数码时代的信息安全手册
前阵子,一个 AI 换脸软件火了。但旋即有人发现,它的条款十分霸道,存在着数据外泄的风险,于是,我发了条推送,提醒大家小心。
在讨论中,我发现,很多人对信息安全,往往有着这么几个误解。
安全是一件很遥远的事情,作为一个普通人,有什么好被人惦记的?
这是一个典型的「可得性启发式」。我们之所以觉得安全离我们很遥远,只不过是因为我们没有遭遇过危机罢了。
但实际上,且不说脸部信息泄露、身份证号被放上网、诈骗电话打给家人……哪怕只是接到骚扰电话,也绝不是大家愿意接受的。那为何不想办法做好防范呢?
安全问题和疾病一样。当它尚未来临时,我们总是掉以轻心;但一旦来临,一切就已经晚了。
而它最喜欢光顾的,也正是平时疏于防范的人。
你的隐私早就到处都是了,现在在意安全有什么用?
这就是一个典型的「全有或全无」谬误。安全并不是一个 0 或 1 的问题,而是一个程度问题。95%的隐私泄露,跟5%的隐私泄露,带来的后果会一样吗?显然不会。
这种思维就跟「反正人都是要死的,好好活着有什么用?」一样。本质上,是一种逃避思考的偷懒。
我们的目标不是建造100%的无菌室,而是:通过一些方法,尽可能把隐私泄露的风险和程度降低,让自己可以更安心一些。
如果说刷脸会造成脸部数据外泄,但是不是银行、支付宝都不能用了?
实际上,安全和便利是一枚硬币的两面。绝对的安全,需要断绝跟现代社会的一切来往,这当然是不可能的。
所以,我们要做的是:尽量去寻求安全和便利的平衡。找到一个点,既能够享受现代社会的便利性,又不至于把自己的隐私拱手相让。
这也是这篇文章的思路:更安全的做法当然有,但很多并不适合你我这样的普通人,我们要追求的是「不折腾的安全」。
所以,今天打算聊一聊这个话题:在完全数码化的时代,我们如何兼顾安全和便利?
分享一些心得和平时的习惯,希望对你有用。
通讯
1、手机号
我常用的是 3 个手机号。
工作号和验证号用一段时间,估计泄露得差不多了,就销号,再重新换一个。销号也很简单,跑一趟营业厅就行了。
注意:销号前记得把有价值的账户解绑,再换上新的手机号。
2、微信
建议至少要有 2 个。一个生活号,一个工作号。生活和工作分开,避免工作内容打扰到朋友,或是偶尔忘了分组产生的尴尬。
毕竟,工作会经常换,但朋友不会。
我自己不太一样。因为需要加很多读者和学员,所以我常用的是 2 个生活号和 1 个工作号。生活号用来加读者和朋友(都快满了,捂脸,马上要再新增1个了),工作号用于团队联系,业务联络,以及其他杂七杂八的城市服务。
至于账号怎么切换,很多安卓手机都支持应用双开,带一个备用机就行了。
有 2 个就可以了。一个用于日常注册各种服务,对外交流使用;一个用于重要服务的密码保护,不对外。
当然,一般公司还会给你配一个工作邮箱,这里不多说了。
密码
3. 密码管理体系
把自己所有的账户分成三大类,依重要性排序,依次是低、中、高。
低级账户:各种杂七杂八的服务,临时注册使用,不重要,没有任何个人信息,丢了也无妨。
中级账户:自己平时高频使用的账户,比如网购平台、笔记工具、办公软件、社交网站,等等。
高级账户:跟财产绑定的账户。主要包括手机锁屏密码、微信支付密码、银行卡取款密码(刚好都是6位数字)。
低级和高级账户很简单。低级账户,设一个通用密码,简便易记,在所有的服务上使用,减轻大脑的负担。泄露了也没关系,重新注册一个账号就好。
高级账户,至少要有 2-3 个不同密码,用在不同的服务上,不要用任何纪念日和弱密码(如123456、888888),也不要记录在任何工具上,用脑子记。2-3 个六位数而已,不难的。
比较麻烦的是中级账户。这里推荐 2 个方法。大家可以自由选用。
1)使用密码管理工具的「密码生成」功能,为每个服务生成一个唯一的密码,并储存起来。
但我个人不太推荐,因为生成的密码通常都非常复杂,无法记忆(当然,也不需要记忆),多少会有一点失去掌控的感觉。
2)设计一套规则,在所有服务上应用这套规则,利用规则来帮助你储存和记忆密码。
举个例子:你设计的规则,可以是「姓名+服务名+随机码」。
拿微博举例,就可以是「Lachelweibo9876」(当然,这是随便写的)。
这样,既可以满足一切服务对密码的要求(足够长、包含字母和数字),又可以大幅降低记忆负担 —— 你只需要记住最末尾的随机码即可。
再举个例子,你也可以这样设计规则:用一句话作为密钥,用密钥的首字母作为密码。
