為這樣可以提早申請，提早佔到山屋，真正上山那天被問起時，再隨口胡謅說「有事耽擱」，就好了。

這種行為也形成了共犯結構，在許多惡質商業團以此等手段佔用山屋只為成行時，想要守規矩的團根本難以遵照一般遊戲規則申請所需日期，因為早已先被此等鑽申請漏洞的團佔滿，堅持不住的只有同流合污一途，更造成自組隊難以順利成行。

更讓人無力的是，因為經費問題，國家公園體系目前只有玉山主峰線有真正的「莊主」可以執行強而有力的管理，比如說阻擋太慢的單攻者硬撐上主峰。其他地方呢？抱歉！多半只有志工，他們只有勸導功能，有人要技術性迫降也只能摸摸鼻子幫忙喬床位、營位，沒有實質的管理權力。本文的照片，就是長年被超額申請的惡質商業團紮營紮的亂七八糟的雲稜山屋，屋外帳篷海的奇景，更遑論南湖圈谷就算有保七執法，在連假時可以紮到超過70帳的「榮景」了。我們的高山生態根本無法負荷如此沈重的遊憩壓力，更遑論早已大打折扣的遊憩品質，這些，真的是我們上山的時候，想看到的景象嗎？

我們成立國家公園，不就是為了有一個單位能妥善管理我們的山林嗎？

但諷刺的是，當下的國家公園與林務局面對這種亂象，可說是幾乎束手無策，現有的處罰手段對商業團更是不痛不癢——「少許住宿費罰金與停權一年。」

拜託，僧多粥少的熱門路線，除了不小心被騙的無辜初心者外，那種惡質商業團帶的大都是「一生去一次」的高山觀光客，被停權一輩子都沒差好嗎… 至於領隊被停權，找一些剛畢業的大學生或者協會成員當免洗領隊不就好了，有差嗎？

在法規不全、管理不力與代價輕微的現況下，難道我們只能眼睜睜的看著簡單又美麗的入門路線，在少數無良業者與偷跑者的摧殘下，漸漸失去往昔的美好嗎？

憑什麼晚一點出生或晚一點開始爬山，就只能看到那些不守規矩的人所破壞後的殘羹剩飯？這真的是一個文明國家該有的樣子？

行政院大喊「向山致敬」已經近兩年，也該開始著手治本之道，給予山岳主管機關合用的法規與權力，妥善管理各個熱門路線了：

1. 熱門路線山屋營地與登山口專人駐點管理：

山岳環境有著資訊不流通性，因此無法監督使用者的行為，也是許多亂象之所以發生、南湖大山區域長期超限利用的根本原因。與其相信人性，再被人性嘲諷，歷史已經告訴我們「莊主駐點」才是讓熱門路線保有秩序與美麗的唯一選項。

最指標性的案例是嘉明湖，專職莊主團隊駐點管理後，從每逢連假必紮營紮到步道上全部都是帳篷一路紮到湖畔，到現在幾乎不會聽聞該區有偷跑與技術性迫降亂象，著實是所有管理單位都應該學習的案例。尤其是南湖大山線，每逢連假偷跑者幾乎快要和照規則申請的人數一樣多，太魯閣國家公園形同虛設，必須盡快與林務局協調建立登山口管制站，否則世界唯一的南湖圈谷特殊生態系危在旦夕。

三重山岳協會惡意迫降的主角天池山莊，則是今年才剛剛引進專職管理員制度，就是為了根絕「在步道上到處紮營」的亂象，但因尚在磨合期，才無法將這「沒申請的52人超大團」擋在步道口，拒絕其入山。要做到這一點，除了要有專人管理外，需要第二項的配合。

2. 有效的總量管制法源依據：

「絕對的自由，下場就是失去自由。」台灣簡單美麗又蘊含龐大商業價值的登山路線真的不多，大概就那十來條超熱門觀光路線而已：眠月線、水漾森林、松蘿湖、加羅湖、奇萊南華、玉山、雪山、嘉明湖、北大武、武陵四秀、大霸群峰、南湖大山等。如果缺乏管理，人人抱持著「這裡不用申請」的心態上山，到現場換來的就是悲劇——人山人海，連睡覺都有困難，營地仿若難民營，甚至造成嚴重的環境破壞，如南湖圈谷連假可以紮到70帳那樣扯。這真的是我們要的「自由」嗎？高山環境能承受幾年這樣的「自由」？「自由」是只要有山爬就好，其他都不重要嗎？

以玉山主峰為例，貴為全台灣最熱門、最難抽的路線，雖然長年被詬病限制自由，但只要抽到，每一個去的人都能保証享有一定品質的遊憩體驗：雖然很多但還能接受的人潮、大家都能有自己的床位、不用煩惱「搶不到地方睡」。我去玉山超過十次，景觀上大抵都長得差不多，對比因為戒茂斯線開通而湧入無限人潮，造成湖畔草地不斷沙漠化、步道加深程度倍速於過去、每隔一段時機去就會讓人感傷的嘉明湖，凸顯出了總量管制的重要性。

然而，現今只有國家公園有管制總量的權力，林務局缺乏相關法源而礙手礙腳，甚至會因為林管處的不同步而產生漏洞：三重山岳協會迫降天池事件就是一例，正因為他們謊稱要睡的「檜林保線所」是花蓮林管處的地盤，南投林管處無權過問，才會導致無法攔阻該隊伍上山的狀況。唯有從法制面改革，賦予主管機關總量管制的權力，並配合專人駐點，這些熱門路線的管理才會有未來。

否則，我們只能眼睜睜的看著這些被無限量使用的入門路線，遊憩品質與美麗一年比一年糟，在這一代親手葬送「簡單的美好」甚至「南湖圈谷的特殊生態」。

3. 「商用申請帳號」的設置與抽樣電訪中籤隊員：

目前申請系統並無法分別商業團與自組團，也帶來了某種程度上的管理困境，其中最大的弊病，就是難以防止「人頭隊」的濫用。最經典的案例，莫過於玉山主峰「合法卻無良」的海量人頭隊佔位行為了。一些惡質商業團，會以手上海量的人頭資料申請隊伍一起下去抽籤，然後真正要上山的隊伍是用候補的，因為每天的候補隊伍並不是抽籤制，而是在備取隊伍取消後照順序遞補的。

