你的瀏覽器是由貴機構所管理的八卦，MOBILE01、DCARD、PTT和Yahoo名人娛樂都在討論

【阿里巴巴買得過？】

（這文在之前招股出過一次，如果你打算投資，建議你先睇一睇，重溫翻這股的基本質素及前景分析）

簡單來講，阿里巴巴可以話有4大業務部分：

1）商業業務
2）雲計算
3）數字媒體及娛樂
4）創新業務

阿里巴巴不少業務都處於有優勢的地位，同時擁有一個超大龐大的客戶群，可說擁有很大的業務優勢。可說在不少範疇，處於一個壟斷的地位，這點令企業處於很大的優勢局面。

另外，業務仍處於一個增長階段，加上本身擁—個龐大的客戶基礎，這對於延伸業務的發展十分有利。

當手持龐大賬戶，就是擁有了巨大的客戶基礎，擁有了大數據，無論發展增值服務或其他服務，也有很強的優勢，而這些延伸的業務，正是價值所在。

-\-\4大業務理想-\-\

就阿里的4大業務來講，仍然處於一個增長階段，商業業務為企業的最大貢獻部分，而這部分擁有的客戶基礎及數據，則會為餘下的3大業務，產生持續的增長。

只要最核心業務保持優勢，其餘業務發展就理想。就過往的財務數據來分析，商業業務仍處於增長狀態，同時有一定的現金流，同時已建立一定的優勢，地位不會動搖。

以下是阿里巴巴招股書，業務部分中的重要資料，希望大家花小小時間閱讀：

-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
-\-\-\-\-\-\-\-\-\-\-\-\-\-\-

-\-\中國零售商業-\-\

我們是全球最大的零售商業體；我們運營的淘寶是中國最大的移動商業平台，並 擁有龐大且持續增長的用戶社區；我們運營的天貓是世界上最大的面向品牌與零售商 的第三方線上及移動商業平台。

我們首創的「新零售」重塑了零售運營的基礎，改變了零售業的格局。新零售利用 數字化的運營系統、門店技術、供應鏈系統、消費者洞察和移動生態體系，將線上與 線下零售融合，為消費者提供一體化的購物體驗。

例如，我們自有的生鮮食品及日用 品零售連鎖品牌盒馬創造了線上和線下消費場景融合的新消費體驗，利用實體店面作 為線上訂單的倉庫，並實現送貨上門，同時又為消費者提供豐富且有趣的到店購物體驗。

-\-\跨境及全球零售商業-\-\

我們運營的Lazada是東南亞的領先電商平台。作為我們全球零售市場之一，速賣 通可使全球消費者直接從中國乃至全球的製造商和經銷商購買商品。天貓國際是中國 最大的進口電商平台。

2019年9月，我們收購了中國進口電商平台考拉，以進一步拓 展我們提供的價值並鞏固我們跨境零售商業的領先地位。

此外，中文版的天貓海外電 商平台幫助海外華人消費者直接購買中國品牌和零售商的商品。我們還運營兩家區域 性領先電商平台，分別是土耳其的Trendyol，以及主要在巴基斯坦和孟加拉國運營的 Daraz。

-\-\中國批發商業-\-\

我們運營的1688.com是中國領先的綜合型內貿批發交易市場3。零售通是一個數 字化採購平台，幫助快消品品牌製造商及其分銷商直連中國的社區小店。

-\-\跨境及全球批發商業-\-\

我們運營的Alibaba.com是中國最大的綜合型外貿線上批發交易市場4。截至2019 年3月31日，Alibaba.com上的買家來自超過190個國家。
物流服務

我們運營的菜鳥網絡主要通過協同物流合作夥伴的規模和能力，構建物流數據 平台及全球倉配網絡。菜鳥網絡提供國內及國際一站式物流服務及供應鏈管理解決方 案，以規模化的方式滿足廣大商家和消費者不同的物流需求，同時服務我們的數字經 濟體內外的需求。

我們利用菜鳥網絡的數據洞察及技術能力實現整個倉儲、物流和配 送流程的數字化，從而提升物流價值鏈的效率。此外，我們還運營餓了麼的本地即時 配送網絡蜂鳥即配，為消費者提供食品、飲品、生活用品等商品的即時配送服務。

-\-\生活服務-\-\

我們運營的餓了麼是領先的即時配送及本地生活服務平台，口碑是一家領先的餐 飲及本地生活到店消費服務指南平台；餓了麼和口碑由統一管理團隊負責運營，結合 我們的用戶及數據技術，使我們向消費者提供的價值從購物進一步拓展到服務。我們 也運營飛豬，一家領先的線上旅遊平台。

-\-\雲計算-\-\

我們運營的阿里雲是世界第三大、亞太地區最大的IaaS及基礎設施公用事業服務 提供商5。阿里雲也是中國最大的公有雲服務（包括PaaS和IaaS服務）提供商6。阿里雲 向我們的數字經濟體及外部機構提供一整套雲服務，包括彈性計算、數據庫、存儲、 網絡虛擬化服務、大規模計算、安全、管理和應用服務、大數據分析、機器學習平台 以及物聯網服務。

-\-\數字媒體及娛樂-\-\

數字媒體及娛樂是我們戰略的自然延伸，旨在為我們的用戶提供核心商業業務以 外的消費服務，在我們的數字經濟體內創造顯著的協同效應。我們通過從核心商業業 務獲取的消費者洞察為消費者提供其感興趣的數字媒體及娛樂內容，進而提供卓越的娛樂體驗。

我們兩個主要的分發平台為中國第三大的在線視頻平台優酷和世界領先的 移動瀏覽器之一UC瀏覽器。

此外，我們運營的阿里影業是以互聯網為核心驅動的娛 樂產業綜合平台。我們還運營著其他內容平台，例如資訊、文學和音樂。我們的平台 讓用戶可以發現和享用內容、彼此互動。


