0

0
0

文字

分享

0
0
0

聖經密碼、蓋勒數11,以及圓周率的必然性-《不大可能法則》

PanSci_96
・2015/01/05 ・3644字 ・閱讀時間約 7 分鐘 ・SR值 549 ・八年級

-----廣告,請繼續往下閱讀-----

不大可能法則書封我們剛才討論的現象其實隨處可見,例如某地或某段時間,連續有人自殺、底片出現密集的銀斑、瑞典炎症性腸病患者的生日集中在某些日期、礦物晶體瑕塊、電話通訊瞬間的高峰,以及天體資料庫裡的團星系等。

這些都是群聚事件的例子,不過其他模式也是如此。只要機會夠多,任何模式都會發生,這就是巨數法則。

聖經密碼是一個比較神奇的例子。據說希伯來文聖經藏有預言未來的神祕訊息,例如有人發現創世紀從第一個字母t開始,每隔五十個字母挑出來湊成一個字,正好是希伯來文的torah(摩西五經)。這個發現由來已久,其他聖書也有類似的傳言,連基督教和伊斯蘭教的典籍也不例外。然而一九九○年代,世人突然對這個現象非常熱中,因為美國記者邁可‧卓斯寧(Michael Drosnin)該年出版了《聖經密碼》(The Bible Code)。可惜我們得向卓斯寧說聲抱歉,因為巨數法則告訴我們其實沒有神祕訊息,只要搬出不大可能法則就能解釋了。

由於聖經包含大量字母,不難找到具有意義的組合。我可以用手指隨便點聖經裡的任何一個字,然後開始尋找各種可能的模式。例如,我可以採用「等距字母序列」法,以水平、垂直或對角線(只要每一頁各行的字對得起來)的方式,每隔幾個字母就挑出一個。由於可能挑出的字母序列和模式為無限多,要是沒有任何有意義的序列出現,才令人奇怪呢!事實上,要是真的找不到任何有意義的字母序列,不是證明事有蹊蹺,就是你找得不夠仔細!

-----廣告,請繼續往下閱讀-----

我認為狄更斯(Charles Dickens)在《匹克威克外傳》(The Pickwick Papers)第四章藏了英文fate(命運)這個字,只要每三個字母(空格也算)挑出一個,就會發現,例如:「the most awful and tremendous discharge that ever shook the earth」。第五章則是藏了 doom(厄運)這個字,就在「closed upon your miseries」這一段。為了找點樂子,我一邊寫這本書一邊留意,發現help(救命)這個字就藏在第二章「同時性和形態共振」那一節的「than he could explain by chance」這段話裡,分別相隔四個字母。另外,help 還出現在上一節的「that we would expect to see」,同樣相隔四個字母。help 出現了兩次,顯然有人躲在我的書裡求我救他!

在古籍或現代書本中尋找隱藏的模式,是尋找祕密訊息的一種方式。還有一種則是數字學,或稱作生命密碼。

數字學是研究數字的奧祕與魔力的學問。可惜這麼做只會白費力氣,因為事實很簡單,數字根本不具有神奇的力量。事實上,根據定義,數字只有一個性質,就是大小。這正是數字的意義所在。數字是一種抽象的概念,是三隻羊、三聲叫喊和三分鐘共有的性質。然而從古到今,不斷有人賦予數字神祕的意義。直到現在,我們依然有「幸運」數字的概念。

數字學有許多例子都是以出現同樣數字的巧合為基礎。但我們已經觀察到,依據巨數法則,只要找得夠久、夠多,這類巧合應該會發生。

-----廣告,請繼續往下閱讀-----

我就用一個例子來說明數字學的荒謬吧。第二章提到的幻術師尤里‧蓋勒對於11.11這個數字序列非常著迷,認為它經常出現在他的生活裡[1]。問題是,以他接觸大眾的頻繁程度,巨數法則很可能在他身上發揮效用。他說:「最近幾年,我收到如雪片般飛來的電郵,跟我說他們也發現同樣的事情。例如我收到一位朋友來信,裡面附了一張登機證的相片,號碼就是111,而且在飛機上,他前方那堵牆上有一組數碼『湊巧』是11.11,而登機閘門的編號是11。這全都發生在飛往塞普勒斯的同一班飛機上。」然而,你應該知道出現這種數字組合的機會其實非常高,而且蓋勒的朋友不會寄電郵向他報告所有不是這個組合的例子。