這時候，只要有人頭隊中籤，靜靜的等待真正要上的隊伍在候補順序第一位時，取消申請，繳納少少的取消費用，就可以讓整團人順利住到排雲了。但如果有人手速比自己快，或者都沒有人取消呢？沒關係，在最後關頭取消人頭隊就好了，反正罰金和利潤不成比例。這卑劣的手段，早已長期造成排雲山莊床位的浪費，也是讓人疑惑總是有超過千人抽籤的排雲，為何時常到現場才發現有空床的主要原因。

當今商業登山缺乏管理，政府容許私人公司不必付出任何代價，就能利用屬於全民的公共財賺取自己的利益，甚至排擠了一般使用者的權益：長年搶山屋的神手速一般人難以競爭、包餐團隊永遠佔用營地最好的位置、海量人頭隊伍讓中籤率更低…等等。既然國家沒有要求商業團付出更多代價維護環境，那商業團就有義務接受管理單位的監督。

唯有接受適當的監督管理，保障好團的權益、嚴逞惡質團，商業體系才會健康，而不是讓唯利是圖的劣幣，驅逐有心守規矩的好團。

「商用申請帳號」就是這個脈絡下的產物，不對商業團作出額外的限制，但管理單位能確實掌握有無異常申請行為，如海量人頭隊伍、預先申請佔用等（配合招生文宣就能知道是不是謊報申請日期）。然後，再針對異常申請或偽自組隊伍重罰即可。這個制度會讓商業團之間出現相互監督的功能，因為其實登山帶隊的圈子無敵小，誰守規矩誰不守規矩上山一遇到就知道，各家領隊和莊主、門口管理員也泰半互相認識或知道，偽自組上山要不被抓包非常有難度，惡質商業團不提升品格，被時代淘汰也是剛好而已。

而「抽樣電訪中籤隊員」則是保險，因為只要參加過「一次」惡質商業團，個資被拿去成為抽籤籌碼的機率非常高，不實還有被抓包盜用個資上新聞的案例。這時主管機關可以抽查商業隊伍隊員的電話號碼，致電確認或者簡訊通知中籤，就很有機會抓出不老實填寫個資、或者以人頭抽籤的惡質商業團，再予以重罰並發布新聞稿，就能有效減少這樣鑽漏洞的行為。

4. 提高鑽漏洞的代價：

「罰責過輕」與執法困難，是當今無法遏止惡質商業團破壞遊戲規則的主要原因。執法部分，有專人駐點管理就可以大幅提升效率，太魯閣國家公園尤其應該改善，南湖大山線已危在旦夕，保七也疲於奔命。而罰則部份，國家公園法與森林法應修法，提高「迫降的代價」。

如果免費緊急救難的美意，終究不斷被有心人濫用，長期損害一般民眾的權益，那我們是否可以考慮適度提高其代價呢？除了熱門路線山屋與營地全面收費化管理外，違規者停權的同時，訂定「山屋與營地臨時入住費率」，是一個治本的方法。一般而言，一晚4000以上的代價，就能嚇退絕大多數有心鑽漏洞的人了。

以三重這團為例，團費才4700，如果迫降天池一晚每人收4000他們一定不會這麼幹，因為一出發就註定賠本的生意，沒人做。4000這數字也沒什麼特別，就是普通住宿費的十倍而已，且有餘裕爬山的人一定出得起，真正遇到急難需要迫降的人，也不太會因為這樣的費用而咬牙硬走造成危險。如果真的為了4000元的費用賭命，那我只能說，我們已經不是媽寶國家了，自己的生命自己負責，這不是什麼天文數字，真的要為這種錢賠上生命，就只能表示遺憾了。

或許有聲音會說，這樣一來只要願意出10倍錢就能保證床位，是經濟上的不公平，我只能說… 願意花這個錢技術性迫降，被停權一年、公告姓名、只能睡在山屋角落（無論是否故意，迫降通常不給床位，只是純收並留找個不影響正常使用者的地板塞），並接受眾人的異樣眼光與責難，這種人是少數中的極少數了吧…

但其實就實務面來說，其實很少遇到緊急迫降的問題，因為那些路線都是二～三天左右的行程，很短，有問題通常都會直接撤下山。至於長程縱走後半段接到大眾路線，卻無法一天撤出而需要緊急迫降，如南二與能安逆走，則可以另外考慮訂更細緻的管理規則，以長程路線的申請為依據減少迫降的負擔，畢竟長天數變動風險本來就大。至於防止惡質商業團濫用此規則佔用長程縱走名額也很簡單，前一點「商用申請帳號」就是為此而生，只要比對招生行程與價格，就能知道是否為技術性迫降。

——————

當人太多的時候，「自由」就是有代價的，最常見的就是交出部分自由，亦即當今民主社會的管理礎石——為了「防止妨礙他人自由」，憲法賦予了政府一定的權力，在「維護大多數人的權益」並且「確保環境與資源的永續利用」下，訂定合理的管理法規，讓公權力得以保護稀缺的公共財，而非任其被無限制濫用，最終消滅，讓所有人都失去了自由。

台灣的山區曾經歷過「完全自由」的年代，我們不時能從登山前輩的口中聽到那個年代的輝煌事蹟，比如舊排雲山莊一個晚上塞進300人的軼事，所有眼睛看得到的縫隙都睡滿了人。那是一個人人都不用申請、大家有山爬，卻住得像難民營的年代。隨著時代更迭，登山人口爆炸性成長，人民對於遊憩品質與山林環境日益重視，也漸漸瞭解到當一個地方有無限量人潮不間斷湧入，那麼下場就是環境不斷劣化，以及遊憩品質的完全喪失，上山逛夜市。

這時，我們就必須在那些熱門路線上，交出自己一部分的自由，讓公權力好好管理那些簡單又美麗的路線，讓機率決定誰可以享受有保障的自由，而不是任由大量人潮蜂擁進那幾個少得可憐的爆紅路線，互相用自己對山的渴望摧毀對方的夢想山行。

那「絕對自由的山」呢？把能力練好，離開那些爆紅的名字、被大量商業行銷的「秘境」之後，你就能獲得真正的自由、海闊天空。至少我在這兩年報復性登山的浪潮下，都在爬奇怪的冷門路線、很少被打擾、也從不覺得被限制。

我對熱門路線管理的想法，簡單來說就是「熱門路線專人駐點管理」、「總量管制法源依據」、「商業團納管」、「提高鑽漏洞的代價」，提供給各位朋友參考，也希望各管理單位能重視一般使用者與肯守規矩的商業團的權益，而非在推廣台灣山岳之美同時，放任登山環境如同戰場般混亂、人們在山上瘋狂搶奪有限的營地資源——那是對比臺灣山林的美好，最大的諷刺了。