-\-\創新業務-\-\

為了滿足我們用戶日常生活的需求、提高效率，並為我們的數字經濟體的參與者 創造協同效應，我們不斷創新並提供新服務和新產品。

高德是中國最大的移動端電子 地圖、導航及實時交通信息服務提供商，高德通過其地圖數據技術助力我們的業務以 及第三方移動APP。

釘釘是中國最大的企業效率類APP，釘釘在同一界面上為企業間及團隊內部提供多種通訊方式、工作流程管理及網絡協作。

天貓精靈是中國排名第一 的智能音箱，創造了一種創新和互動的界面，使我們的客戶更方便地獲得我們數字經 濟體參與者提供的服務。

-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
-\-\-\-\-\-\-\-\-\-\-\-\-\-\-

從上述的資料可見，阿里的確有一定的優勢，同時仍有增長能力。

不少延伸部分仍有很大的潛力，而核心業務部分，相信會保持增長一段時間。因此，這企業是有潛力的企業，同時本身有質素。

-\-\財務數據理想-\-\

整體來說，阿里的財務數據不差，業務仍處高增長狀態，加上有實際的盈利，有理想的現金流。

整體來說，阿里都處於理想的增長狀態，收入、經營利潤、盈利，都保持理想增長，這點雖然利好，但投資者不能盲目認為企業會超高增長，同時要理性分析財務數據。

大家要留意，在招股書公布的第二季業績顯示，盈利十分強勁，比去年同期倍升，不過，當中包括左來自螞蟻金服33%股權的特殊收益近700億元人民幣。如果扣除了這些一次性後，盈利約為329億元人民幣，按年上升4成。

-\-\投資策略-\-\

整體來說，阿里的業務層面，擁有相當的優勢，不少業務處於壟斷狀態，同時增長理想。加上正不斷發展延伸業務，這都會成為企業增長的潛力，預期增長會持續，這是阿里最大的賣點。

不過，現價的估值並不平宜，這股已在美國上市，現時的香港招股價，正正參考當地近期的股價，現時股價並不平宜，可說處略略貴的水平。

以企業的長期發展計，這股的確優質，但在招股價處略貴的水平下，投資值博率只屬中等，因為阿里的港股價，一定會跟翻美股的價格情況，因此不會因短期供求失衡而出現追貨令股價爆升的情況。

當然，這股增長力強，只要業務與盈利大增，之後就算股價不變，都會慢慢調整到合理的估值區域，所以，這刻不是全無值博率，只是值博率不算好高。

對於這類優質、有發展，但現價略貴的股票，小注投資是較好的方法，算是平衡了風險與增長的考慮。因此，有意投資這股的投資者，小量抽下是可以的，而這股有長線投資的價值。

因此不建議大手抽，就算是看好，最好也要在上市後，慢慢分注入，以平均買入價，同時合共資金不能太多。

電腦手機網絡安全（四）：有關安全鑰匙 YubiKey，你問我答（頗大篇幅修訂版）+ 香港用戶訂購優惠詳情

文：薯伯伯

（超長文，建議先儲存，有需要再找來讀。不想全文讀，只想買 keys，請只看「香港用戶訂購優惠詳情」，第十三條問答及第十四條問答。）

早幾天寫了一篇文章，提到二步認證的安全鑰匙 YubiKey，無獨有偶，《立場》的另一位博客，《茉莉花開：中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司，希望取得他們的贊助，在核實身份後，這家瑞典公司寄出了五百條 YubiKey 送給香港人，來自遠方的慷慨之舉，實在令人感動。

我發覺不少人對於 YubiKey 的功能及用法均有誤解，甚至有人認為「有伏」，或誤以為用上 YubiKey 後反而更危險。我回應了一些評語，整合之後發到自己的臉書專頁，《立場》的編輯看到，問可否轉載到《立場》，所以我又花了一點時間，整理一下文稿。

後來我跟 YubiKey 的香港代理分銷商聯絡，提到近日大家較為關注網絡保安，他們同意給讀者提供一個折扣優惠，也希望加強普羅大眾對網絡安全的意識。於是，我又再把之前的文章修訂一下，再講解清楚相關的使用細項，希望有興趣的讀者，讀完這篇文章後，可以加強自身的網絡保安防護。

香港用戶訂購優惠詳情

先說一下香港分銷商的優惠模式：

1. YubiKey 的產品，全線八折，目前這個優惠沒有定下限期，但會看看情況再決定何時終止。（這個優惠折扣，其實是我建議的，因為只是想跟官網的教育優惠體齊而已。我希望讀者可以有優惠，但同一時間也不希望分銷商要做蝕本生意。）
2. 又或者是以原價購買 YubiKey，但會送上 Bitdefender 防護軟件一年的訂閱服務（原價是 HK$ 300 一年）。

優惠方案之一：

YubiKey 5Ci：HK$ 440（原價 HK$ 550）
YubiKey 5 Nano：HK$ 310（原價 HK$ 390）
YubiKey 5 NFC：HK$ 285（原價 HK$ 355）
YubiKey 5C：HK$ 310（原價 HK$ 390）
YubiKey 5C Nano：HK$ 375（原價 HK$ 470）

優惠方案之二：

Bitdefender TOTAL SECURITY 2020 的銷售價是 HK$ 300 /年費（可以用五部機），與 YubiKey 合拼購買，會有以下組合優惠：

YubiKey 5Ci + Bitdefender 一年：HK$ 550
YubiKey 5 Nano + Bitdefender 一年：HK$ 390
YubiKey 5 NFC + Bitdefender 一年：HK$ 355
YubiKey 5C + Bitdefender 一年：HK$ 390
YubiKey 5C Nano + Bitdefender 一年：HK$ 470

詳情可以看： https://netmon.zohocommerce.com/categories/yubikey/45023000004418001（注意，不能直接在網站上購買，購買流程在下面有寫。）

（利申：我的 YubiKey 是自己用原價購買，而各位用以上優惠碼購物時，我是完全不會有任何佣金。）

購買的流程如下：

1. 先了解要買哪款型號、數量及價格，然後致電 Yubico 的官方認可香港分銷商 NetMon 查詢有沒有存貨。Coupon code 是 PAZU20。如果有貨，可以直接上觀塘鴻圖道的辦公室購買，以現金交收。