發生在美國世貿大樓的九一一攻擊事件,讓蓋勒再次有機會施展數字學(雖然我不是很理解他說「有太多的11.11環繞著這個可怕悲劇,讓我心中充滿希望,在這場攻擊中不幸喪命的人並未白白犧牲」是什麼意思)。他發現:[2]

  • 攻擊日期:九月十一日。9+1+1=11。
  • 九月十一日到年底(十二月三十一日)還有111天。
  • 九月十一日是一年的第兩百五十四天。2+5+4=11。
  • 峇里島爆炸案發生在九一一攻擊事件之後,相隔一年一個月又一天。
  • 撞入世貿大樓的第一架飛機是美國航空第十一號班機,而美國航空代號是AA,A是英文第一個字母,因此我們又得到11.11。
  • 美國航空第十一號班機上,有十一名機組員。
  • 聯合航空一七五號班機上,有六十五人。6+5=11。
  • 紐約州是第十一個加入聯邦的州。
  • 五角大廈動工日為一九四一年九月十一日。
  • 世貿中心從一九六六年興建至一九七七年完工,花了十一年。

蓋勒說得沒錯,這些數字「很古怪、詭異、不可思議」,但也許不是他所指的那個意思。他還說:「我很難想像,有人見到這麼多巧合而不好奇的。」然而,尋找特殊的數字組合和它們出現的場合,只是讓巨數法則向上提升,變成超巨數法則而已。找不到這種組合反而奇怪,只代表我們的想像力還不夠。你要是想打發時間,不妨自己挑一組數字來試試。別忘了利用谷歌,它是最好的工具。

講完了奇幻數字學,讓我們回到天平的另一端,來看看圓周率的小數位展開。

-----廣告,請繼續往下閱讀-----

圓周率(π)是一個很不尋常的數字,不少人寫了一整本書來談它。不過就我們所要討論的範圍,只需將它展開後的小數點後數字視為從零到九的隨機數列即可。[3]π的小數點後一百位為:

3.141592653589793238462643383279502884197169399375105820974944592307816406286208998628034825342117067

由於數字看來是隨機的,無論從哪一點開始,都無法預測下一個數字,因此任何數列都可能出現。當然,找到這串數列可能需要很久,尤其數列很長的時候。事實上,我們可以算出圓周率小數點後一億位以內,出現長度為t的某特定數列的機率為何。例如,在這一億位數字裡找出長度為5(即五位數)的某數列的機率為一。換句話說,所有可能的五位數組合,都可以在這一億個數字裡面找到。同理,百分之六十三的八位數組合,可以在這一億個數字裡找到。也就是說隨機挑選一個八位數的數列,在這一億個數字之中找到的機率為
○﹒六三。

如果將圓周率小數點後第一位設為一號位,第二位為二號位,依此類推,那麼我的生日以日月年的順序寫成數列時,將出現在第60,722,908號位。[4]

-----廣告,請繼續往下閱讀-----

另一個比較複雜的現象,稱為「自定位」(self-locating)數列。數字學家看到這種數列,肯定會如獲至寶,但對我們來說,這只證明了巨數法則的威力而已。延續上一個例子的定義,所謂的「自定位」數列就是,數值正好和它所在位置一樣的數列。例如圓周率小數點後的自定位數列包括:

1(因為π=3.14159…)
16470(換句話說,數列16470出現在圓周率小數點後的16470號位)
44899
79873844

第十章討論宇宙的起源與性質時,還會提到數字的巧合。不過,我們先來看看數字巧合正好具有意義且反映出背後結構的例子。

數學有一個分支叫作群論(group theory),主要在研究對稱,以及如何改動一個物體讓它看起來和原本的一模一樣。例如將正方形旋轉九十度,所得到的正方形,看起來跟原來的正方形一樣。同理,將正方形沿著對角線翻轉一百八十度,所得到的正方形還是跟原來的一樣,無法區分。群論將這種現象推到極致,在各式數學物件中尋找這類對稱。其中一個名字很炫,叫作「怪獸」,擁有8×1053個對稱元素(這個數字大約等於組成木星的基本粒子種類)。一九七○年初期開始,有人預言「怪獸」存在。到了一九七八年,研究顯示如果真有「怪獸」,這個奇特的結構將存在於非常多次元的空間裡:196,883次元空間。