倒數第二篇，去吧，出去玩吧，好好看看這個世界，多麼美麗～記得在沙漠裡喝酒，在星空下跳舞，把所有的快樂盡情地揮霍好像再也找不到那樣的快樂，享受所有好好活著知覺敏銳的今日，好好走走，旅行，永遠是生活最滋潤的養份。Buon viaggio 🥂💋💃🏻

📌 旅行前，你需要知道的事 https://goo.gl/fUXJ4y

這一篇，寫給所有夢想獨自去旅遊的孩子！最近這樣的文章非常熱門，身為資深旅行者常常會有人過來問S旅行前通常都是怎麼準備⋯重複率實在太高了，不如一併寫下來回饋社會吧（自己講XD）所以這個禮拜，我們來談談出國前你所需要準備的五件事！

（1）證件證件證件

基本上就是簽證護照台胞證，簽證是入境必備，不用多說，即使是電子簽證，最好也可以印下相關的文件以茲證明，特別容易被遺忘的是電子機票跟住宿飯店的資料。申請的時候要特別注意期限跟簽證種類，是多次入境還是單次入境，尤其一次要跑好多個國家的時候。只簽發單次簽證的國家如土耳其，往返需要申請兩次以上的簽證，有些國家更是需要購買足夠量的醫療保險之後才可核發簽證。台胞證則是微妙的存在，需要注意的是即使只是轉機中國的航班，也需要出示台胞證。（附帶一提現在台灣人愛用的淘寶跟支付寶也開始接受台胞證認證了，如果常常出國的話，還是辦一張吧）請注意如果不擁有當地簽證的話，航空公司可以合法拒絕你登機不必提供任何賠償或替代方案，台灣護照本身有時會與中國護照混淆，如果是不需要簽證的國家，像是歐盟新增台灣為免簽證國家之類的文件，最好能夠自行準備好讓海關核查，加快通關速度。

另外，大部分的國家都不接受低於六個月期限的護照，更有些國家會依照你入境過的地方而決定是否簽發你簽證，去一些特殊的國家，例如以色列和巴基斯坦、伊朗，可以向我們的外交部申請第二本護照以免被拒絕入境。基本上S個人的做法是會將護照身分證至少影印二份放在不同的地方，拿出來應付假警察或者是認證身分真的非常好用，旅行在外，你永遠不知道什麼時候你會需要它們。

*外交部關於第二本護照的申請請見此 https://www.boca.gov.tw/cp-21-15-fd18c-1.html

img_6112
雖然常常被人說破的不可思議（笑）不過我的護照完全是陪我在這個世界走來走去的好夥伴！


（2）錢和信用卡、旅行支票

這個應該沒有什麼好說的，出門在外做什麼都離不開消費，任何狀況，鈔票永遠是我們的好朋友，便利性應該是現金>信用卡>>旅行支票，但是遺失時候的保障也是完全反過來，大家要自己好好斟酌～🙈

現金💰：這個東西一向都有許多眉角，除了匯率之外還要看兌換時候的手續費，比價後再出手永遠是不二法則，除了少部分國家之外，一般來說機場的匯率都是會比較差的，就算是在機場之內，大家也務必要比價啊！國外提款的好處就是方便，長途旅行的時候S自己有些國家停留的不長，就會直接在機場的提款機裡面提取當地的現金不再另外兌換～所以一張可以跨國提領的金融卡，絕對是你解燃眉之急時候的好朋友，至於手續費每家銀行都不一樣，建議大家下手之前還是要先上網好好研究！！

*國外提款VISA官方說明 https://www.visa-asia.com/ap/tw/personal/atm/overseas.shtml

🎯關於保管：財不露白絕對是生存之道，出國的時候S都會攜帶一個小的錢包，用來付零碎的款項跟放一張信用卡，也會在行李中不同的位置放一兩張＄100美金以應急，坊間也有一些可以藏在內衣或皮帶裡面的貼身腰包可以購買。

信用卡💳：S個人現金通常不會帶得太多，寧願分次提領以分散風險，最愛的還是信用卡，台灣其實有許多家信用卡都提供外幣刷卡的回饋，除了足夠抵銷VISA國際組織制式規定要求的1.5%手續費之外，有的甚至還會超過！另外通常在旅遊旺季更是會有滿額贈禮和加碼回饋，避免廣告S這裡就不特別提了，大家請自行去搜索每一年的「現金回饋/國外消費/信用卡」。信用卡匯率是浮動的，台灣的信用卡不像很多國外信用卡一樣有密碼設定，所以如果是在國外消費的時候，治安過於良好有時候甚至免簽，這種時候，請務必不要讓你的眼睛離開你的信用卡！S有一些朋友就因此而吃了大虧，被盜刷之後還要隔海跟銀行客服人員吵架，真的是什麼出去玩的心情都沒有了T口T

（3）醫療隨身包

醫療保險是重要的！除了少數國家之外，大部分的國家醫藥費以及醫藥品質都遠遠比台灣來得高昂並且落後！

除了填寫隨身醫療卡跟疫苗注射之外，一般S自己一定會準備的是胃藥、退燒藥、止痛藥、抗生素跟肌肉鬆弛劑（避免上了年紀之後不定期發生的扭到或者閃到，真的比想像中更常派上用場🙈）每個地方都有特殊的需求，例如西藏有高山症用藥，非洲有瘧疾，去的地方不同所需要準備的東西也不一樣，建議大家出發前一定要跟自己的家庭醫師好好溝通。如果你是跟團，我要提醒大家你的導遊領隊除了給你OK繃跟將你送往醫療院所之外，並無法提供任何緊急藥物幫助（犯法的，請不要逼他們！）而如果你是獨立旅行，長程旅行對於體力絕對是一種考驗，S在丹麥就有發生過血尿的狀況，語言不通加上國外醫療非常昂貴，大部分的國家抗生素都是管制藥品無法不經由醫師處方而取得，急診貴得嚇死人，而很多地方的醫院更不是24小時經營，是的，你有錢也未必看得到醫生，而看不到醫生拿不到藥，你的發燒上吐下瀉跟發炎反應，往往不會自己停止～自備緊急用藥，是對自己的一個保護，請不要輕忽！