2. 可以先用 PayPal 或信用卡支付，然後寄到順豐站或「順便智能櫃地址」，運費由買家自行支付，目前順豐的運費有優惠，原價 HK$ 30，在 2019 年 10 月底前只用 HK$ 20。

Netmon Information Systems
地址：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。
電話：25272086。
網址： www.netmon.asia

至於如何選擇 YubiKey，請看下面的問答：「有很多款 YubiKey，我到底應該選擇哪條？」

———

以下是第二次修訂的〈有關安全鑰匙 YubiKey，你問我答〉，刪去了一些概念重複的問題，又加入了數條問題，還有鳴謝相識於二十多年前的 Ben 深夜通電話，與我分享他的意見。

一

問：若果 YubiKey 安全鑰匙被其他人拿到，他們是不是可以直接登入我的戶口？

答：先說答案，不可以的。我們首先要搞清楚 YubiKey 的用途，它是用來作為登入戶口的其中一個因素，即是說，你要登入戶口，仍然需要帳號本身的密碼，以及 YubiKey，又或是其他因素，例如手機短訊（不建議）、authenticator app 的軟體六位密碼，或是備用的號碼。

所以即使別人取得你的 YubiKey，也不能單單使用 YubiKey 去登入你的帳戶。「二步認證」時需要你本身的密碼，以及一個額外的認證因素，才能登入戶口。

如果別人只是取得你的 YubiKey，但又沒有得到你的帳號密碼，那也是沒有辦法登入你的帳號。

二

問：我本身已經在手機裡用 authenticator app 去做二步認證，那為甚麼仍然要用 YubiKey 呢？

答：按保安級別來說，YubiKey 的 FIDO2（在線快速身份識別）比起 authenticator app 的 TOTP（基於時間單次密碼）較為優勝，而 Android 手機的漏洞又較 iPhone 的多。在 iPhone 上好像沒有怎麼出過事，但以前就曾經爆出，Android 機有惡意 app 成功利用保安漏動偷取了 app 二步認證的資料。

理論上去說，用安全鑰匙來做認證，肯定會較為安全。但很多用家，包括我自己，其實也會在手機上安裝 authenticator app。iPhone 較安全，但即使你用的是 Android，如果手機的廠家較為可信，堵塞保安漏洞的更新較快，你又不 root 機，又沒有胡亂安裝軟件，本身的風險未必算高。

那麼為甚麼本身已經有用 authenticator app，還要加一個安全鑰匙？我的原因，是因為使用硬件鑰匙，可以加快二步認證的速度及便捷程度，從而把這個二步認證，變成網絡生活的習慣。

三

問：我還是不明白，那麼說我豈不是可以直接用手機上的 authenticator app，為電腦登入做認證就可以了嗎？何以要另外花錢，給電腦買一條安全鑰匙？

答：因為我每天會登出登入戶口數次或以上，所以有必要加快這個過程。先說明一點，網絡保安的兩大關鍵。一是在可行的情況下，開啟二步認證。二是在每次上網之後，都要登出戶口，最好避免儲存電郵或社交媒體的登入狀態。

最簡單直接的設定，是每次關掉瀏覽器，就會自動刪去所有瀏覽記錄、登入狀態及 cookies，通常是在設定偏好，安全隱私裡可以設置。而我其實即使在自己的電腦上網，也習慣使用「私隱模式」去瀏覽網站。

當你養成了這個習慣，每天也要登入登出戶口數次。如果你每次看到登入的畫面，都有一種不安的恐懼感，擔心自己不懂如何登入，那麼更加要熟習登出登入的過程，每天登出登入，把登出登入變成生活的習慣，就不會見到 log in 畫面時便忍不住向空氣驚叫或斥罵一聲。如果你已經記不清對上一次是何時登入帳號，那只代表你的戶口經常處於「登入」的狀態，這是保安漏洞，也是很壞的上網習慣，一定要改。

由於每天登出登入的次數較多，如果能夠安全地加快這個速度，就是值得考慮的方案。我具體去說一下，authenticator app 跟 YubiKey（或其他硬體驗證）在使用習慣上的分別。

假如你一天要登出登入帳戶五次，如果用的是手機 authenticator app 去做認證，安全程度也算是足夠，但每次都要先找來手機，然後輸入手機的開機密碼，打開 authenticator app，我用的是 Lastpass Authenticator，之後取得六位數字後，複製到剪貼簿，再把六位數字傳送去電腦，或手動輸入，再按確認，這樣才能登入戶口。

但如果有 YubiKey 或其他硬件認證，過程就相對快速。先輸入帳戶密碼，從鎖匙扣或錢包裡拿出 YubiKey，把 YubiKey 插進電腦，掃一掃上面的金屬圈，便能登入。而我用的 YubiKey，是細小得可以長期插在電腦的 USB C 插頭（一些熟知技術的讀者，知道我的電腦長期插著安全鑰匙，可能會響警號，稍安毋躁，我將會說清楚這個安全隱患）。我每次登入戶口時，先是用手指打完密碼，然後直接伸手在電腦旁邊摸一摸 YubiKey 的金屬環，便能登入。

所以用 YubiKey 的原因，在我的情況，並不是要把它當成唯一的二步認證因素，而是要加快二步認證的過程。對於不同的用家，這個速度是否重要，很看使用習慣。即使這個速度不重要，單純基於保安考慮，用了安全鑰匙，整個系統的保安級別有所提升。

四

問：我應該要有一條還是兩條 YubiKey 呢？

答：按官方的說法，最好是兩條，因為一條常用，另一條則做後備。但對於大多數用戶來說，其實用一條也是足夠。我會建議大家先買一條，再以其他方式去做後備的密碼重設方案，例如其中一個二步認證的「因素」是 YubiKey，但同一個戶口，要加上 authenticator app 做另一個認證的方案。之後有需要，再買不同型號的安全鑰匙。

如果你本身打算參加 Google 的高級保護計劃（Advanced Protection Program），你是必須有兩條鑰匙。不過參加了這個計劃之後，使用 Google 的所有服務都會極為不便，我自己也沒有參加。