英國數學家約翰‧麥凱(John McKay)之前就研究過「怪獸」。但一九七八年十一月,他讀的是完全不同的東西:數論(number theory)。數論和數字學不一樣,是研究整數的學問。數論和群論是完全不同的領域,因此當他看見數論裡也有196,883這個數字時,不禁嚇了一跳。他感覺這兩個完全不同的領域,似乎有著之前未曾發現的關聯。他的發現引來數學界的一股淘金熱,積極尋找這個巧合背後的解釋。

-----廣告,請繼續往下閱讀-----

不過,兩者的關聯實在難尋。英國知名數學家約翰‧康威(John Conway)也參與了研究,並且用「月光」(Moonshine)一詞稱之:「那感覺就像神祕的月光照亮了正在跳舞的愛爾蘭小精靈。」—誰說數學家沒有一顆詩人的心?

數學家馬克‧羅南(Mark Ronan)寫過一本書介紹「怪獸」的發現過程,以及數學家在群論和數論這兩個看似無關的領域之間尋找關聯的故事。羅南說道:「帶領我們發現怪獸的方法雖然精妙絕倫,卻無法讓我們洞悉怪獸的驚人本質。直到我們發現怪獸和數論之間有著古怪的巧合,並且和弦論有關,我們才看出了一些端倪。如今,怪獸和數論之間的月光關聯被放在更大的理論框架之下。這些數學領域和基礎物理之間有著深刻的連結,但我們依然未能掌握這個連結的意義。我們發現了怪獸,但它仍是個謎。充分瞭解怪獸,就能掌握宇宙的結構。」[5]

因此,巧合的背後有時候的確有其原因,就像污染物造成的疾病群聚、顯示希格斯玻色子存在的粒子數量異常,以及產生怪獸的那個東西。然而,巨數法則告訴我們,只要我們尋找的地方夠多,不大可能法則就會讓我們尋找的古怪組合的出現機率大於一半,甚至遠超過百分之五十。

本文選自《不大可能法則》,大塊文化出版

-----廣告,請繼續往下閱讀-----

參考資料:

  1. Uri Geller, “11.11,” September 17, 2010, http://site.uri-geller.com/11_11.
  2. 同前註。
  3.  這裡的「隨機」有特定的意義,表示每個數字(零到九)出現頻率為十分之一,每對數字(零零到九九)出現頻率為百分之一,每三個數字(零零零到九九九)出現頻率為千分之一,依此類推。而圓周率小數點後的數字沒有窮盡,而且永不重複。
  4.  想知道你的生日出現在圓周率小數點後的哪一個位置,請參考以下這個非常棒的網站:www.angio.net/pi/piquery。
  5.  Mark Ronan, Symmetry and the Monster: One of the Greatest Quests of Mathematics (Oxford: Oxford University Press, 2006).
-----廣告,請繼續往下閱讀-----
文章難易度
PanSci_96
1262 篇文章 ・ 2399 位粉絲
PanSci的編輯部帳號,會發自產內容跟各種消息喔。

0

2
1

文字

分享

0
2
1
上網也要有「技術」!從言論、隱私到國安,你我都該懂的界線
鳥苷三磷酸 (PanSci Promo)_96
・2024/12/18 ・2366字 ・閱讀時間約 4 分鐘

-----廣告,請繼續往下閱讀-----

本文由 國家通訊傳播委員會 委託,泛科學企劃執行。 

以為鍵盤俠天下無敵?小心一個不留神就觸法!人們常忽略「網路並非法外之地」這個重要事實。不只現實生活中的法律同樣適用於網路空間,隨著科技發展,更多應網路特性而生的法律規範也相繼出現。從基本的言論自由到隱私權保護,從智慧財產權到國家安全,法律體系正全面性地回應數位時代的種種挑戰。