*台灣各地旅遊門診的院所在這裡

https://www.cdc.gov.tw/info.aspx?treeid=aa2d4b06c27690e6&nowtreeid=9c4f0647c33c16a6&tid=d8fd75f8ceaabd8d

*我們的政府也有貼心設立網站依不同的身分跟所去的地區，告訴你當地的疫情狀況更應該做好的準備

https://www.cdc.gov.tw/internationaltravel/prescription.aspx?nowtreeid=79a3e69acb19fd47&treeid=aa2d4b06c27690e6

🎯你永遠都不會知道自己的行李會去哪裡，所以，隨身藥品請永遠跟著自己！

不要想著飛機一定會順利把你的行李跟你帶到同一個地方，有些時候飛機乘客過多或者是航空公司有其他安排，我們的行李常常不是跟我們一起移動，這種時候，行李延遲跟遺失都是常有的事情，S聽過不止一次慢性病的病人因為行李遺失或者藥品量準備不足而在當地產生醫療消費甚至是急病逝世⋯⋯所以如果你是長期需要藥物以維持正常生理機能的一份子，拜託，拜託，拜託，千萬不要讓你的藥離開你的視線範圍之內🙏

（4）電話卡/wifi機

現在這個世界網路發達，不像S剛開始去歐洲的時候沒有行動網路，只能在一些地方安頓下來的時候使用電腦查資料（GOD 我就是在暴露我的年紀無誤😂😂😂）現在的時代無論是上網購買電話卡或者Wi-Fi機都非常便利，請確保出遊時期你的網路是通暢的，S個人出國的習慣是一人一張電話卡隨時可以使用，大至緊急事件聯絡小至購物飲食秘笈，審慎使用關鍵字，基本上你都可以在網路上得到你想要的答案。S自己永遠不變的熱愛就是Google Map，雖然不是盡善盡美，但是真的大大提升了外出時的旅遊品質～但如果旅行的地方有沙漠，要登山，高海拔、有湖泊森林，最好都還是要再次跟當地人確認路線以免造成危險！另外這裡想特別推薦的是外交部設立的Line帳號，除了提供出國旅遊資訊之外，也提供國人的緊急救援服務諮詢、外文即時翻譯還有申辦護照的查詢跟補發，詳細資訊請看下方。

*外交部領務局新聞稿 https://www.mofa.gov.tw/News_Content.aspx?n=8742DCE7A2A28761&s=3572BBF928A932AC

（5）審慎但自在的心胸

雖然每一個都很重要，不過S覺得最重要的就是這個了（笑）很喜歡侯文詠的一段話是這麼說的：「因為抵達的每一個景點、途中認識的每一個人，都是未曾經歷的，因此樣樣新鮮。像個渴望郊遊的小學生似的，永遠不知道明天會發生什麼的期待、驚喜。千萬不要失去這種渴望的心情。」旅行最好的一件事大概就是迎向未知吧！S一路以來都是自助旅行的愛好者，長的時候一走三個月十幾個國家（辛苦S媽了，她常說我把她人生關於旅行的扣打全部用掉了🙈），總是有許多人會問我，妳都不擔心路上遇到壞人，被騙被搶被強暴被海關勒索再也回不了家嗎？會喔，還是會擔心的（笑）但是大概就跟出門上班隨時有機會被車撞死一樣，我們只能提醒自己時時小心做好萬全準備。盡力而為之後的結果，其實也是我們無法控制的，與其試圖去掌握那些我們無法控制的成敗，不如放輕鬆好好享受未知的一切吧！乖乖做好一切準備，咱們，放開心走走～

這個世界到處都是風景，自由的心讓你去到每個地方都能好好享受當下那份美麗～

出去旅行當然還有充電器轉接頭盥洗用品小零食首飾漂亮衣服這些零零碎碎的東西，但是在這裡就不多提了，這五樣東西已經可以解決旅程中90%的困擾，其他大部分都是錢可以解決的（笑）希望這些分享真的對大家的旅行有所幫助，能夠成為大家規劃行程前的定心丸💪🏻💪🏻💪🏻

最後，每個行業的專業都有其存在的必要。就像生病了要看醫生一樣，如果不想準備只是想好好出去旅遊，尋找可靠的旅行社跟好的導遊領隊還是有必要的，除了一分錢一分貨不要貪小便宜之外，政府的旅遊品質保障協會http://www.travel.org.tw是你判斷時候的好夥伴！S上課的時候遇見了很多線上的導遊跟領隊老師，可以從小處看見他們對這個行業本身的熱忱跟專業，不若外界想像光鮮亮麗，這其實是一個辛苦並且需要耗費許多心力的工作，好的領隊帶你上天堂，除了知識量之外，時時保持敏銳跟貼心更從來都不是一件容易的事情，散播歡樂散播愛，記得常常保持感恩的心尊重為你服務的那些人，你的旅行，會很好的：）

—

努力工作努力旅行希望完整人生的女人，喜歡寫字於是就默默開始了這個部落格，期待有天自己寫的東西都變成生命最真實的紀錄，老了還有點東西拿來說說～歡迎大家在這裡找找旅遊的靈感，祝大家都熱愛自己的人生，旅運昌隆～

📝圖文網誌花花世界旅行趣
https://hanahanatour.wordpress.com
❤️粉絲專頁
https://www.facebook.com/hanahanatour/
💃🏻IG
https://www.instagram.com/hanahanatour/

電腦手機網絡安全（四）：有關安全鑰匙 YubiKey，你問我答（頗大篇幅修訂版）+ 香港用戶訂購優惠詳情

文：薯伯伯

（超長文，建議先儲存，有需要再找來讀。不想全文讀，只想買 keys，請只看「香港用戶訂購優惠詳情」，第十三條問答及第十四條問答。）

早幾天寫了一篇文章，提到二步認證的安全鑰匙 YubiKey，無獨有偶，《立場》的另一位博客，《茉莉花開：中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司，希望取得他們的贊助，在核實身份後，這家瑞典公司寄出了五百條 YubiKey 送給香港人，來自遠方的慷慨之舉，實在令人感動。

我發覺不少人對於 YubiKey 的功能及用法均有誤解，甚至有人認為「有伏」，或誤以為用上 YubiKey 後反而更危險。我回應了一些評語，整合之後發到自己的臉書專頁，《立場》的編輯看到，問可否轉載到《立場》，所以我又花了一點時間，整理一下文稿。

