經過好幾個月,終於又了結了一本書。《驚蟄.中國》作者紀思道和伍潔芳夫婦為 1988 - 1993 紐約時報駐北京特派員,本書由兩人合著,記錄他們在中國期間的所見所聞以及對中國的見解。其中的諸多看似不合常理的現象,可以用一句非常露骨的結論來概括:「所有的時間、精力都用來隱藏問題,而不是解決問題。」可以說就是面子問題。除了面子,中國最為人詬病的就屬人權問題。或許你有自己崇高的理想,超然而置身死於度外,但在中國的誅九族文化中,也不得不為了自己摯友、愛人的性命,而放棄信仰、原則,屈服於恐懼統治下。人權,在中國的土地上,可謂從來沒有發生過。儘管如此,在經濟改革的帶動下,中國卻也走出自己的一番經濟奇蹟。其態勢之強盛,就連歐美各國也不得不為了自身利益,為了賺錢,而放棄自己的原則與中國有所妥協。這,就是讓人又愛又恨的中國。
在 starryalley 的號召下,還有 single 和我一同騎著鐵馬,踩在霞客羅古道的泥濘中,重回久違的大自然懷抱。
根據氣象預報,原本不太看好天氣的,沒想到早上竟然逐漸放晴,於是就決定衝了!整裝過後,一路從汐止騎到台北車站和 starryalley 會合,再搭高鐵到新竹和 single 會合,把三台車塞進 single 車後上路。
抵達離古道還很遠的出口,第一件事就是裝車。還好 starryalley 有多帶超粗的輪胎,讓我能一路很扎實地把一沱沱的泥巴往後扒,在此特別謝過。
翻山越嶺,終於來到傳說中的霞客羅古道起點。
騎這種原始林道只有 happy 可以形容。
在美麗的竹林中巧遇準備下山的登山客。
騎到折返點,雖然沒騎完全程,但也心滿意足了。
一路都很 happy 阿!
回程又在美麗的大陡坡遇到休息中的登山客。
我的媽阿!回去有得洗了...
又是一陣翻山越嶺,終於回到秀巒國小沖車,旅程也接近尾聲。
晚上,和 single 及夫人一同晚餐後,趕上新竹最晚的一班電車回汐止,一整個很虛脫地攤在電車上。第一次認真挑戰 off-road,就上到 off-road 高手 starryalley 口中的最佳林道--霞客羅古道,真是太有幸了!如果有機會,一定要多帶些人再多來幾趟。
又是一個農曆新年,高雄、五甲、南投、彰化到處跑。
南投有很多很多漂亮的茶園
南投彰化之間的 18 彎古道,不錯的大眾化登山路線
高雄燈會藝術節開幕,福虎生風主燈水舞秀
水火照亮高雄港,兩棟鏡子大樓反射煙火的感覺實在是百看不膩 (好位置在下午就都被卡走了,沒腳架的情況下只能調高 ISO 弄大光圈同時降低曝光時間,然後把手舉的高高的狂按快門,有夠克難的...)