在臺灣,網路上的言論自由權利源自《憲法》第 11 條的明確規定:「人民有言論、講學、著作及出版之自由。」釋字第 509 號則指出,「國家應給予最大限度之維護,俾其實現自我、溝通意見、追求真理及監督各種政治或社會活動之功能得以發揮。」網路快速傳播的特性放大了言論的影響力,而大法官的解釋將言論自由的邊際刻畫得更明確,這在數位時代裡顯得格外重要。

網路與社群媒體的快速傳播,放大了言論的影響力。圖/unsplash

網路上的性、暴力與未成年保護

顯然言論自由並非是毫無限制,2023 年 11 月的一起案件就展現其中一種界線的樣貌。當時,一名 36 歲男子將他和網友在網咖的性愛影片上傳至推特,還寫下「《網咖包廂實戰計 1》我跟某公司 OL 戰鬥」等文字。這段影片一經發布,當事女子立即採取法律行動。最終,法院依其以網際網路「供人觀覽猥褻影像」的罪名,判處該名男子拘役 30 日,得易科罰金。這個判決清楚說明了,即便在虛擬空間,散布猥褻影像仍須承擔實質的法律責任。

-----廣告,請繼續往下閱讀-----

特別是在保護未成年人方面,法律的規範更加嚴格。《刑法》第 235 條明文禁止散布、播送或販賣猥褻物品,無論形式是圖文、聲音還是影像。而《兒童及少年性剝削防制條例》第 36 條更進一步禁止任何形式的兒童色情製品被製造、散布和持有。2019年彰化縣曾層發生過這樣一起案件:一名陳姓中年男子將9歲女童帶往居所,不僅強迫她觀看色情影片,還對她進行猥褻行為,甚至將過程上傳至 Google 雲端。儘管他後來試圖以資助女童就學表達悔意,法院仍以加重強制猥褻等罪,判處他 4 年 4 個月有期徒刑。

不實言論的散布同樣可能觸犯法律。2021 年 9 月爆發的「台大狼師案」就是一個警示。一名女大生在網路上指控教師誘騙她發生關係並傳染性病,幾個月後又指控對方對她進行強制性行為。當她提出告訴時,檢方卻查無性侵事實,加上她反覆的說詞,不僅性侵告訴失敗,還因誹謗罪反被加重判刑。

當駭客、間諜都轉戰網路戰場

2013 年,一名退役空軍上校赴陸經商時被情治單位吸收,返台後透過人脈網絡發展組織、刺探軍事機密,並以空殼公司掩護非法報酬,這個情報網持續運作了 8 年之久。

在涉及國家安全的議題上,法律的態度更是嚴厲。根據《國家安全法》第 2 條的規定,任何人都不得為境外敵對勢力及其控制的組織、機構進行資助、主持、操縱、指揮或發展組織,更不能洩漏、交付或傳遞公務機密,違反者將面臨嚴厲的刑事處罰。《刑法》規定,意圖破壞國體、竊據國土,或以非法方法變更國憲、顛覆政府者,處7年以上有期徒刑,首謀更要判處無期徒刑。

-----廣告,請繼續往下閱讀-----

抄襲與轉貼的邊界在哪裡?

在智慧財產權的保護上,臺灣也經歷了數位時代的轉變。台灣第一個網路著作權相關判決,就發生在傳統出版與數位平台的碰撞之中。南方社區文化網路負責人陳豐偉等三人在中山大學 BBS 上發表的文章,未經同意就被《光碟月刊》收錄在隨刊光碟中發行。三人向台北地檢署提告後,《光碟月刊》發行人兼總經理黃俊義被判處七個月有期徒刑,緩刑三年。這個判決為數位時代的著作權保護樹立了重要典範。

臺灣首例網路著作權案判決,為數位時代智慧財產權保護樹立典範。圖/envato

近年來,影音平台的著作權爭議更趨複雜。2022 年,知名 YouTube 頻道「觸電網」就因為片商車庫娛樂檢舉七十多支未經授權的影片,導致經營 12 年的頻道被迫下架。車庫娛樂透過律師聲明,這是針對「未經合法授權影音內容」的標準處理,並表明將追究民事與刑事責任。

受害了怎麼辦?申訴管道報你知

當我們在網路上的權利受到侵害時,可以根據侵害類型尋求不同的救濟管道。最基本的言論自由權利受到侵犯時,可以先向社群平台提出檢舉。若遇到更嚴重的情況,如散布猥褻影像、非法性私密影片等,除了平台檢舉外,還可以向警方提告,或是尋求衛福部「性影像處理中心」的協助。