後來我跟 YubiKey 的香港代理分銷商聯絡，提到近日大家較為關注網絡保安，他們同意給讀者提供一個折扣優惠，也希望加強普羅大眾對網絡安全的意識。於是，我又再把之前的文章修訂一下，再講解清楚相關的使用細項，希望有興趣的讀者，讀完這篇文章後，可以加強自身的網絡保安防護。

香港用戶訂購優惠詳情

先說一下香港分銷商的優惠模式：

1. YubiKey 的產品，全線八折，目前這個優惠沒有定下限期，但會看看情況再決定何時終止。（這個優惠折扣，其實是我建議的，因為只是想跟官網的教育優惠體齊而已。我希望讀者可以有優惠，但同一時間也不希望分銷商要做蝕本生意。）
2. 又或者是以原價購買 YubiKey，但會送上 Bitdefender 防護軟件一年的訂閱服務（原價是 HK$ 300 一年）。

優惠方案之一：

YubiKey 5Ci：HK$ 440（原價 HK$ 550）
YubiKey 5 Nano：HK$ 310（原價 HK$ 390）
YubiKey 5 NFC：HK$ 285（原價 HK$ 355）
YubiKey 5C：HK$ 310（原價 HK$ 390）
YubiKey 5C Nano：HK$ 375（原價 HK$ 470）

優惠方案之二：

Bitdefender TOTAL SECURITY 2020 的銷售價是 HK$ 300 /年費（可以用五部機），與 YubiKey 合拼購買，會有以下組合優惠：

YubiKey 5Ci + Bitdefender 一年：HK$ 550
YubiKey 5 Nano + Bitdefender 一年：HK$ 390
YubiKey 5 NFC + Bitdefender 一年：HK$ 355
YubiKey 5C + Bitdefender 一年：HK$ 390
YubiKey 5C Nano + Bitdefender 一年：HK$ 470

詳情可以看： https://netmon.zohocommerce.com/categories/yubikey/45023000004418001（注意，不能直接在網站上購買，購買流程在下面有寫。）

（利申：我的 YubiKey 是自己用原價購買，而各位用以上優惠碼購物時，我是完全不會有任何佣金。）

購買的流程如下：

1. 先了解要買哪款型號、數量及價格，然後致電 Yubico 的官方認可香港分銷商 NetMon 查詢有沒有存貨。Coupon code 是 PAZU20。如果有貨，可以直接上觀塘鴻圖道的辦公室購買，以現金交收。

2. 可以先用 PayPal 或信用卡支付，然後寄到順豐站或「順便智能櫃地址」，運費由買家自行支付，目前順豐的運費有優惠，原價 HK$ 30，在 2019 年 10 月底前只用 HK$ 20。

Netmon Information Systems
地址：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。
電話：25272086。
網址： www.netmon.asia

至於如何選擇 YubiKey，請看下面的問答：「有很多款 YubiKey，我到底應該選擇哪條？」

———

以下是第二次修訂的〈有關安全鑰匙 YubiKey，你問我答〉，刪去了一些概念重複的問題，又加入了數條問題，還有鳴謝相識於二十多年前的 Ben 深夜通電話，與我分享他的意見。

一

問：若果 YubiKey 安全鑰匙被其他人拿到，他們是不是可以直接登入我的戶口？

答：先說答案，不可以的。我們首先要搞清楚 YubiKey 的用途，它是用來作為登入戶口的其中一個因素，即是說，你要登入戶口，仍然需要帳號本身的密碼，以及 YubiKey，又或是其他因素，例如手機短訊（不建議）、authenticator app 的軟體六位密碼，或是備用的號碼。

所以即使別人取得你的 YubiKey，也不能單單使用 YubiKey 去登入你的帳戶。「二步認證」時需要你本身的密碼，以及一個額外的認證因素，才能登入戶口。

如果別人只是取得你的 YubiKey，但又沒有得到你的帳號密碼，那也是沒有辦法登入你的帳號。

二

問：我本身已經在手機裡用 authenticator app 去做二步認證，那為甚麼仍然要用 YubiKey 呢？

答：按保安級別來說，YubiKey 的 FIDO2（在線快速身份識別）比起 authenticator app 的 TOTP（基於時間單次密碼）較為優勝，而 Android 手機的漏洞又較 iPhone 的多。在 iPhone 上好像沒有怎麼出過事，但以前就曾經爆出，Android 機有惡意 app 成功利用保安漏動偷取了 app 二步認證的資料。

理論上去說，用安全鑰匙來做認證，肯定會較為安全。但很多用家，包括我自己，其實也會在手機上安裝 authenticator app。iPhone 較安全，但即使你用的是 Android，如果手機的廠家較為可信，堵塞保安漏洞的更新較快，你又不 root 機，又沒有胡亂安裝軟件，本身的風險未必算高。

那麼為甚麼本身已經有用 authenticator app，還要加一個安全鑰匙？我的原因，是因為使用硬件鑰匙，可以加快二步認證的速度及便捷程度，從而把這個二步認證，變成網絡生活的習慣。

三

問：我還是不明白，那麼說我豈不是可以直接用手機上的 authenticator app，為電腦登入做認證就可以了嗎？何以要另外花錢，給電腦買一條安全鑰匙？

答：因為我每天會登出登入戶口數次或以上，所以有必要加快這個過程。先說明一點，網絡保安的兩大關鍵。一是在可行的情況下，開啟二步認證。二是在每次上網之後，都要登出戶口，最好避免儲存電郵或社交媒體的登入狀態。

最簡單直接的設定，是每次關掉瀏覽器，就會自動刪去所有瀏覽記錄、登入狀態及 cookies，通常是在設定偏好，安全隱私裡可以設置。而我其實即使在自己的電腦上網，也習慣使用「私隱模式」去瀏覽網站。

當你養成了這個習慣，每天也要登入登出戶口數次。如果你每次看到登入的畫面，都有一種不安的恐懼感，擔心自己不懂如何登入，那麼更加要熟習登出登入的過程，每天登出登入，把登出登入變成生活的習慣，就不會見到 log in 畫面時便忍不住向空氣驚叫或斥罵一聲。如果你已經記不清對上一次是何時登入帳號，那只代表你的戶口經常處於「登入」的狀態，這是保安漏洞，也是很壞的上網習慣，一定要改。

由於每天登出登入的次數較多，如果能夠安全地加快這個速度，就是值得考慮的方案。我具體去說一下，authenticator app 跟 YubiKey（或其他硬體驗證）在使用習慣上的分別。