今年蠻特別的 LED 隧道橋
最近看了一些書,不過都沒什麼心情靜下來寫點心得,趁著年假前夕,將累積的書評一次清空。
《景氣為什麼會循環(Business Cycles)》從歷史的觀點,述說景氣循環理論的來龍去脈。之前曾聽長輩說過,股市(景氣)大致上會呈現週期性的漲跌,當時覺得這是個很奇怪的現象,既然會有這種週期,那大家都遵循這樣的循環低買高賣不就皆大歡喜?直到看了本書才恍然大悟,事情並沒有那麼簡單。景氣循環的很淺顯的原因之一,在於預期投資與實際消費之間的落差,也就是供需之間的不平衡。如果真的要很粗淺很快速的描述一次循環過程,可以從一個景氣極差的年代開始。這時供給遠大於需求,大量產品囤積導致企業獲利不如預期,股價隨之下跌。在這樣的情況下企業勢必裁員以減少支出成本及避免創造更多產品庫存,失業率居高不下,人們支出保留以致於儲蓄率逐漸增加。此時政府勢必得調降利率以刺激經濟,由於利率低迷,貸款成本也低,於是有些人開始購置房地產,帶動房價上漲。同時在股價低迷的時候,部分投資者經過計算會發現股價被低估而進場購入股票,帶動股價上揚,消費者信心日益回升。消費漸增的情況,造成企業庫存漸減,甚至庫存不足,這時企業只好訂購更多原料,雇用更多員工來創造庫存,以提高獲益。於是失業率減少,人們開始有收入購置更多商品,進而帶動更多的消費需求。此時政府勢必得出手避免經濟失去控制,於是開始調升利率。利率調升導致資金回流,消費需求下降,然而企業的產量還留在樂觀預估的水位上,也因此銷售量及獲利都不如預期。然後又回到裁員的階段。當然,這只是很簡略的描述,科技的進步、政治的介入、人類的心理、... 等等,都是造成經濟不斷波動的眾多因素,也是經濟學之所以有趣的地方。
宋鴻兵的《貨幣戰爭》及《貨幣戰爭2-金權天下》,同樣也從歷史的觀點,闡明金錢和權力之間難分難解的複雜關係。《貨幣戰爭》主要著眼於來自擁有貨幣發行權而累積財富概念。只要你有貨幣發行權,就能大量購入其他有價物品後開始大量發行貨幣,造成貨幣嚴重貶值而通貨膨脹,此時人民辛苦賺來的血汗錢勢必大幅貶值,而你當初購入的有價物品則大幅增值。也就是說,只要你有貨幣發行權,眾人的財富就有可能在你的操作下,一夕之間全集中到你的手中,書中將這樣的過程稱為「剪羊毛」的行為。這時你可能會想,還好貨幣發行權在政府手中,就不會被私人所利用。錯!作者引經據典地告訴我們,貨幣發行權直接或間接地掌握在少數家族、財團身上,不管是發行英鎊的英格蘭銀行(由英格蘭銀行的董事們掌控),或是發行美元的美聯儲(由持有 40% 股份的六家銀行掌控)。更糟的是,政府是以向這些機構舉債的方式來發行貨幣,這些債務連本帶利,將來再由納稅人的納稅來償還,這等於貨幣發行機構有權力將未來子孫的財產變現來支付今日的開銷,而這些預支的財產最後都得繳入這些貨幣發行機構的口袋中,多麼可怕的模式!目前美國國債在利滾利的情況下持續發行美元(債),依此模式運行下去,當有一天國債多到利息大於 GDP 的時候,美國將不再有能力償債,這將是美國經濟解體之日,也是強勢美元掌控下的世界經濟解體之日。為此,作者提出建構一個誠實公正的貨幣制度,恢復金本位制度,以有限的資源避免私人濫發行貨幣,或許是個不錯的解法。《貨幣戰爭2》則著眼於藉由大量財富而來的權力。只要你有夠多的財力,不管是影響金融、影響政局、甚至發動戰爭、決定戰爭結果,都在你的彈指之間。畢竟這是個以金錢維持的世界,什麼都要錢。政客需要錢來造勢、軍隊需要錢來購置軍火及糧饗,有錢就有足夠的火力和後勤補給,沒錢就只有被挨打的份。就像職棒簽賭案一樣,財團想要誰贏,只要增加一邊的支助或抽掉一邊的支助,就贏了,什麼以寡敵眾、以一擋百,都只是沒有財團把持的古中國會發生的天方夜譚。鬥戰技,鬥兵法,還不如鬥龐大的後援來的直接了當。這正是聖經 (Job 21:7) 所提及的內容。當然,有錢人不只一個,而財團間是個弱肉強食的競爭社會,所以各財團也不斷伸出觸角,利用合縱連橫的方式壯大自己的勢力範圍。時至今日,「世界政府」的概念逐漸發展成形,歐盟貨幣成功整合之後(當然,貨幣發行權仍然掌握在財團手中),其他地區也慢慢有貨幣整合的聲浪,未來的單一貨幣會在什麼時間點出現還言之過早,不過作者大膽推論此單一貨幣將由誠實的黃金和碳貨幣所組成,就讓我們拭目以待。嗯!拖中國大陸崛起之幅,有愈來愈多精采的華文書出爐,實在很不錯。