簡單來說，對於不打算參加 Google 高級保護計劃的用家來說，只要有後備的認證方案，那麼一條安全鑰匙，也是足夠的。

五

問：YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal？

答：YubiKey 不支援 WhatsApp、Telegram 或 Signal，所以不會影響你使用這些聊天軟件。

六

問：Google 官方推介的那款安全鑰匙，叫 Titan，為甚麼你反而要推介瑞典出品的 YubiKey？

答：Titan 的製造商是飛天誠信（Feitian Technology），總部設於北京。這家公司獲得不少國家認證及讚許，官方對其安全產品及科技成就予以高度的認可及肯定，目前並沒有證據顯示這家公司的產品有後門或安全漏洞。

所以，我選擇用瑞典及美國製造的 YubiKey。

還有，大家可以比較兩者的設計，YubiKey 真係靚仔好多。

答完這條問題後，發覺 Google 在 2019 年 10 月 15 日（剛好是此文修訂版發佈同一天）推出了一條新的 Titan，這次是跟 Yubico 合作，新的 Titan，設計外觀上跟 YubiKey 5C 大同小異。可能之前 Google 跟 Feitian 的合作，確實引來太多揣測，這次才找瑞典的 Yubico。

七

問：如果有人用 YubiKey 插進我的電腦，是否沒有密碼就能直接打開電腦？

答：這個要看你如何設置，如果你想設置為開啟電腦時，要先輸入密碼，再插入 YubiKey 才能登入電腦，那你應該要使用 pluggable authentication module（PAM，可插拔認證模塊）。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide

如果你使用 PAM 模塊的設定，即使別人取得你的 YubiKey，也不可以打開你的電腦，他是必須有你的 YubiKey，加上你本身開機的密碼，才能登入電腦。

不過話又說回來，如果是使用電腦，只要設定妥當，其實不用配合 YubiKey 開機，也算安全。因為我是用 Mac 機，也只能用 Mac 機的情況去說一下，如何才算安全。

1. 你常用的開機戶口的權限只是 standard 而不是 admin。
2. 你的硬盤本身有開啟加密，即 FileVault。
3. 你本身 admin 及 standard 的戶口密碼夠強。

這三點當中，以第三點最為容易被用家忽略，很多人為了貪方便，開機密碼簡單到不能再簡單，有些密碼甚至只有三四個位，極易被破解。尤其開機的密碼，是容許不停地試，即可以使用「蠻力」（brute force）去猜度，所以一定要小心選擇。

舉個例子，如果你的密碼是 west，破解的時間是 @_$*，兩組密碼，哪個較難破解？前面的那個，是馬上立即就能被破解，而後面這個，用的時間較多，是用一個微秒，也就是一百萬分之一秒而已！

至於如何選擇強勁密碼，不妨參考骰子密碼法（Diceware），也就是用一粒骰仔，投擲出六位的隨機數字，再用這個數字，透過列表，選擇其對應的字，都是一些字典中可以找到的字詞，如果選擇了七個以上的字詞，這個密碼就很難破解了。有關說明，詳見：https://en.wikipedia.org/wiki/Diceware

大家也可以去這裡測試一下自己的密碼安全程度，不要輸入真的密碼，差不多就可以，我的密碼，聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/

八

問：你認為我可以長期把安全鑰匙插在電腦嗎？

答：要看使用的場景，以及自己的需要。如果處於高風險環境，把安全鑰匙長期插在電腦中，是不衛生的做法，一些機構甚至明確要求員工不能這樣做，雖然大多員工會對這個建議置若罔聞。

我的 YubiKey 是用來登入網上的帳號，而不是登入電腦（可以看看上一條問題）。先說我的習慣，我是長期把 YubiKey 插在電腦中，有兩款較細小的型號可以做到這點，分別是 YubiKey 5 Nano 及 YubiKey 5C Nano。

但我們首先要明白自己想防範的是甚麼，再評估應該要做的安全措施。以我的情況，密碼是極難猜的（按不一定科學的估計，我的密碼可能要 919 萬億年才能破解），而我的密碼又完全不重複，不同網站也會用不同的密碼，所以如果密碼洩露，有三個較大的可能，一是服務供應商的問題，二是電腦被人安裝了惡毒軟件或不乾淨的瀏覽器 add-ons，例如鍵盤記錄器（keylogger）或直接偷取密碼發到遠方，三是上了釣魚網站。至於其他難測的漏洞，很難估計，在這裡就不討論。

對於第一點，能夠用上二步認證的服務，本身保安做得較好，即使系統受到入侵，估計（估計而已！）密碼的記錄也有加密，所以因為服務供應商的漏洞而洩露密碼的情況很低。至於第二個情況，我本身用的是 Mac，Mac 不是完全沒有病毒或惡毒軟件，所以我儘量不安裝來源不明的東西，有時逼不得已要安裝，也只會在虛擬的環境（virtual machine）中進行。較大的風險可能是瀏覽器的 add-ons 或 extensions，只好儘量找些評分高，信譽好的插件來安裝。

第三個情況，即釣魚網站（phishing sites） ，通常是假冒的銀行網站。這些網站弄得像是真網站（其實通常還是有些破綻，例如圖片的成像差一些，圖片起角，字體模糊，拼錯英文等等，倒是有點像藍絲的美學風格）。總之打開一些需要登入的網站，都會留意清楚網址，又或是看看有否證書。每次上銀行網站、Google 及 Facebook 等，都一定要加倍小心，因為即使用了二步認證，釣魚網站是可以同時騙取密碼及驗證碼。如果忽然收到電郵，提供連結叫你輸入密碼，更要加倍留意。

總之評估了自身的使用習慣，最需要防範的風險，是壞人從遠處入侵電腦，並偷取或截取密碼，再入侵我的戶口。所以我只要確保我的認證因素，一個是發到線上的密碼，另一個是線下的因素便可以。即使有人從網絡取得我的密碼，他的手也不能伸到我的手機或安全鑰匙，企圖登入我的戶口，他們要同時取得我的硬件及手機上的二步認證因素，其可能性始終很低。