在面對網路霸凌、不實言論時,可以向台灣事實查核中心、MyGoPen 等組織求助,協助澄清真相。若發現有害兒少身心健康的不當內容,則可以向 iWIN 網路內容防護機構提出申訴。這個由國家通訊傳播委員會支持的組織,會在受理後進行查核、轉介業者改善或依法處理。

-----廣告,請繼續往下閱讀-----

智慧財產權的侵害在網路時代極為常見,就像「觸電網」遭片商檢舉下架的案例。這類情況可以透過平台既有的著作權保護機制處理,情節嚴重者也可以提起民事訴訟要求賠償。若發現可疑的廣告或不公平交易行為,則可以向公平交易委員會檢舉;若是特定領域的違規內容,則應該向各該主管機關反映,例如藥品廣告歸衛福部管轄、證券期貨廣告則由金管會負責。

網路時代的法律規範正不斷演進,從個人隱私到國家安全,從言論自由到智慧財產權,每個面向都在尋求數位環境下的最佳平衡點。作為網路使用者,我們必須理解並遵守這些法律界線,同時也要懂得運用各種救濟管道保護自身權益。唯有每個人都清楚了解並遵守這些規範,才能共同營造一個更安全、更有序的網路環境。

-----廣告,請繼續往下閱讀-----
文章難易度

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
222 篇文章 ・ 313 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

0

1
0

文字

分享

0
1
0
當心網路陷阱!從媒體識讀、防詐騙到個資保護的安全守則
鳥苷三磷酸 (PanSci Promo)_96
・2024/12/17 ・3006字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

本文由 國家通訊傳播委員會 委託,泛科學企劃執行。 

網路已成為現代人生活中不可或缺的一部分,可伴隨著便利而來的,還有層出不窮的風險與威脅。從充斥網路的惡假害訊息,到日益精進的詐騙手法,再到個人隱私的安全隱憂,這些都是我們每天必須面對的潛在危機。2023 年網路購物詐欺案件達 4,600 起,較前一年多出 41%。這樣的數據背後,正反映出我們對網路安全意識的迫切需求⋯⋯

「第一手快訊」背後的騙局真相

在深入探討網路世界的風險之前,我們必須先理解「錯誤訊息」和「假訊息」的本質差異。錯誤訊息通常源於時效性考量下的查證不足或作業疏漏,屬於非刻意造假的不實資訊。相較之下,假訊息則帶有「惡、假、害」的特性,是出於惡意、虛偽假造且意圖造成危害的資訊。

2018 年的關西機場事件就是一個鮮明的例子。當時,燕子颱風重創日本關西機場,數千旅客受困其中。中國媒體隨即大肆宣傳他們的大使館如何派車前往營救中國旅客,這則未經證實的消息從微博開始蔓延,很快就擴散到各個內容農場。更令人遺憾的是,這則假訊息最終導致當時的外交部駐大阪辦事處處長蘇啟誠,因不堪輿論壓力而選擇結束生命。

-----廣告,請繼續往下閱讀-----

同年,另一則「5G 會抑制人體免疫系統」的不實訊息在網路上廣為流傳。這則訊息聲稱 5G 技術會影響人體免疫力、導致更容易感染疾病。儘管科學家多次出面澄清這完全是毫無根據的說法,但仍有許多人選擇相信並持續轉發。類似的例子還有 2018 年 2 月底 3 月初,因量販業者不當行銷與造謠漲價,加上媒體跟進報導,而導致民眾瘋狂搶購衛生紙的「安屎之亂」。這些案例都說明了假訊息對社會秩序的巨大衝擊。

提升媒體識讀能力,對抗錯假訊息

面對如此猖獗的假訊息,我們首要之務就是提升媒體識讀能力。每當接觸到訊息時,都應先評估發布該消息的媒體背景,包括其成立時間、背後所有者以及過往的報導記錄。知名度高、歷史悠久的主流媒體通常較為可靠,但仍然不能完全放下戒心。如果某則消息只出現在不知名的網站或社群媒體帳號上,而主流媒體卻未有相關報導,就更要多加留意了。