假如你一天要登出登入帳戶五次，如果用的是手機 authenticator app 去做認證，安全程度也算是足夠，但每次都要先找來手機，然後輸入手機的開機密碼，打開 authenticator app，我用的是 Lastpass Authenticator，之後取得六位數字後，複製到剪貼簿，再把六位數字傳送去電腦，或手動輸入，再按確認，這樣才能登入戶口。

但如果有 YubiKey 或其他硬件認證，過程就相對快速。先輸入帳戶密碼，從鎖匙扣或錢包裡拿出 YubiKey，把 YubiKey 插進電腦，掃一掃上面的金屬圈，便能登入。而我用的 YubiKey，是細小得可以長期插在電腦的 USB C 插頭（一些熟知技術的讀者，知道我的電腦長期插著安全鑰匙，可能會響警號，稍安毋躁，我將會說清楚這個安全隱患）。我每次登入戶口時，先是用手指打完密碼，然後直接伸手在電腦旁邊摸一摸 YubiKey 的金屬環，便能登入。

所以用 YubiKey 的原因，在我的情況，並不是要把它當成唯一的二步認證因素，而是要加快二步認證的過程。對於不同的用家，這個速度是否重要，很看使用習慣。即使這個速度不重要，單純基於保安考慮，用了安全鑰匙，整個系統的保安級別有所提升。

四

問：我應該要有一條還是兩條 YubiKey 呢？

答：按官方的說法，最好是兩條，因為一條常用，另一條則做後備。但對於大多數用戶來說，其實用一條也是足夠。我會建議大家先買一條，再以其他方式去做後備的密碼重設方案，例如其中一個二步認證的「因素」是 YubiKey，但同一個戶口，要加上 authenticator app 做另一個認證的方案。之後有需要，再買不同型號的安全鑰匙。

如果你本身打算參加 Google 的高級保護計劃（Advanced Protection Program），你是必須有兩條鑰匙。不過參加了這個計劃之後，使用 Google 的所有服務都會極為不便，我自己也沒有參加。

簡單來說，對於不打算參加 Google 高級保護計劃的用家來說，只要有後備的認證方案，那麼一條安全鑰匙，也是足夠的。

五

問：YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal？

答：YubiKey 不支援 WhatsApp、Telegram 或 Signal，所以不會影響你使用這些聊天軟件。

六

問：Google 官方推介的那款安全鑰匙，叫 Titan，為甚麼你反而要推介瑞典出品的 YubiKey？

答：Titan 的製造商是飛天誠信（Feitian Technology），總部設於北京。這家公司獲得不少國家認證及讚許，官方對其安全產品及科技成就予以高度的認可及肯定，目前並沒有證據顯示這家公司的產品有後門或安全漏洞。

所以，我選擇用瑞典及美國製造的 YubiKey。

還有，大家可以比較兩者的設計，YubiKey 真係靚仔好多。

答完這條問題後，發覺 Google 在 2019 年 10 月 15 日（剛好是此文修訂版發佈同一天）推出了一條新的 Titan，這次是跟 Yubico 合作，新的 Titan，設計外觀上跟 YubiKey 5C 大同小異。可能之前 Google 跟 Feitian 的合作，確實引來太多揣測，這次才找瑞典的 Yubico。

七

問：如果有人用 YubiKey 插進我的電腦，是否沒有密碼就能直接打開電腦？

答：這個要看你如何設置，如果你想設置為開啟電腦時，要先輸入密碼，再插入 YubiKey 才能登入電腦，那你應該要使用 pluggable authentication module（PAM，可插拔認證模塊）。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide

如果你使用 PAM 模塊的設定，即使別人取得你的 YubiKey，也不可以打開你的電腦，他是必須有你的 YubiKey，加上你本身開機的密碼，才能登入電腦。

不過話又說回來，如果是使用電腦，只要設定妥當，其實不用配合 YubiKey 開機，也算安全。因為我是用 Mac 機，也只能用 Mac 機的情況去說一下，如何才算安全。

1. 你常用的開機戶口的權限只是 standard 而不是 admin。
2. 你的硬盤本身有開啟加密，即 FileVault。
3. 你本身 admin 及 standard 的戶口密碼夠強。

這三點當中，以第三點最為容易被用家忽略，很多人為了貪方便，開機密碼簡單到不能再簡單，有些密碼甚至只有三四個位，極易被破解。尤其開機的密碼，是容許不停地試，即可以使用「蠻力」（brute force）去猜度，所以一定要小心選擇。

舉個例子，如果你的密碼是 west，破解的時間是 @_$*，兩組密碼，哪個較難破解？前面的那個，是馬上立即就能被破解，而後面這個，用的時間較多，是用一個微秒，也就是一百萬分之一秒而已！

至於如何選擇強勁密碼，不妨參考骰子密碼法（Diceware），也就是用一粒骰仔，投擲出六位的隨機數字，再用這個數字，透過列表，選擇其對應的字，都是一些字典中可以找到的字詞，如果選擇了七個以上的字詞，這個密碼就很難破解了。有關說明，詳見：https://en.wikipedia.org/wiki/Diceware

大家也可以去這裡測試一下自己的密碼安全程度，不要輸入真的密碼，差不多就可以，我的密碼，聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/

八

問：你認為我可以長期把安全鑰匙插在電腦嗎？

答：要看使用的場景，以及自己的需要。如果處於高風險環境，把安全鑰匙長期插在電腦中，是不衛生的做法，一些機構甚至明確要求員工不能這樣做，雖然大多員工會對這個建議置若罔聞。

我的 YubiKey 是用來登入網上的帳號，而不是登入電腦（可以看看上一條問題）。先說我的習慣，我是長期把 YubiKey 插在電腦中，有兩款較細小的型號可以做到這點，分別是 YubiKey 5 Nano 及 YubiKey 5C Nano。

但我們首先要明白自己想防範的是甚麼，再評估應該要做的安全措施。以我的情況，密碼是極難猜的（按不一定科學的估計，我的密碼可能要 919 萬億年才能破解），而我的密碼又完全不重複，不同網站也會用不同的密碼，所以如果密碼洩露，有三個較大的可能，一是服務供應商的問題，二是電腦被人安裝了惡毒軟件或不乾淨的瀏覽器 add-ons，例如鍵盤記錄器（keylogger）或直接偷取密碼發到遠方，三是上了釣魚網站。至於其他難測的漏洞，很難估計，在這裡就不討論。

