2020年4月20日 星期一

Zoom 和其他視訊工具的資安小技巧


近日視訊會議軟體 Zoom 出現資安疑慮。本篇文章整理了使用 Zoom 該留意的資安事項,提供給正在使用的 NPO 夥伴,同時這些設定和功能也適用於其他視訊軟體和工具。隨著越來越多人 WFH(在家工作)、使用視訊軟體來舉辦會議,相關的惡意攻擊和行為也慢慢浮現,所有組織的夥伴們和與會用戶,學習並隨時保持良好的使用習慣,才是預防惡意攻擊最重要的一步。

此外,視訊會議除了 Zoom,也有許多其他選擇,歡迎大家多加了解,並選擇適合自己或組織使用的工具。請參考:一起來線上開會吧!給 NPO 的視訊服務懶人包(2021/5/21更新)


1. 10種安全使用 Zoom 的方法!


  1. 召開大型或公共 Zoom 視訊會議時,請透過 Meeting ID 選項,產生新的獨特 ID。可以降低 Zoom-bombers ——不明人士干擾或破壞線上會議。
  2. 設定會議專用密碼。發起會議時,請勾選「要求會議密碼」,並將密碼傳送給與會者使用。(建議不要在同一封信送Meeting ID 和密碼)
  3. 啟用等候室。當與會者登入會議時,需要你的允許才能加入,避免不明人士的干擾。
  4. 只有主持人(們)才能分享螢幕。每場會議可以設定將特定與會者指派為聯合主持人,您也可以在會議中進行設定。
  5. 設定「只有受到邀請者」才能參加會議。受邀者必須使用主持人發出邀請時,收到邀請函的 Email 登入,才能開會。
  6. 當會議開始後,請「鎖定會議」官方說明)。當會議開始後,螢幕下方點擊「管理參與者」(manage participants),在展開的選項中,選取「更多 → 鎖定會議(Lock Meeting)」。
  7. 踢掉某個人或使其停權。會議中,在右方的參與者界面上,鼠標停留在某個人的名稱上,可選取「移除」。
  8. 關閉某個人的視訊鏡頭。如果會議中,與會者出現不恰當的行為,主持人一樣可以在右方的參與者名稱清單上,關閉他的鏡頭。
  9. 在文字訊息中,防止 GIF 檔和其他檔案。主持人可以控制,是否讓與會者在文字討論的區塊中,傳送圖片、GIF 或其他檔案。
  10. 關閉私人訊息。在 Zoom 的網頁版本中(桌面應用程式沒有),在左方的「個人 → 設定」中,點擊「會議」,往下滑動有「私人訊息」,當按鈕是灰色的,代表該功能已經關閉。
2. 其他參考資料

中研院資訊科學研究所的呂紹勳、陳伶志研究員在〈有關 Zoom 的資安疑慮與建議〉一文中,給予了仔細的分析,大家可依照文章內容檢視自己的使用和設定習慣。其中七點使用建議是:
  1. 使用 Zoom 進行會議時,請務必啟用點對點加密。(預設功能,請勿關閉)
  2. 建議從 Zoom 政府版網頁下載軟體,並且隨時保持讓程式更新到最新版本。
  3. 在 Zoom 系統中註冊專屬的帳號,並且設定未曾使用過的專屬密碼,請不要使用以既有Facebook 或Google 帳號登入的方式進行認證。
  4. 舉行會議時,請務必設定會議密碼(最好每場會議都不一樣,且要注意密碼的強度),以防無關的第三人擅入;同時,會議主持人的密碼,也須避免重複使用,並注意密碼的強度。
  5. 邀請與會者時,會議室的連結與會議密碼不要用同一封信寄出,如果是重要的會議,會議密碼應該採行其他的通訊方法告知。(例如電話簡訊或 Line 等)
  6. 在自己電腦的作業系統中,另外開設一個只有一般權限的使用者帳號,並使用這個使用者帳號去參加 Zoom 會議,等會議結束後,再切換為原本的使用者帳號。
  7. 若為臺灣學術網路使用者,可使用教育部提供的 Zoom 服務,其伺服器架設在教育部的機房,在資安管控上較可以信賴。(編者按:目前教育部已下架)
香港的官方資安單位,也提供〈HKCERT 建議10招保障 Zoom 網上會議安全〉,分別就「所有 Zoom 用戶」和「主持會議的單位」給予不同角度的建議。另外,在 Zoom 的官網上,也提供了一些資安技巧供參。

大量倚賴資訊工具的此刻,資安意識也更顯重要。希望大家在忙碌於防疫和服務之餘,也能多多留意經常使用的資訊服務的安全性。

延伸閱讀一起在家工作吧!給 NPO 的資安小補帖(2020/3/27更新)

0 意見:

張貼留言