提升媒體識讀能力,檢視媒體背景,警惕來源不明的訊息。圖/envato

在實際的資訊查證過程中,我們還需要特別關注作者的身分背景。一篇可信的報導通常會具名,而且作者往往是該領域的資深記者或專家。我們可以搜索作者的其他作品,了解他們的專業背景和過往信譽。相對地,匿名或難以查證作者背景的文章,就需要更謹慎對待。同時,也要追溯消息的原始來源,確認報導是否明確指出消息從何而來,是一手資料還是二手轉述。留意發布日期也很重要,以免落入被重新包裝的舊聞陷阱。

這優惠好得太誇張?談網路詐騙與個資安全

除了假訊息的威脅,網路詐騙同樣令人憂心。從最基本的網路釣魚到複雜的身分盜用,詐騙手法不斷推陳出新。就拿網路釣魚來說,犯罪者通常會偽裝成合法機構的人員,透過電子郵件、電話或簡訊聯繫目標,企圖誘使當事人提供個人身分、銀行和信用卡詳細資料以及密碼等敏感資訊。這些資訊一旦落入歹徒手中,很可能被用來進行身分盜用和造成經濟損失。

-----廣告,請繼續往下閱讀-----
網路詐騙手法不斷進化,釣魚詐騙便常以偽裝合法機構誘取敏感資訊。圖/envato

資安業者趨勢科技的調查就發現,中國駭客組織「Earth Lusca」在 2023 年 12 月至隔年 1 月期間,利用談論兩岸地緣政治議題的文件,發起了一連串的網路釣魚攻擊。這些看似專業的政治分析文件,實際上是在臺灣總統大選投票日的兩天前才建立的誘餌,目的就是為了竊取資訊,企圖影響國家的政治情勢。

網路詐騙還有一些更常見的特徵。首先是那些好到令人難以置信的優惠,像是「中獎得到 iPhone 或其他奢侈品」的訊息。其次是製造緊迫感,這是詐騙集團最常用的策略之一,他們會要求受害者必須在極短時間內作出回應。此外,不尋常的寄件者與可疑的附件也都是警訊,一不小心可能就會點到含有勒索軟體或其他惡意程式的連結。

在個人隱私保護方面,社群媒體的普及更是帶來了新的挑戰。2020 年,一個發生在澳洲的案例就很具有警示意義。當時的澳洲前總理艾伯特在 Instagram 上分享了自己的登機證照片,結果一位網路安全服務公司主管僅憑這張圖片,就成功取得了艾伯特的電話與護照號碼等個人資料。雖然這位駭客最終選擇善意提醒而非惡意使用這些資訊,但這個事件仍然引發了對於在社群媒體上分享個人資訊安全性的廣泛討論。

安全防護一把罩!更新裝置、慎用 Wi-Fi、強化密碼管理

為了確保網路使用的安全,我們必須建立完整的防護網。首先是確保裝置和軟體都及時更新到最新版本,包括作業系統、瀏覽器、外掛程式和各類應用程式等。許多網路攻擊都是利用系統或軟體的既有弱點入侵,而這些更新往往包含了對已知安全漏洞的修補。

-----廣告,請繼續往下閱讀-----

在使用公共 Wi-Fi 時也要特別當心。許多公共 Wi-Fi 缺乏適當的加密和身分驗證機制,讓不法分子有機可乘,能夠輕易地攔截使用者的網路流量,竊取帳號密碼、信用卡資訊等敏感數據。因此,在咖啡廳、機場、車站等公共場所,都應該避免使用不明的免費 Wi-Fi 處理重要事務或進行線上購物。如果必須連上公用 Wi-Fi,也要記得停用裝置的檔案共享功能。

使用公共 Wi-Fi 時,避免處理敏感事務,因可能存在數據被攔截與盜取的風險。圖/envato

密碼管理同樣至關重要。我們應該為不同的帳戶設置獨特且具有高強度的密碼,結合大小寫字母、數字和符號,創造出難以被猜測的組合。密碼長度通常建議在 8~12 個字元之間,且要避免使用個人資訊相關的詞彙,如姓名、生日或電話號碼。定期更換密碼也是必要的,建議每 3~6 個月更換一次。研究顯示,在網路犯罪的受害者中,高達八成的案例都與密碼強度不足有關。