對於第一點，能夠用上二步認證的服務，本身保安做得較好，即使系統受到入侵，估計（估計而已！）密碼的記錄也有加密，所以因為服務供應商的漏洞而洩露密碼的情況很低。至於第二個情況，我本身用的是 Mac，Mac 不是完全沒有病毒或惡毒軟件，所以我儘量不安裝來源不明的東西，有時逼不得已要安裝，也只會在虛擬的環境（virtual machine）中進行。較大的風險可能是瀏覽器的 add-ons 或 extensions，只好儘量找些評分高，信譽好的插件來安裝。

第三個情況，即釣魚網站（phishing sites） ，通常是假冒的銀行網站。這些網站弄得像是真網站（其實通常還是有些破綻，例如圖片的成像差一些，圖片起角，字體模糊，拼錯英文等等，倒是有點像藍絲的美學風格）。總之打開一些需要登入的網站，都會留意清楚網址，又或是看看有否證書。每次上銀行網站、Google 及 Facebook 等，都一定要加倍小心，因為即使用了二步認證，釣魚網站是可以同時騙取密碼及驗證碼。如果忽然收到電郵，提供連結叫你輸入密碼，更要加倍留意。

總之評估了自身的使用習慣，最需要防範的風險，是壞人從遠處入侵電腦，並偷取或截取密碼，再入侵我的戶口。所以我只要確保我的認證因素，一個是發到線上的密碼，另一個是線下的因素便可以。即使有人從網絡取得我的密碼，他的手也不能伸到我的手機或安全鑰匙，企圖登入我的戶口，他們要同時取得我的硬件及手機上的二步認證因素，其可能性始終很低。

另外有些要防範的情況，例如你在公司使用電腦，鄰座的同事相當有可疑，又可以近距離碰到你的電腦，自然就要加倍小心，不要長插鑰匙。你的安全顧慮，也可以因為不同的司法環境，或是本身的敏感程度而改變。若果你是一直備受監控的對象，入侵者有計劃也有資源去取得你的密碼，例如派人偷拍你在咖啡館輸入密碼的情形，入侵者甚至可以取得法庭搜查令，採用不道德的公權力去挾持你的電腦及其安全鑰匙。如果是這樣，你要採取的安全級別，可能要高出其他人很多倍，例如斯諾登要求到訪者把手機的電池取出，又或是要求把 iPhone 等關機後放進雪櫃或 faraday bag。如果你認為他有妄想症，不妨讀一讀《No Place to Hide》（作者 Greenward）又或是《Permanent Record》（作者就是斯諾登本人）。

說了一大堆，其實就是說，評估過自身的風險後，我使用 YubiKey 的習慣，是經常把它插在電腦上。我不覺得會危害到戶口安全，也不認為會降低安全系數，大家自行評估相關風險。

九

問：為甚麼我覺得 YubiKey 有伏？真的安全？這個東西有沒有後門？

答：可能因為你不了解這個技術，所以覺得有伏。

說實在的，當我看到這樣的提問，確是頗感驚訝呀，就像看到有人堅拒打疫苗因為擔心會自閉一樣驚訝。

十

問：有甚麼服務是支援安全鑰匙的二步認證呢？

答：對香港人而言，可能有機會用到而又支援安全鑰匙的服務包括：Google (Gmail, Drive, Youtube, Cloud Platform), Facebook, Dropbox, Github, Amazon Web Services, 1Password (版本7以上), Lastpass (Premium), Bitwarden, Dashlane, Boxcryptor (免費版也支援), Twitter 等等。

至於 Apple ID 戶口則不支持安全鑰匙，但有提供其他方式的二步認證。

十一

問：我是用 iPhone，為甚麼我覺得這類產品對 iPhone 的支援，好像很弱很不足呢？

答：因為這類產品，對 iPhone 的支援，真的很弱很不足啊！即使 YubiKey 出了一款 5Ci 有 lightning 連接頭，但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone，我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano)，而不用為 iPhone 買 5Ci 那款，那個 lightning 接頭很雞肋。

對於 MacBook ＋ iPhone 的用家來說，最適合的方案，是在 MacBook 用 YubiKey，在 iPhone 還是用 authenticator app。

如果你只有 iPhone，沒有電腦，那麼很簡單，乾脆不用買安全鑰匙，用 app 去做二步認證就可以。（如果你本身是單機 iPhone 的用家，讀到這裡，才發覺原來我是不建議單機 iPhone 用家使用安全鑰匙，可能會覺得浪費了寶貴的閱讀時間，但希望這篇文章裡其他保安知識，也會對你有幫助啦！）

十二

問：萬一我的安全鑰匙遺失了，我是否不能再登入我的戶口呢？

答：要看你如何設定，但先說答案，不是。如果你遺失了鑰匙，還是可以登入戶口。安全鑰匙只是登入戶口的其中一個認證因素，但你同時可以設定其他方式去認證。

其他認證的方式包括：

1. 手機短訊（SMS）：因為 SMS 的保安差，不建議。若然真的要用手機短訊，可以用不同居又可信任的朋友手機號碼，而這個電話號碼，最好不是存在手機的電話簿內。

2. Authenticator app：在 iPhone 及 Android 都有這類 app，我推介的是 Lastpass Authenticator，免費使用，軟件本身可以加上六位數字的密碼鎖。如果你想讓朋友幫你作為後備的方案，建議把設定的二維碼發給朋友，而該朋友又不是朝夕相對，一個 app 裡是可以儲存大量網站的認證碼，而且可以標明服務及戶口名稱，以作識別。

3. 安全鑰匙：也就是硬件認證方式，其中最多人使用的，是本文裡提到的 YubiKey。

4. 後備認證碼：部份網站，例如 Google 及 Facebook，會提供八個後備認證碼，可以寫下來，放在安全的地方，但有時貪方便，會儲存在電腦裡（其實不建議這樣做）。

所以，萬一遺失了安全鑰匙，只要設置合宜，其實也不代表不能用其他認證方式去登入戶口。而在設定了二步認證後，也應該要做一些練習，想像一下，萬一丟失了手機後，你還能用甚麼方式登入呢？如果你的手機、電腦及安全鑰匙全都放在公事包裡，而整個公事包被盜，你還有其他可行的二步認證方式嗎？手機丟失，你不能用 authenticator app。電腦丟失了，而你又貪方便只把後備碼儲存在電腦裡，連電腦也丟失了可以怎麼辦？如果你把不同居的朋友手機號碼作為後備的驗證方案，你能夠單憑手機最後兩個數字，就想起這位朋友嗎？網絡保安，除了要有措施，還有要反複練習。