另外有些要防範的情況，例如你在公司使用電腦，鄰座的同事相當有可疑，又可以近距離碰到你的電腦，自然就要加倍小心，不要長插鑰匙。你的安全顧慮，也可以因為不同的司法環境，或是本身的敏感程度而改變。若果你是一直備受監控的對象，入侵者有計劃也有資源去取得你的密碼，例如派人偷拍你在咖啡館輸入密碼的情形，入侵者甚至可以取得法庭搜查令，採用不道德的公權力去挾持你的電腦及其安全鑰匙。如果是這樣，你要採取的安全級別，可能要高出其他人很多倍，例如斯諾登要求到訪者把手機的電池取出，又或是要求把 iPhone 等關機後放進雪櫃或 faraday bag。如果你認為他有妄想症，不妨讀一讀《No Place to Hide》（作者 Greenward）又或是《Permanent Record》（作者就是斯諾登本人）。

說了一大堆，其實就是說，評估過自身的風險後，我使用 YubiKey 的習慣，是經常把它插在電腦上。我不覺得會危害到戶口安全，也不認為會降低安全系數，大家自行評估相關風險。

九

問：為甚麼我覺得 YubiKey 有伏？真的安全？這個東西有沒有後門？

答：可能因為你不了解這個技術，所以覺得有伏。

說實在的，當我看到這樣的提問，確是頗感驚訝呀，就像看到有人堅拒打疫苗因為擔心會自閉一樣驚訝。

十

問：有甚麼服務是支援安全鑰匙的二步認證呢？

答：對香港人而言，可能有機會用到而又支援安全鑰匙的服務包括：Google (Gmail, Drive, Youtube, Cloud Platform), Facebook, Dropbox, Github, Amazon Web Services, 1Password (版本7以上), Lastpass (Premium), Bitwarden, Dashlane, Boxcryptor (免費版也支援), Twitter 等等。

至於 Apple ID 戶口則不支持安全鑰匙，但有提供其他方式的二步認證。

十一

問：我是用 iPhone，為甚麼我覺得這類產品對 iPhone 的支援，好像很弱很不足呢？

答：因為這類產品，對 iPhone 的支援，真的很弱很不足啊！即使 YubiKey 出了一款 5Ci 有 lightning 連接頭，但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone，我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano)，而不用為 iPhone 買 5Ci 那款，那個 lightning 接頭很雞肋。

對於 MacBook ＋ iPhone 的用家來說，最適合的方案，是在 MacBook 用 YubiKey，在 iPhone 還是用 authenticator app。

如果你只有 iPhone，沒有電腦，那麼很簡單，乾脆不用買安全鑰匙，用 app 去做二步認證就可以。（如果你本身是單機 iPhone 的用家，讀到這裡，才發覺原來我是不建議單機 iPhone 用家使用安全鑰匙，可能會覺得浪費了寶貴的閱讀時間，但希望這篇文章裡其他保安知識，也會對你有幫助啦！）

十二

問：萬一我的安全鑰匙遺失了，我是否不能再登入我的戶口呢？

答：要看你如何設定，但先說答案，不是。如果你遺失了鑰匙，還是可以登入戶口。安全鑰匙只是登入戶口的其中一個認證因素，但你同時可以設定其他方式去認證。

其他認證的方式包括：

1. 手機短訊（SMS）：因為 SMS 的保安差，不建議。若然真的要用手機短訊，可以用不同居又可信任的朋友手機號碼，而這個電話號碼，最好不是存在手機的電話簿內。

2. Authenticator app：在 iPhone 及 Android 都有這類 app，我推介的是 Lastpass Authenticator，免費使用，軟件本身可以加上六位數字的密碼鎖。如果你想讓朋友幫你作為後備的方案，建議把設定的二維碼發給朋友，而該朋友又不是朝夕相對，一個 app 裡是可以儲存大量網站的認證碼，而且可以標明服務及戶口名稱，以作識別。

3. 安全鑰匙：也就是硬件認證方式，其中最多人使用的，是本文裡提到的 YubiKey。

4. 後備認證碼：部份網站，例如 Google 及 Facebook，會提供八個後備認證碼，可以寫下來，放在安全的地方，但有時貪方便，會儲存在電腦裡（其實不建議這樣做）。

所以，萬一遺失了安全鑰匙，只要設置合宜，其實也不代表不能用其他認證方式去登入戶口。而在設定了二步認證後，也應該要做一些練習，想像一下，萬一丟失了手機後，你還能用甚麼方式登入呢？如果你的手機、電腦及安全鑰匙全都放在公事包裡，而整個公事包被盜，你還有其他可行的二步認證方式嗎？手機丟失，你不能用 authenticator app。電腦丟失了，而你又貪方便只把後備碼儲存在電腦裡，連電腦也丟失了可以怎麼辦？如果你把不同居的朋友手機號碼作為後備的驗證方案，你能夠單憑手機最後兩個數字，就想起這位朋友嗎？網絡保安，除了要有措施，還有要反複練習。

另外，如果你使用的是 Google 最高級別的保安計劃（即 Google Advanced Protection Program），那就真的只能用兩條安全鑰匙進行登入。我本身是用 iPhone 及 Mac，因為安全鑰匙對於 iPhone 的支援太弱，所以我也沒有加入這個計劃。

還有，萬一你喪失了所有認證因素，其實 Google 或是 Gsuite 的管理人，仍然有辦法幫你重設密碼，但 Google 方面的驗證需要很多天，而且過程要問上大量問題，入侵者也不易通過。至於 Gsuite 的管理人，即使他單方面想幫你重設戶口密碼，這個雖然可能會成為另一個安全隱患漏洞，但他們也只能把密碼發到你後備的聯絡方式，而且當中也要有幾重驗證的過程，亦要花上一至數天。只要你那個後備的聯絡方式設定得較安全，入侵者也不能輕易破解。

