DC:最近有一位聽眾來信,指他用Gmail時,遇上被中共當局人員非法入侵的情況。他指有次登入Gmail時,系統要求輸入手機號碼進行二步認證時,想選擇跳過時但系統出現停頓現象。第二次登入時,沒有再有要求輸入手機號碼進行二步認證,但系統顯示三分鐘前已經有人登入。Gmail是否保全程度不足?怎樣應付?
李: Gmail雖然保全相當強,但有可能用戶在其他方面的保全防衛不足,導致Gmail的密碼外泄,令中共當局人員可以監控你的通訊,甚至取得Gmail密碼。例如你的作業系統有木馬、你中了一些釣魚電郵,將你的Gmail密碼外泄,甚至你的瀏覽器加密算式和強度不足,令你的密碼被中共當局截取。
因此,如果要Gmail安全的話,遇上以上古怪現象的話,應儘早在另一部安全機器上更改Gmail密碼,並利用一個安全的電話號碼進行二步認證設定。如果仍然有這個現象,就可能要棄用現有戶口,並利用另一個戶口通知谷歌有保全問題。
除此以外,IE是一個並不安全的瀏覽器,如果你的瀏覽器安裝了不少插件的話,那你不應用IE來登入Gmail,而是利用Chrome或Firefox一類的瀏覽器登入Gmail。
DC:除了加強作業系統層面的安全,以及改用其他瀏覽器,還有什麼辦法去確保Gmail的安全?
李:如果你用Chrome,有一個叫SecureGMail的插件可以用,當你安裝這個插件後,就只有持有密碼並安裝了SecureGmail插件的收件人才可以解讀電郵,多了這一重保障,就不怕中共當局監控你的電郵。而這插件是免費的,安裝亦十分容易,只要利用Chrome瀏覽SecureGMail網頁並按安裝插件的按鍵,一切便大功告成。
在安裝SecureGmail插件後,你利用Chrome登入Gmail時,有兩個撰寫郵件的按掣,一個有鎖,一個沒有鎖,你選擇有鎖的新電郵按鍵,然後照常撰寫電郵,最後傳送時系統會問你加密密碼,在輸入加密密碼後,插件就會加密郵件,就算有中共當局監控也不怕。
使用SecureGMail的唯一問題,那是如何把你的密碼安全地送給收件人,因此這方法適合傳送電郵到經常用到的一些敏感收件人,然後以親身接觸,或用其他不為中共當局攔截的方式將加密密碼送給對方。我們並不建議用手機短訊傳給地方,因為中共當局有可能攔截你的手機短訊。利用Skype或Whatsapp一類軟體將密碼傳給對方,那就相對安全得多,因為Skype和Whatsapp都有加密。
DC:除了用Gmail,還有什麼電郵服務是相當安全,中共當局難以解破?
李:加拿大的Hushmail,是有名的加密電郵服務,一直以來都以可靠著稱,Hushmail所使用的PGP加密方法,至今仍是主流的加密方式,不少企業以至個人都使用PGP加密文件或重要檔案,但Hushmail需要繳付三十四美元的年費,這對不少聽眾就比較麻煩,而且中共當局亦有可能封鎖這類經加密的電郵服務,如未翻牆就連接不了Hushmail的主機。因此,要用Hushmail的話,你需要先翻牆,再利用並非中國國有銀行的信用卡或扣帳卡購買服務,這樣是最安全的加密方法。如果你在海外有親友的話,可以考慮選擇由親友代付相關費用,那被中共當局追查的可能性那就會最小。