龍應台《大江大海一九四九》,是一本試圖從歷史資料及口述記憶中,描繪一九四九前後,二次世界大戰及國共內戰間,各地華人在時代的巨輪下,在戰爭的細縫中努力求生的一幕幕血淚史。充滿著愛與恨、血與淚,戰爭時期一同成長的的同學、同鄉、同袍,死的死,沒死的,或是逃亡,或是加入軍隊,或是被擄。不管是日本統治下的台灣人、國民黨的軍隊、還是共產黨的民兵之間的搏鬥,一幕幕自己人打自己人的戲碼上演。戰爭期間,離鄉背井,大批國民軍從大陸湧入台灣。日治時代的高水準文化的「台灣人」和飽經戰亂衣衫襤褸前來接收國土的「外省人」,顯得非常格格不入。在不了解彼此歷史背景造的情況下,造成許多不必要的誤會。而本書的目的,即在於將這些不為人知的過去攤開來,讓大家更了解彼此,更能互相包容。放眼當前的台灣,除了本省外省之爭外,因著南北資源分配不均,也逐漸形成南北部人之間的誤會(南部的定義可以是濁水溪以南,也可以是淡水河以南),或許也可以考慮出個《地狹人稠二零零九》,以化解彼此的誤會與不諒解。
以上幾本書都是值得一看再看的好書,其實原本都想多看一兩次再來寫心得。不過實在沒什麼空閒精力和時間,加上想看的書愈積愈多,只好草率先行下筆,待將來有錢有閒之時再來細細品味。
最近因為 project 的關係,接觸了一些身分認證的皮毛,感覺還蠻有趣的,特此紀錄一下。
從古到今,人類的生活充斥著身分認證的問題。山頂洞人要認你外型,確認你是人的形狀才讓你進山洞(我亂猜的...);戰國時代,出現兵符以作為傳令或調兵認證之用,此兵符認證碼由兩半銅、玉、木或石板,需由兩半兵符契合確認命令才能申效,也就是「符合」的由來 (詳見《史記•魏公子列傳》);直到隋唐,兵符逐漸演變為魚符,上面刻有官員姓名、官位等,漸漸具備身份証之功用 (詳見《新唐書•車服》);在西方,以色列人寄居埃及的時代,天使藉由門框上是否塗有羔羊的血,來認證該戶人家的長子是否要殺害 (Exodus 12);新約時代,由於耶穌受人們認證的方式出現分歧,導致有些人將耶穌認證為預言中的彌賽亞,有些人則將耶穌認證為來亂的異端,也因為這一認證的錯亂,引發了近兩千年來的諸多戰爭與傷亡,精確認證的重要性由此可見一番。近年來,則由於個人主義抬頭,導致私有財產暴增,生活中隨處可見認證的影子:要證明你是這間房子的主人?請拿出鑰匙來;要證明你有資格看這場電影?請拿出電影票;要證明這是你的 e-mail 信箱?請輸入你的帳密。諸如此類族繁不及備載,少了身分認證機制,你的就是我的,全家就是你家,這是禮運大同篇共產主義社會才會出現的場景。
身分認證發展至今,大致可以歸類為幾大類 [1]:1. passwords: 記憶性的認證,回答問題答對就過關,如密碼;2. tokens: 物品性的認證,拿的出某件代表物品就過關,如鑰匙、悠遊卡等票證;3. biometrics: 生物性的認證,你的長相和行為和你以前一樣就過關,如指紋辨識、瞳孔虹膜辨識、人臉辨識、聲音辨識、簽名等等。而要在這麼多選擇當中挑選適合的認證方式,需要考量的關鍵也不少。以便利性來說,biometrics 的方式最方便,什麼都不用帶,你愛認證幾次就認證幾次;反之,passwords 有記一大堆密碼、取太簡單怕被別人猜到、取太難又怕自己記不住的困擾,tokens 則有忘記帶出門或者遺失的風險。以成本來說,passwords 是最便宜的,頂多需要一個簡單的密碼資料庫而已;反之,tokens 有實體物品的成本,biometrics 的認證設備價錢也不便宜。