最後,我們還要特別注意社群媒體上的隱私設定。許多人在初次設定後就不再關心,但實際上我們都必須定期檢查並調整這些設定,確保自己清楚瞭解「誰可以查看你的貼文」。同時,也要謹慎管理好友名單,適時移除一些不再聯繫或根本不認識的人。在安裝新的應用程式時,也要仔細審視其要求的權限,只給予必要的存取權限。

提升網路安全基於習慣培養。辨識假訊息的特徵、防範詐騙的警覺心、保護個人隱私的方法⋯⋯每一個環節都不容忽視。唯有這樣,我們才能在享受網路帶來便利的同時,也確保自身的安全!

-----廣告,請繼續往下閱讀-----
文章難易度

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
222 篇文章 ・ 313 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

0

3
2

文字

分享

0
3
2
密碼怕被盜,不用密碼驗證反而更可靠? Passkeys 甩開帳密規則
PanSci_96
・2023/03/18 ・2610字 ・閱讀時間約 5 分鐘

-----廣告,請繼續往下閱讀-----

永豐銀行在過年期間傳出多位卡友信用卡被盜刷,而且明明都使用 OTP 一次性密碼驗證了,卻還是難逃駭客魔爪。難道,我們已經沒有安全的交易方法了嗎?

好消息是,Google 、 Apple 、 Microsoft 都不約而同宣布導入「Passkeys」無密碼驗證技術,只要使用生物辨識,使用者不需要再創作密碼,大幅減少被破解或是被側錄盜帳號的機率。

Passkeys 用作原理

也許你會提出疑問,指紋登入不是早就有了嗎?又與二階段驗證(Two-Factor Authentication, 2FA)看上去十分類似,這套「無密碼驗證」機制,我們真的可以相信嗎?

首先,我們先來釐清Passkeys 的運作原理。在 Passkeys 的運作之中,一共有三個重要的角色:使用者 Device、平台供應商 Authenticator、應用服務 Relying Party。

-----廣告,請繼續往下閱讀-----

在第一次申請 Passkeys 功能並使用生物驗證時,便會生成一組對應的公鑰與私鑰,公鑰存放在應用服務端(如:網路銀行)、而私鑰則保存在使用者的硬體裝置上(如:手機);每當未來要進行 Passkeys 登入時,應用程式便會發起一個驗證請求,要求使用者利用裝置內的私鑰進行簽章,以證明自己的身分。

當然,為了確保當下持有手機的是使用者本人,手機裝置就會要求透過指紋等生物驗證機制,完成識別後,再使用裝置內的私鑰進行簽章回傳給應用服務,應用服務端則利用他們所持有的公鑰,來驗證簽章的效力。

我們可以把登入情境變成一張如下的邏輯架構:

密碼與鑰匙

更進一步討論,就得要先知道「公開金鑰密碼」(Public Key Cryptography, PKC)與「公鑰」(Public Key)、「私鑰」(Private Key)的概念。

-----廣告,請繼續往下閱讀-----

一般所說的「加密」概念,就是希望只有對方能夠「解密」。

早期的「對稱式密碼學」,在加密和解密時均使用同一把鑰匙,如此一來便衍生了一個小問題——多了一個「額外的秘密」需要被傳遞,這樣既麻煩也不安全。

後來就出現了「非對稱密碼學」,也就是前述提到的公開金鑰密碼學。在這個理論中將用到兩把不同的鑰匙——「公鑰」及「私鑰」;私鑰僅留存給使用者,公鑰則是公開給所有人。演算法分別使用這兩把鑰匙進行加密與解密,具有單向、無法回推等特徵。

「加密」概念就是希望只有對方能夠用「鑰匙」「解密」。圖/Envato Elements

如此一來,可以達到不同的應用方式:

-----廣告,請繼續往下閱讀-----

第一種是「傳遞秘密」,每個人都持有一把自己的私鑰、向大家公開一把成對的公鑰,任何人都可以「用公鑰加密訊息」給我、並且只有我可以「用私鑰解密訊息」看到秘密訊息的內容。