另外，如果你使用的是 Google 最高級別的保安計劃（即 Google Advanced Protection Program），那就真的只能用兩條安全鑰匙進行登入。我本身是用 iPhone 及 Mac，因為安全鑰匙對於 iPhone 的支援太弱，所以我也沒有加入這個計劃。

還有，萬一你喪失了所有認證因素，其實 Google 或是 Gsuite 的管理人，仍然有辦法幫你重設密碼，但 Google 方面的驗證需要很多天，而且過程要問上大量問題，入侵者也不易通過。至於 Gsuite 的管理人，即使他單方面想幫你重設戶口密碼，這個雖然可能會成為另一個安全隱患漏洞，但他們也只能把密碼發到你後備的聯絡方式，而且當中也要有幾重驗證的過程，亦要花上一至數天。只要你那個後備的聯絡方式設定得較安全，入侵者也不能輕易破解。

十三

問：有很多款 YubiKey，我到底應該選擇哪條？

答：有三個考慮因素，一是你用甚麼電腦，二是你用甚麼手機，三是你用甚麼服務。我把幾種可能的情況寫出來，大家參考一下。要先說一點，因為 iPhone 對 YubiKey 或安全鑰匙的支援不好，所以按目前的情況，iPhone 的用家在手機上還是建議用 authenticator app 算了，即使你用的是 NFC 或 lightning 版的安全鑰匙，能夠支援的服務還是太少，可以忽略。選用哪款鑰匙，也要看自己的使用習慣，請參看「每次登入戶口時，都要把安全鑰匙插在電腦，有點麻煩，你認為我可以長期把安全鑰匙插在電腦嗎？」。

簡單來說，如果你打算長期把安全鑰匙插在電腦，就買 Nano 版，如果經常需要拔插，就買長一點的版本，方便拔插。如果你是用 Android，可以考慮買 NFC 的版本，如果是用 iPhone，因支援較弱，還是用 authenticator app 算了。

再具體一點去說，我根據以下的電腦及手機組合，建議使用的安全鑰匙型號。

1. 只有用桌面或手提電腦（USB A接口）：用 5 Nano 或 5C（按我的習慣，會用 5C Nano）。
2. 只有用桌面或手提電腦（USB C接口）：用 5C Nano 或 5C（按我的習慣，會用 5C Nano）。
3. 使用 12 吋的 MacBook（只有一個 USB C 接口的電腦）：用 5C 或 5C NFC（就快推出），而不要用 5C Nano，因為只有一個 USB C 接頭，要經常拔插，用 5C 或 5C Nano（暫未推出）會較好。
4. 電腦 (USB A接口) + iPhone (Lightning接口)：用 5 Nano 或 5 NFC（在 iPhone 上不用）。
5. 電腦 (USB A接口) + Android (USB C接口)：用 5 NFC。
6. 電腦 (USB A接口) + Android (MicroUSB接口)：用 5 NFC。
7. 電腦 (USB C接口) + iPhone (Lightning接口)：用 5C Nano 或 5C（在 iPhone 上不用）。
8. 電腦 (USB C接口) + Android (USB C接口)：用 5C NFC（就快推出，暫時未有啊，如果現在用的話，建議可以先買一個 Yubikey 5C Nano，只在電腦上用，手機上則用 app）。
9. 電腦 (USB C接口) + Android (MicroUSB接口)：用 5C NFC（就快推出，暫時未有啊，如果現在用的話，建議可以先買一個 Yubikey 5C Nano，只在電腦上用，手機上則用 app）。
10. 使用 12 吋的 MacBook（只有一個 USB C 接口的電腦）+ iPhone（Lightning接口）：用 5C 或 5C NFC（暫時未出），不建議用 5C Nano。
11. MacBook Air（有兩個USB C接口）：因為兩個 USB C 接口都在機身左邊，如果不會長期用 hub，那麼用 5C Nano 也可以。如果這個插口本身又要連 iPhone 或其他設備，那麼用 5C 會較好。
12. 以上任何配搭，但用的百度雲、淘寶、QQ 郵箱等：不用買。

至於 Security Key by Yubico 這一款，則可以用在電腦 (USB A接口) 上，沒有 NFC 功能，屬較為基礎的一款。之前 YubiKey 慷慨送給香港人的型號，就是這個。對於自己有能力購買的用家，請按上文所述的建議，對應自己的機型去購買。

另外，如果打算用轉換頭（例如 USB A 轉 USB C），請看看相關兼容情況：https://support.yubico.com/support/solutions/articles/15000006473-using-a-yubikey-with-usb-c-adapters （因為沒辦法逐一去試，萬一打開 YubiKey 的包裝後，發覺本身使用的 hub 或轉換器兼容不了，那就得物無所用，所以我不是太過建議用轉換頭。如果真的想用轉換頭，最好找朋友的安全鑰匙插進自己的電腦，再去 https://www.yubico.com/genuine/ 測試能否認出。

十四

問：可以在哪裡購買 YubiKey？

答：上官網 Yubico.com，在香港則去官方認可的香港分銷商。

購買這類安全產品，跟買安全套一樣，理論上是要避免使用中介渠道或集運公司，因為理論上越多中間人，那麼理論上就越大機會被人做手腳。

其中一種做手腳的方式，是企圖入侵的人，把鑰匙裡的物理序列號偷偷記錄，並用其他方式去產生密鑰。強調是「理論上」，因為估計實行起來，也非容易，太多顧慮，聽起來好像又太多疑，但既然說到網絡安全，當然要在各個可行的層面，也儘量做好防範的措施。例如萬一你的鑰匙被人偷走，非法扣留，又或是買回來的時候包裝已經打開，最好不要再用。

Yubico 的官方網站顯示，在香港有一個官方認可以的分銷商：Netmon Information Systems，地址是：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ，建議在辦公時間先打電話去查詢存貨量。

———

延伸閱讀：

陳婉容幫助香港人取得瑞典公司 Yubico 的贊助：https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1

電腦手機網絡安全（一）：SIM 卡鎖：https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/

電腦手機網絡安全（二）：簡介二步認證：https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/

電腦手機網絡安全（三）：二步認證的驗證因素：https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。