还是拿微博举例,可以是「WYDYBXHxlwb」(我一点也不喜欢新浪微博),同样很好记。
另外,有一个非常重要的点要注意:
不同的服务,尽量用不同的密码,不要重复使用密码。
这样的目的,是最大限度减少被撞库的风险。万一你某个密码被泄露了,也不会牵连到其他账户,把它改掉即可。
像去年有一个新闻,12306 第三方工具部分账号密码泄露。像这种情况,当然是第一时间改掉密码。但如果你在其他地方也用了一样的账号和密码,那就有可能被黑客拿来撞库,也要同时改掉。
另外,请给你所有支持双重认证的软件服务,设置双重认证,指定「受信任的设备」。这样,即使密码泄露,只要你的设备没有被盗,也是安全的。
4. 密码管理工具
现在有许多密码管理工具,可以把所有的密码放在一起,用一个主密码来管理,你只需记住主密码即可。
这类工具中,比较有名的有 1Password 和 LastPass,大家可以视喜好选用。
我会用它记录低级账户和中级账户(高级就不要了),以及一些需要写下来、偶尔查看的重要信息,比如证件、会员卡、备忘录等「安全笔记」。
它也可以替代掉浏览器的自动填充功能。你可以设置浏览器不保存密码,提高安全系数。
如果你是苹果全套用户,也可以用 iCloud 钥匙串,很安全。但钥匙串并够不方便 —— 它只能记录网站密码,没办法做安全笔记。
密码管理工具会不会泄露密码?当然也有风险,而且的确有相关案例(这两家都有)。但一方面,它们的安全系数还是比较高的;另一方面,泄密的途径往往是在本地端(比如内存监控),如果黑客入侵了你的电脑,那其实……用什么方式都没用。
最后提一下,可能有些朋友喜欢把密码记在纸质笔记本上,也是可以的,但要注意本子别丢了,最好有一个专门的位置去存放,记在备忘录里,并尽量使用无酸纸,不容易坏。
文件
5. 文件同步
我平时常用的设备,是 2 台手机(主力和备用);1 台笔记本,出门工作用;1 个台式机,用来处理复杂的任务,如录课、看论文;加 1 个平板,用来看书和看视频。
所以,自然就有一个需求:如何在这么多设备之间,无缝地同步文件?
我的解决方案是用同步盘,也就是我以前提过的坚果云+亿方云。
坚果云用来同步个人文件,并跟家人共享,平时的购物清单、家庭财务等信息放在里面;亿方云则用来跟团队协作,共享工作文档。
为什么用两个?原因还是一样的,生活和工作分开。
坚果云和亿方云都是同步盘。安装到电脑里,把需要同步的文件放进去,它就会在后台帮你静默同步,再更新到所有设备,非常方便。
如果你跟我一样,有轻微的「安全强迫症」,那你一定会想:
电脑里总有些敏感文件 —— 比如身份证复印件、密保信息、私人文件等 —— 不方便给人看到。那万一同步盘密码泄露了呢?万一电脑被盗了呢?或者更常见的:万一别人需要借用自己的电脑呢?
就这么放着,谁都可以访问,总会有种「不设防」的感觉。
那么,有一个办法,就是文件加密。
最基本的加密方法,就是设置账户权限 —— 但这个方法近似于无用,因为绝大多数 Windows 用户,平时用的都是管理员账户。
进阶的方法是「压缩法」。把敏感文件压缩,加密码,平时生活中完全够用了。它的弊端在于:自己使用极不方便。还得先解压,再打开,对于低频的文件还好(但低频有更好的处理方法),高频就完全不适合了。
那么,有什么适合高频使用的加密方法呢?有一款工具叫做 VeraCrypt 可以实现。
它的原理是:在电脑里虚拟出一个分区,把欲加密的文件放进去,设密码,它会根据你的密码,对存放在里面的文件数据进行改写。如果没有输入正确密码,哪怕强行打开,得到的也只是一堆杂乱无章的数据。
其实,Windows 自带了一个加密工具,叫做 BitLocker,原理和 VeraCrypt 是一样的。只不过 BitLocker 是全盘加密,对整个硬盘的数据进行改写,对普通人来说完全没有必要。
但 VeraCrypt 也有一个问题:不方便用同步盘。
所以,如果你是同步盘用户,也可以试试 BoxCryptor。它可以加密整个同步盘或其中一部分文件,并且对所有平台都适用 —— 你在电脑上装了 BoxCryptor,加密文件,用另一台电脑打开同样是无法访问的。除非也装上 BoxCryptor,输入正确密码。
顺便提一下:BoxCryptor 不会储存你的密码,所以务必记住你设定的密码,如果忘记了,他们也是没有办法帮你恢复的。
7. 文件存档
前面提过,对于低频的敏感文件,有比加密更好的处理方法,是什么呢?那就是丢到云盘上。
