早前拾捌堂提及Zoom有很大的安全漏洞,連創辦人袁征(Erin Yuan)也急不及待在Blog上解話致歉!面對外界多番指控,Zoom近日高調宣布加強保安漏洞,究竟該公司如何確保使用者的資料不再外洩?使用者怎樣做才可以保障自己?
聲稱加入了256AES加密
據Zoom官網發表一項白皮書描述,Zoom已經引入了256位元的AES(Advanced Encryption Standard)演算法,用於應用程式層,把所有內容包括使用者資料、會議室資料等加密。該白皮書也有提及128位元的AES加密,但據加拿大大學「The Citizen Lab」研究學者的發現,指出 Zoom 在會議進行時有機會使用到 AES-128 方式作為數據加密,卻非Zoom宣稱更強的AES-256。而AES-256僅被應用在手機SIP註冊認證及VoIP上。
這些研究人員指出,在基於電子密碼本(Electronic CodeBook,ECB)模式的Zoom會議中,所有參與者都是使用單一的AES-128金鑰,用於加密畫面與音訊。從此可見,Zoom雖然單方面聲稱加強了保安,但實際上卻仍然有待改進,所以使用者都必須小心使用。
加入密碼強化保安
自從4月5日開始,Zoom已經實施了「雙密碼認證」(two meeting password setting),防止不束之客進入別的會議室裡進行竊聽。林老師在三月頭已經對小編說很奇怪,為何不用密碼就可Join a meeting,萬一有人知道條開會Link 入去搞事怎麼辦? 另一方面,Zoom亦加入了「Waiting Room」功能,主持人可以先在Waiting Room等審視所有與會者,認證每位與會者的身份,防止任何人借著Zoom的會議Link或憑著ID進行「白撞」,藉此盜取資料。
早前有不少外媒批評這種現象為「Zoombombing」,意思是黑客藉一些Zoom會議link或會議ID,白撞從而駭入電腦或流動裝置。
使用Zoom 5大小貼士
雖然Zoom有如此多的漏洞,但始終在疫情擴散的世界裡,不能避免使用,那麼怎麼辦?其實你們參考以下使用Zoom的5大小貼士,可以保障你使用時的網絡安全(Cybersecurity):
- 主持人只向與會者分享會議ID和網址、
- 設立不同的ID和密碼,並在另一場會議後使用另一組密碼、
- 禁用join before host選項,主持人應先預先識別與會者、
- 善用等候室功能(Waiting Room),控制誰可登入會議、
- 如Zoom ID連結你的其他帳戶,應只作個人使用。
你們在使用Zoom時,謹記以上貼士,就可以幫助你們提升網絡保安級別。其實有不少企業都使用Cisco和Microsoft Teams,除了會議質素更高,保安上更有保證,想了解更多,馬上點擊!
三大編輯精選
【 新冠 肺炎】Splashtop齊心撐香港抗疫!免費Home Office神器助你1秒屋企變辦公室!