就辨識度而言,比較需要擔心的是 biometrics,畢竟人是活的,手隨時可能被砍斷,臉可能因為表情不同而無法辨識,聲音在感冒的時候總是特別有磁性等等;反之,passwords 和 tokens 就比較一板一眼沒這種變因了。除此之外,不同的認證方式應用在不同地方也會有不同的考量,有需要的話結合多種認證也是一種解決方案。當然,隨著科技的演進,這些考量因素也會有所改變,如果哪天 biometrics 認證發展到又便宜、又普及、可靠度又高到不管你被車撞、整形、還是在模仿藝人都還能認出你來,那麼其他兩種認證方式大概就不再需要了 (這讓人聯想到 DNA 認證,不過到時候應該還有判別複製人兄弟姐妹的困擾吧...)。
回歸正題,目前 passwords 驗證還是最便宜最普及的一種驗證方式,也是這次 project 會採用的方式。而為了提供 project 一個安全的認證系統,了解密碼系統的演進及設計考量 [2] 也勢在必行 (突然發現好像看太多東西了)。像達文西密碼裡密碼盒那種機械式的密碼就不提了,在此討論數位儲存的密碼。最早出現在早期的 UNIX 系統上,由於多工的需求,每個人都必須有自己的帳號和權限,也因此需要密碼作為身分之認證。當時的密碼是以 plaintext 也就是明碼的方式儲存,直到發生因記憶體錯亂導致所有使用者密碼外洩事件之後,plaintext 的儲存方式就馬上被火了,取而代之的是 encryption (e.g. DES) 或 hash (e.g. MD5, SHA-1),透過 decription 或比對 hash 結果來判斷密碼是否吻合。上有政策下有對策,密碼加密過後,壞人們開始想著要怎麼破解。還好上述兩種作法都不太容易,尤其 hash 更是破壞性的加密,用正規數學公式是沒辦法還原的,這時候就只剩「猜」一徒了。可不要小看「猜」這種看似智障的小伎倆,畢竟密碼系統的設計,就是利用字元排列組合有等比級數爆炸成長的特性,造成密碼多到讓你在有生之年都猜不到。以 128 的 ASCII 字元的排列組合來說,8 個字元的密碼就有 128^8 = 7 後面接 16 個零那麼多種組合,假使運算速度快到 1 秒可以做 1000000 次猜測,也需要 2285 年的時間才能猜完全部可能。除非活到猜到為止,同時那個密碼還沒被改,而且那個密碼到時候還有那個價值,否則呆呆的猜是很沒有意義的活動。這時壞人們就開始思考著人性的弱點,密碼最基本的要求是當事者自己要能記住,否則太難的密碼往往記不住而必須貼張便條紙在螢幕上,就像在家門口放把鑰匙是一樣的意思。既然是容易記憶,大概不外乎生日、單字、人名等等,而且為了不讓自己混淆,還一律都用小寫或都用大寫,這大幅縮小了排列組合的可能性,也讓猜密碼的過程減少到幾小時、幾分鐘甚至幾秒的時間。這,就是大名鼎鼎的 Dictionary attack。就目前看到的部分非官方公告或攻擊結果,成功率竟然可以高達 50% 以上,還蠻嚇人的。這也提醒自己在取密碼的時候特別謹慎小心,為了不負密碼設計的本意,最好的狀況就是用到所有可能的 ASCII 字元,同時長度夠長,就能造成排列組合數量多到難以計算而猜不透的效果。同時,為了製造壞人們的困擾,密碼加點 salt 的調味機制,可以讓壞人們無法一次猜多筆密碼,甚至利用運算速度較慢的演算法來拖慢猜密碼的速度,也都是在實作密碼系統可以考量的方向。
是該做點正事了...
[1] L O'Gorman, "Comparing Passwords, Tokens, and Biometrics for User Authentication," Proceedings of the IEEE, 2003
[2] R Morris, K Thompson, "Password Security: A Case History," 1979