第二種常見的應用方式則是 Passkeys 架構中所用到的「數位簽章」。數位簽章的邏輯正好和傳遞秘密相反:「用私鑰加密簽章」並「用公鑰解密驗章」;如此一來,任何人都能持有的公鑰,便能用以驗證訊息是否確實由世上唯一擁有私鑰的使用者所簽名發出。

重新回來看 Passkeys 的架構,就不難理解為什麼 Passkeys 在不使用密碼的前提下,也能透過裝置上的私鑰,來向應用服務進行身分驗證。當然,Passkeys 的安全與強大之處並不只在於公鑰密碼系統,而是可以完全擺脫掉「帳號密碼」的概念,進而避免非常多的威脅。

從根本上解決問題

一般來說,在登入帳號時所使用的「密碼」,並不會直接被明文儲存在應用服務的伺服器裡,會透過編碼、雜湊、加密等各種方式進行儲存。

-----廣告,請繼續往下閱讀-----

即便如此,太過簡單的弱密碼容易被暴力或查表破解。此外,駭客也可以透過網站釣魚(Phishing)或鍵盤側錄(KeyLogger)等方式偷取使用者的密碼,再轉手將偷來的資訊傳給應用服務進行中間人攻擊(Man-in-the-Middle Attack);常見的簡訊驗證碼等二階段驗證方式,也可能受此攻擊的影響。

Passkeys 則從根本上解決了釣魚網站的威脅。存在使用者裝置中的 Passkeys 並不僅是一把私鑰,它連帶也儲存了應用服務網址、使用者帳號等資訊;無論釣魚網站做的與原服務有多相像,只要來源並非原本的服務網站,Passkeys 功能就不會被啟動,駭客自然就無法執行驗證或偷取到任何資訊。

而在跨裝置登入上,流程會是:使用者在筆電上開啟應用服務網站,選擇以 Passkeys 登入,網站會跳出一個 QRCode,使用者只要用存有私鑰的那隻手機掃描 QRCode,便會開啟 Passkeys 功能,讓使用者透過生物驗證完成登入。

手機掃描 QRCode 便會開啟 Passkeys 功能。圖/Envato Elements

這個過程不需要用到任何的「帳號」,因為 Passkeys 本身就儲存了使用者是誰的身分資訊,而使用 Passkeys 跨裝置登入時需要掃描 QRCode 來啟動的這一點,是為了避免駭客利用來進行中間人攻擊;Passkeys 要求這兩個裝置之間必須有藍牙連接,也就是必須在一定的物理範圍之內,裝置之間才能夠順利啟動 Passkeys 認證。

-----廣告,請繼續往下閱讀-----

帶來的便利

對一般使用者來說,除了安全性以外,便利性也非常重要。

前述提及 Passkeys 的無密碼驗證機制,其實就等同於讓「裝置」擁有代表使用者本人的效力,那麼,若裝置不慎遺失、還能簡單地取回自己的身分嗎?答案是可以的。

使用者與提供 Passkeys 功能的平台供應商之間,原則上本來就會有相互驗證的方式,例如本來的帳號密碼登入、或者是額外的找回帳號機制,透過這些方式找回並登入帳號後,就可以進行設置,停用舊有 Passkeys 或啟用新的 Passkeys。

此外,Passkeys 提供多裝置同步私鑰的功能,以使用者對平台提供商的信任為前提,平台可能會在其雲端中儲存使用者的私鑰,以便在使用者需要的時候,可以將該私鑰輕鬆地同步到相同作業系統的其他裝置上,讓使用者也可以利用平板或電腦等裝置進行驗證登入。

-----廣告,請繼續往下閱讀-----
Passkeys 帶來的便利性,可謂使用者的一大福音。圖/Envato Elements

另外,使用不同作業系統的裝置,一樣能用原本的私鑰登入;系統會在新的裝置上生成一組新的公私鑰繼續運作。也就是說,不管你是 Android 轉 iOS,還是 iOS 轉 Android,都不需重新設定,對使用者來說,可謂一大福音!

歡迎訂閱 Pansci Youtube 頻道 獲取更多深入淺出的科學知識!

-----廣告,請繼續往下閱讀-----
PanSci_96
1262 篇文章 ・ 2399 位粉絲
PanSci的編輯部帳號,會發自產內容跟各種消息喔。