十三

問：有很多款 YubiKey，我到底應該選擇哪條？

答：有三個考慮因素，一是你用甚麼電腦，二是你用甚麼手機，三是你用甚麼服務。我把幾種可能的情況寫出來，大家參考一下。要先說一點，因為 iPhone 對 YubiKey 或安全鑰匙的支援不好，所以按目前的情況，iPhone 的用家在手機上還是建議用 authenticator app 算了，即使你用的是 NFC 或 lightning 版的安全鑰匙，能夠支援的服務還是太少，可以忽略。選用哪款鑰匙，也要看自己的使用習慣，請參看「每次登入戶口時，都要把安全鑰匙插在電腦，有點麻煩，你認為我可以長期把安全鑰匙插在電腦嗎？」。

簡單來說，如果你打算長期把安全鑰匙插在電腦，就買 Nano 版，如果經常需要拔插，就買長一點的版本，方便拔插。如果你是用 Android，可以考慮買 NFC 的版本，如果是用 iPhone，因支援較弱，還是用 authenticator app 算了。

再具體一點去說，我根據以下的電腦及手機組合，建議使用的安全鑰匙型號。

1. 只有用桌面或手提電腦（USB A接口）：用 5 Nano 或 5C（按我的習慣，會用 5C Nano）。
2. 只有用桌面或手提電腦（USB C接口）：用 5C Nano 或 5C（按我的習慣，會用 5C Nano）。
3. 使用 12 吋的 MacBook（只有一個 USB C 接口的電腦）：用 5C 或 5C NFC（就快推出），而不要用 5C Nano，因為只有一個 USB C 接頭，要經常拔插，用 5C 或 5C Nano（暫未推出）會較好。
4. 電腦 (USB A接口) + iPhone (Lightning接口)：用 5 Nano 或 5 NFC（在 iPhone 上不用）。
5. 電腦 (USB A接口) + Android (USB C接口)：用 5 NFC。
6. 電腦 (USB A接口) + Android (MicroUSB接口)：用 5 NFC。
7. 電腦 (USB C接口) + iPhone (Lightning接口)：用 5C Nano 或 5C（在 iPhone 上不用）。
8. 電腦 (USB C接口) + Android (USB C接口)：用 5C NFC（就快推出，暫時未有啊，如果現在用的話，建議可以先買一個 Yubikey 5C Nano，只在電腦上用，手機上則用 app）。
9. 電腦 (USB C接口) + Android (MicroUSB接口)：用 5C NFC（就快推出，暫時未有啊，如果現在用的話，建議可以先買一個 Yubikey 5C Nano，只在電腦上用，手機上則用 app）。
10. 使用 12 吋的 MacBook（只有一個 USB C 接口的電腦）+ iPhone（Lightning接口）：用 5C 或 5C NFC（暫時未出），不建議用 5C Nano。
11. MacBook Air（有兩個USB C接口）：因為兩個 USB C 接口都在機身左邊，如果不會長期用 hub，那麼用 5C Nano 也可以。如果這個插口本身又要連 iPhone 或其他設備，那麼用 5C 會較好。
12. 以上任何配搭，但用的百度雲、淘寶、QQ 郵箱等：不用買。

至於 Security Key by Yubico 這一款，則可以用在電腦 (USB A接口) 上，沒有 NFC 功能，屬較為基礎的一款。之前 YubiKey 慷慨送給香港人的型號，就是這個。對於自己有能力購買的用家，請按上文所述的建議，對應自己的機型去購買。

另外，如果打算用轉換頭（例如 USB A 轉 USB C），請看看相關兼容情況：https://support.yubico.com/support/solutions/articles/15000006473-using-a-yubikey-with-usb-c-adapters （因為沒辦法逐一去試，萬一打開 YubiKey 的包裝後，發覺本身使用的 hub 或轉換器兼容不了，那就得物無所用，所以我不是太過建議用轉換頭。如果真的想用轉換頭，最好找朋友的安全鑰匙插進自己的電腦，再去 https://www.yubico.com/genuine/ 測試能否認出。

十四

問：可以在哪裡購買 YubiKey？

答：上官網 Yubico.com，在香港則去官方認可的香港分銷商。

購買這類安全產品，跟買安全套一樣，理論上是要避免使用中介渠道或集運公司，因為理論上越多中間人，那麼理論上就越大機會被人做手腳。

其中一種做手腳的方式，是企圖入侵的人，把鑰匙裡的物理序列號偷偷記錄，並用其他方式去產生密鑰。強調是「理論上」，因為估計實行起來，也非容易，太多顧慮，聽起來好像又太多疑，但既然說到網絡安全，當然要在各個可行的層面，也儘量做好防範的措施。例如萬一你的鑰匙被人偷走，非法扣留，又或是買回來的時候包裝已經打開，最好不要再用。

Yubico 的官方網站顯示，在香港有一個官方認可以的分銷商：Netmon Information Systems，地址是：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ，建議在辦公時間先打電話去查詢存貨量。

———

延伸閱讀：

陳婉容幫助香港人取得瑞典公司 Yubico 的贊助：https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1

電腦手機網絡安全（一）：SIM 卡鎖：https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/

電腦手機網絡安全（二）：簡介二步認證：https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/

電腦手機網絡安全（三）：二步認證的驗證因素：https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。

【如何在兩個月內買到小米手機
How to Buy a Xiaomi in Two Short Months】

Beijing, Sept. 4th (by Carlos Tejada) -- China’s Xiaomi rose to the top ranks of global smartphone makers in only five years by selling high-spec phones at lowball prices. The phones have been snapped up by Chinese consumers looking for an affordable, homegrown alternative to pricier gadgets made by Apple and Samsung Electronics. Its success has made it China’s most valuable startup and second only to Uber in terms of global valuations.
中國的小米公司僅用了不到五年的時間，藉由以低價銷售高規格手機商品，在全球智慧型手機市場中躍昇至名列前茅的位置。與美國蘋果和南韓三星生產且較為昂貴的智慧型裝置相比，小米公司給中國消費者提供的是可負擔得起的國產化和實惠替代選擇，其產品也屢屢被中國消費者一掃而空。小米公司的成功使它一舉成為中國最具市場價值的新創企業，即使在全球範圍來算，其市值也僅次於 Uber。

So goes the story behind Xiaomi’s rise. Still, there’s one aspect of its business that can be hard to convey to the outside world: Its phones can be very, very, very difficult to buy.
以上便是小米崛起的故事，然而這其中尚有一個難與外界陳述的事實是：小米手機是非常，非常，非常難以購買的。

