站点图标 科技雷达

安全上网指南

据我观察,身边很多人在保护个人隐私上,都可以用「粗心大意到令人震惊」来形容,是完完全全没有意识。既不知哪个环节易出问题,也不知如何防范,就这样将问题搁置不闻不问,直至有一天引火上身。

以前隐私没那么重要,有意识保护隐私的人,甚至会被人嘲笑是洁癖。那是因为曾经钱财交易通常发生在线下,大家物理见面,现金交换,线上隐私套不出什么价值。现在不一样,钱都放在线上,加密货币更不用说,盗走都不用打招呼。黑、灰产猖獗,从卖料、洗数据到变现…流水线一条龙。

从触网的那一刻起至今,我们每个人的隐私都早已被卖了无数次。你在某街英语填的问卷、你在某券商的开户记录和流水、你在互联网小贷公司的贷款数据…背后的无名手按图索骥、交叉验证,一条条具名的,囊括大量个人隐私的数据,在黑市社工库待价而沽。

我总结了几条自己一直在践行的保护隐私的技巧,如果这里面大部分你都做到了甚至更彻底,那证明你已经做的足够好;如果你基本没有做到,则需加强意识,从现在就开始培养这些习惯。掌握这些技巧占用时间极少,回报却不可估量。

1)不要给你所有网站、App 的密码都设置相同的密码。一旦其中一个账号被黑,你所有其他账号都可能被撞库,损失巨大。我知道有很多人是资产相关的 App 用强密码,不相关的用统一的弱密码,这很不对。每天都有公司泄露安全信息,这其中就有可能包含你某个不常用的账户信息,进而被用来钓鱼或社工,将你暴露在无尽的风险中。

你可以使用 1Password / LastPass 这样的付费工具,每次随机生成密码,管理账户信息,也可以用 KeePass 这样的免费开源工具,用起来差不多。我们的目的很明确,将单个账户被黑造成的损失控制到最小。如果你对 1Password 的进阶使用技巧感兴趣,我下次可以单独写一篇教程。

2)不要让手机裸奔。设置开屏密码、指纹识别或面部识别,及时备份整机,打开连续输错密码自动销毁机上数据的开关。手机不要 Root,不管你用 iPhone 还是安卓手机,第一时间更新到最新系统,不要让旧系统中的安全漏洞成为被攻击的对象。

3)不要在手机相册中保存敏感照片。如护照信息页、身份证正反面等,信用卡只要有卡号、有效期、姓名、CVV 码就可以消费,因此也不要拍照存放到手机里。慎用任何第三方「云相册」,不要相信所谓的隐私保护条款,他们100%会分析你的每一张照片。

4)不要在境外旅游时刷信用卡。我国大部分信用卡都是磁条卡,不带安全芯片。磁条信息和 PIN 码很有可能在支付时被商贩的机器记录,理论上,支付宝和微信支付比信用卡安全。

5)不要使用免费的「上网工具」。它们打着免费旗号,实则极有可能截取你的通信,盗窃数据。有精力就自己买 VPS 搭建,没时间就租老牌厂商的飞机场。

6)不要使用腾讯手机管家、WiFi 万能钥匙…这样的共享网络 App。一旦使用,你的路由器 SSID 和密码都会上传到服务器,其他用户搜索到匹配信号后即可使用。你不会希望自家的 WiFi 网络谁都能连,对吧。

7)不要在公共场合(包括但不限于机场、火车站、咖啡店、酒店…etc )使用它们的 WiFi。经常有人使用名称与官方 SSID 近似的恶意节点引诱你连接,这些 WiFi 信号通常命名都是 “Airport_Free_WiFi_5G”、““Coffee_Free””之类,非常具有诱惑性,你也很难辨别是不是场所真正提供的 WiFi。

为了避免你在网络通信时,账户、隐私被窃取,保险起见用自己手机当热点吧。处理要紧事通常不会花太长时间,况且现在流量也不贵。

8)不要从来路不明的渠道下载应用。iOS 只能从 Appstore下载,安卓从自己官方应用商城或知名第三方商店下载。要特别谨慎各种「破解版」软件,因为你不确认里面是不是有后门,被「重新打包」了多少次。

所以不要贪便宜,如果这个软件对你真的有用,那么你应该花钱买正版,免去烦恼。实在不行,去官网下载正版安装包再去淘宝买合法渠道的注册码,也比你去下破解版安全得多。

9)不要使用任何第三方输入法。某狗、 某度…等厂商的输入法,会明文上传所有你输入的内容和系统粘贴板的信息进行分析,有的人甚至在第三方输入法打开的情况下,复制粘贴私钥。你永远不知道你的信息会以何种方式流至黑市,私钥为何复制一次就被盗了,用系统自带输入法吧,求你。

10)不要随便开放你的屏幕录制权限给第三方应用,除非你对它知根知底。

11)不要在周边有摄像头的地方输入密码。用指纹或面部识别代替,实在不行,躲到摄像死角操作完后再回到原来的地方,圈内某个著名大佬就是这样被盗币的。

12)不要在 QQ、微信中讨论隐私或敏感话题。选择电报和 Signal 这样端到端的加密通信软件。

13)给你所有能设置二次验证 2FA 的账户都设置上,优先选择 Google Authenticator 而不是短信验证。你可以用 Authy 替代谷歌官方那款,因为同时有桌面和移动端,且可以实时备份。

14)用不透光的胶布贴住你笔记本上的摄像头。当它被恶意调用的时候,能获取你的大量信息,黑客通过持续的检测甚至能找到你的住址,你存放离线私钥的蛛丝马迹。

15)浏览器可以安装 AdGuard 插件,比 Adblock 好。它能过滤网站广告和 Cookie 追踪。

16)如果你在某些情况下,不得不远程将账户密码传递另一个人,我教你一个办法:将你的账密拆成 A、B 两段,分别在两个通讯软件中发送给对方。例如,我可以在微信中将密码的上半段发过去,再用电报发送密码的下半段。这样做,即便你的微信聊天内容被监听,窃听者也无法知道内容的全部。

17)使用 Chrome 浏览器时,关闭「设置-隐私设置和安全性-更多」中的「随浏览流量一起发送”不追踪”请求」。除非有登陆账户的需要,否则建议经常使用匿名模式浏览网页。

18)macOS 用户在「系统偏好设置-安全性与隐私」中将「文件保险箱」打开,这样即便电脑失窃,对方也无法读取硬盘中的数据。在确定失窃设备已经无法找回的情况下,及时登陆 iCloud 将设备数据全部抹除。

19)酒店普遍都有保险柜,贵重物品如果不能随身带,务必锁在保险柜里。保洁人员的「万能房卡」有可能被轻易窃取,所以你应当默认他们是不可信的,晚上睡觉将屋内保险锁扣上。

20)邮件的发信人是可以伪造的,任何情况下,你应该优先登陆对应网站去确认信息,而不是直接点邮件中的链接。比如「申请提现」这样的确认邮件,你应该优先将邮件中的验证码在网站输入完成操作(如果支持的话)。

做到这些不一定能保证你彻底安全无忧,但已经可以抵御大部分风险。

安全上网,远离资产损失。

原文:https://yishi.io/safe-internet-surfing-and-protect-your-privacy/

退出移动版