Xiaomi sells its phones only in China, India and a few other Asian markets. But that’s just the start of the difficulties. In China the company sells its newest phones online in limited batches through what are called flash sales. Xiaomi and analysts say that helps the company cope with demand for new products as it ramps up production.
目前小米公司僅在中國、印度及一些亞洲國家銷售智慧手機，不過這其實只是造成購買困難的第一個因素。小米公司在中國是透過所謂線上分批搶購的方式來銷售其最新機型。小米公司和分析家認為這種銷售方式有助於公司更好地控管新產品產量只能逐步上升可能造成的供不應求狀況。

On a practical level, it means those who aren’t quick enough with a computer mouse may have a long time to wait before they get one.
實際一點來說，這就表示那些使用電腦滑鼠不夠敏捷的人可能就得在買到一台小米手機之前要等上好長一段時間了。

I chose to buy a Xiaomi phone after the company lent me its newest phablet, the Note Pro, to use for a few weeks. I liked the large screen, decent camera and its take on Google’s Android phone-operating software, which in my opinion is still inferior to Apple’s mobile software but is closing the gap. Mostly, I liked the price – the Note Pro costs about half the price of Apple’s base-model iPhone 6 Plus, which is the same size but comes with only a quarter of the memory.
在小米公司把最新型的 Note Pro 智慧型大螢幕手機借給我使用了幾個星期之後，我決定自行購買一台小米手機。我非常喜歡它的大螢幕以及拍照效果不錯的鏡頭。小米手機使用的是 Google 公司的 Android 手機作業系統，雖然 Android 系統跟蘋果公司的 iOS 系統還存在一定差距，但這個差距正逐漸縮小中。我最在意的還是價格：小米 Note Pro 的售價僅為蘋果公司 iPhone 6 Plus 基本款(16 GB)的一半，且這兩台手機的尺寸一樣，而 Note Pro 的記憶體容量足足為 iPhone 6 Plus 的 4 倍 (64 GB)。

Another reason I liked it: In China-nerd circles, the phone is a conversation starter. People who follow China or technology but who aren’t on the mainland rarely see one. In that crowd everybody has an opinion of Xiaomi, ranging from respect for a scrappy startup to contempt for a cheap copycat. “Oh, you have a Xiaomi?” they ask, with some mix of curiosity and amusement.
我喜歡小米手機的另一個理由是，在愛好中國事物的群體之中，小米手機總是一個很不錯的開場白，因為關注中國或者科技產品但身不在中國的人很少能看見小米手機。那個群體的人對於小米都有各自的看法，有的人對這個草莽的新創公司表達尊重，也有人輕蔑地認為小米手機僅僅是廉價的山寨產品。他們會帶著愉悅和好奇問說：「哦？你的是小米手機？」

I chose to buy my phone like most Chinese people buy theirs: through an online flash sale. I skipped online brokers and secondhand dealers over concerns about malware and fakes. I also declined an offer from Xiaomi for a pass that would let me jump to the front of the line, an inducement it offers to its biggest Mi fans.
我選擇採用大多數在中國的消費者們所使用的方式來購買小米手機：線上搶購。出於對惡意軟體和假貨問題的擔憂，我略過了從網路賣家和二手交易者那邊購買的方案。我還放棄了小米公司提供的「插隊」優待，這對於廣大的「米粉」族來說可是項福利啊。

I went in with a co-worker, Olivia, who wanted to buy a budget-level phone for her father.
我和我的同事 Olivia 一起進行搶購，而她想幫她爸爸購買一台經濟實惠的手機。

Day 1第 1 天
Xiaomi holds its flash sales on Tuesdays at noon sharp. To buy one, a customer needs access to a Chinese debit or credit card or an account with an online payment system like Alibaba Group’s Alipay affiliate. With all those in check, I perched over my computer with my mouse at the ready.
小米在週二中午整點展開了一次搶購活動，想要參與的消費者必須擁有中國記帳卡、信用卡或者像隸屬阿里巴巴公司的支付寶那樣的線上付款系統。一切就緒以後，我手握滑鼠靜候在電腦旁邊嚴陣以待。

As it turns out, there’s another helpful prerequisite: An ability to read fine print in Chinese. My noontime click generated a message congratulating me for registering to try to buy a Xiaomi phone. The fine print on the website said people trying to buy a phone must first register on the site. My first true opportunity, it told me, would be next Tuesday.
有一個先決條件更能使我們成功搶購到手機：你需要具備讀懂中國文字的能力。我算好正午時間點下按鈕之後出現一個視窗，是一條恭喜資訊：小米網站祝賀我註冊成功，並可以開始嘗試搶購小米手機。網站上的中文有提示希望搶購小米手機的用戶必須先在網站進行註冊，我成功註冊以後的第一次嘗試機會變成了下週二。

Day 8第 8 天
Primed and registered, I set off with my mouse promptly at noon as if a starter’s pistol had gone off next to my ear. Two pages of options popped up on my browser. I read the Chinese as quickly as I could and clicked away.
確認註冊成功，且一切就緒以後，我又一次算準正午時分點下了滑鼠，那時的聲音就像是起跑槍的聲音從我耳邊呼嘯而過。隨後瀏覽器上出現了兩個頁面，我盡可能快速地閱讀了上面的中文資訊並隨後點了關閉。

Xiaomi’s mascot – a white rabbit named Mitu wearing a green Chinese army hat – popped up on my screen. It appeared to be running in place. The text explained that too many people were trying to buy phones too. “I’m lined up and currently moving forward with everything I’ve got,” it said.
小米的吉祥物，一隻戴著綠色中國軍帽，名為「米兔」的兔子出現在我的螢幕之上，一切看似順利。但上面的文字卻顯示目前搶購小米手機的人數已經太多，而且頁面一直顯示「正在排隊中」。

It ran with everything it had for the next 20 minutes. I wondered how long it would take for me to find out whether I had won my phone.
結果20 分鐘過去了，頁面所顯示的內容還是一樣，我當時就很好奇還需要等多久我才會知道是否搶到了手機。

A colleague, Yang Jie, walked by and sighed. “You didn’t get it, Carlos,” she said. Sure enough, the image soon changed to a Mitu gushing tears. “Sorry, we’re already sold out,” it said.
這時我一位同事Yang Jie經過並嘆了一口氣。她說：「Carlos，你沒有搶到。」果不其然，頁面隨後便出現了一隻淚水狂噴的米兔。上面寫著：「非常抱歉，我們已經售罄。」

I looked to Olivia, who shook her head. Sold out too.
我望向 Olivia 那兒，她搖了搖頭，顯然她也沒有搶到。

Day 15第 15 天
I noticed this time that Xiaomi offers potential buyers the option of ordering the Xiaomi phone for guaranteed delivery in a month. I snorted. Waiting, I decided, is for chumps. I’m not a chump. I’m a champ. Surely I can click as fast as anybody.
這次我注意到小米為潛在購買者提供了預約購買的服務，並保證在一個月內進行配送。我對此冷哼一聲。我主意已決，這種等待方案是準備給傻瓜的，但我並不是一個傻瓜，我是一個贏家，我肯定可以比別人更快點下滑鼠。

Apparently not. This time the crying Mitu quickly replaced the running Mitu. Sold out. On to next week.
結果根本事與願違，這次哭泣的米兔很快便取代跑步的米兔出現在了螢幕之上。再次售罄，只好再等到下個星期了。

But not with Olivia. Twice was enough, and she dropped out. “It’s too hard,” she said.
不過這次 Olivia 並沒有參與，因為她覺得兩次嘗試就夠了所以罷手。她說：「這太難了」。

Day 22第 22 天
I was on the phone with a colleague in Hong Kong when the trumpets from theme music of China’s national noon television broadcast blared across the newsroom. Noon! I scrambled to my open browser. Those precious seconds may have cost me. The crying Mitu mocked my inattention. Vigilance is the price of flash sales.
當時我在跟一位在香港的同事講電話，隨後我聽到了中國午間新聞的主題音樂。又到正午了！我習慣性反射地衝到開啟的瀏覽器前面，每一秒鐘都太寶貴了。哭泣的米兔再一次無情地嘲笑著我不夠投入的搶購行為。在進行秒殺搶購的時候警惕性實在是太重要了。

Day 29第 29 天
Xiaomi says it sells phones in limited batches strictly for production reasons, not to stoke demand through what’s known as scarcity marketing. “We have to monitor the demand for our smartphones, and produce our inventory accordingly, which requires us to use the flash sale model,” a spokeswoman said.
小米公司稱其之所以採用限量搶購的方式主要是由於產能問題，而並非像所傳的那樣利用所謂的「饑餓行銷」來刺激需求。「我們必須對自己智慧手機的銷量進行監控，並據此對庫存及產能進行調整，因此我們只能選擇限量搶購的模式。」小米公司的一位女發言人這麼說。

Whatever the reason, it resulted in a crying Mitu on my screen.
不管理由是什麼，最終我的螢幕上還是再度出現了一隻哭泣的米兔。

Day 36第 36 天
Hello again, you crying little lapin tease. Had I chosen to be a chump, instead of a champ, I’d have my Xiaomi by now.
再次見到了米兔的哭臉嘲諷。如果當初能自認蠢蛋，不要選擇當贏家的話，現在我應該已經把小米手機拿到手了。

Still, I wasn’t frustrated. More curious. Was it possible, in fact, to buy a Xiaomi phone?
但我並沒有感到沮喪，只是更加好奇用搶購這種方式的消費者究竟能否買到小米手機？

Day 42第 42 天
Noon on Tuesday in China came at 9 p.m. Monday at the airport in Phoenix, where I was schlepping two children from one set of grandparents to another. I thought about telling my wife I wanted to put down our luggage and pause our U.S. vacation while I try to buy a phone in China from a company that uses a militant rabbit as a mascot. I thought about the divorce proceedings. I kept silent.
中國週二的正午是美國鳳凰城（Phoenix）週一早上 9 點，當時我在鳳凰城的機場內，手上抱著兩個孩子，我剛把他們從祖父母處接回，現在正前往外祖父母的住處。當時我想要告訴太太我想放下行李並暫停我們的度假，因為我正嘗試從一家以軍裝兔子作為吉祥物的公司處搶購一台手機。只是在我想到了離婚的訴訟程序之後，我選擇了保持沉默。

Day 49第 49 天
I just plain forgot.
我壓根兒忘記了有搶購這件事情。

Day 55第 55 天
I logged into Xiaomi’s Chinese site the day before the Tuesday auction to register for the big showto be greeted with a message that the Note Pro was available for immediate sale. The Xiaomi spokeswoman later said that “we move from flash sales to open sales after we determine the exact alignment of demand and supply accordingly.” My Xiaomi would be waiting at my desk in Beijing when I returned.
我在週二的搶購開始之前就先登入小米的中文網頁，結果登入後我看到一則訊息說小米 Note Pro 已經可以即時購買。隨後小米公司的女發言人表示：「在確認了供應量能夠滿足需求量以後，我們決定將銷售方式從限量搶購調整為公開銷售。」在我回到北京的時候我的小米手機就已經躺在我桌子上等著我了。

TZ Wong, an analyst with research firm Canalys, says Xiaomi will need to broaden its distribution channels, “especially if it wants to achieve its ambitious 80 million to 100 million smartphone target for this year.” The Xiaomi spokeswoman said it doesn’t pursue market-share targets.
市場調查及研究機構Canalys 的分析師 TZ Wong 表示小米公司必須拓展其分配銷售的管道，「特別是如果他們想在今年達成 8 千萬至 1 億的銷售目標後。」但小米的女發言人稱公司並不以追求市場佔有率為目標。

My phone works fine so far. Does it work two-months’-wait fine? That’s between me and the Mitu.
目前我的手機運作的狀況一切良好，不過這支手機真的值得這兩個月的苦苦等候嗎？這個問題就留給我和米兔吧。

#高雄人 #學習英文 請找 多益達人 林立英文