举个例子:可能你有一些密保信息,好几年都用不到,又不想加密,那不妨建一个 Google Drive 或 OneDrive 账户,把文件上传上去。
然后,不要下载本地客户端,也不要记下账号密码,用脑子记就好。需要的时候再打开网页,登录账户,下载。
这样,全世界除了你自己,没人会知道你还有这么一个账户。
同样,我会把好几年前、完全不用的文件,整理后进行归档,一起放到云盘上。可以节省宝贵的硬盘空间。
这个方法比移动硬盘更稳妥。移动硬盘寿命有限,又容易坏。但云盘上面的数据就一直在那儿。
当然,这个方法的风险在于:云盘服务有可能会被关闭,也有可能会被入侵。所以,不建议使用除了谷歌、微软、苹果和 Dropbox 之外的云盘服务,尤其是国内的云盘服务。
至少这几家短时间内不会倒闭,被入侵的可能性也很小,更不会像某些厂商一样,远程替换掉你的文件。
社交
8. 社交平台
有了解过「社工」(亦即人肉)的朋友就会知道:通过社交网站,别人能得到的信息,远远超出你的想象。
比如:
你在多个平台使用了同样的头像和昵称,那就有可能循着轨迹找到你所有的账号。
你注册时用了私人手机号,并且一直不换,那就有可能被人发现你的真实身份(受害者如刘慈欣)。
你发布过一些带有地理特征的照片和定位,那就有可能被人扒出你的住处和生活轨迹(受害者如各种明星)。
你在多个地方用过相同的邮箱、昵称或手机号,那么,通过交叉定位和对比,就不难锁定你的身份。
你曾经发布过一些「不足为外人道」的内容,可能是私下里泄愤,万一被人发现了,可能就会惨遭身边的人围观……
这些,都是非常基础的手段,也极其常见。
所以,尽管我知道大家都喜欢分享自己的生活,但建议就是:尽量不用社交平台,能不用就不用;如果用,也尽量不要跟自己的私人信息绑定。
另外:
其他一些小习惯
9、需要提交身份证复印件时,记得打上一行字:仅用于xxxx服务/仅供xxxxx使用。
10.任何时候都一定要保护好自己的生物特征,除非必要(比如银行),不要允许别人扫描和使用你的生物数据。
11.快递单据扔掉时,把地址信息用马克笔涂黑。
12.支付宝首页 - 更多 里有个「安全备忘」,可以放一些重要信息,可自行选择使用。
被盗防范
没有人希望发生这种事情。但我们依然需要面对:如果我们的手机、电脑被偷了,怎么办?
能够通过报警找回设备固然好。但如果找不回来,我们也要考虑,如何彻底保护设备里的数据,不被别人窃取?
13. 手机(以苹果为例,安卓一样的)
第一步,你要确认你的手机是被盗,还是不慎遗失。
每个品牌的手机都有定位功能。如苹果是:打开 icloud.com → 输入 APPLE ID 账密 → 点击「查找我的设备」,可以绕过双重认证,帮助你第一时间定位。
如果确认被盗(已关机、无法定位到),那么,最重要的是里面的 SIM 卡。所以,一旦确定被盗,第二步马上要做的是:致电营业厅,立刻挂失你的手机卡。
到这里,SIM 卡就已经没用了,但手机里的信息仍然有可能泄露。稳妥起见,最好致电你所有的银行,冻结手机银行和网银功能。这是第三步。
另外,只要不泄露锁屏密码,iPhone 理论上几乎是无法破解的。你需要注意的是:
1)永远不要点击任何短信里附上的网址,这是木马和钓鱼网站惯用的手段,正规服务是不会通过短信发给你网址的。
2)永远不要信任除了官网之外的其他网站,更不要输入你的锁屏密码和 APPLE ID。有任何问题随时打客服电话。
3)事先打开「查找我的 iPhone」,这样,在最不妥的情况下,你还可以远程抹掉里面的数据。
(安卓的密码很容易破解,所以请按照「一定会被破解」对待,直接往下看)
第四步,退出你手机里已登录、且无需验证的服务。
1)支付宝:用另一台设备登录,顶掉原来的手机(更多登录方式 → 不能接收短信,需要提供支付宝绑定的银行卡信息)。
2)微信:用另一台设备登录,需要 2 名好友验证。如果来不及,可登录 110.qq.com 冻结账号。
3)印象笔记:登录网页版 - 设置 - 应用程序授权 - 撤销访问权。
4)坚果云:登录网页版 - 账户信息 - 安全选项 - 退出所有设备登录。
5)密码管理工具:登录网页版 - 账户设置 - 授权设备。
第五步,补卡,恢复之前被冻结的功能。记得到苹果官网,从「信任设备」中把这台手机删掉,以绝后患。
另外,平时可以做的事情:
1)关闭锁屏时唤醒 SIRI,关闭锁屏界面下所有可能泄露信息的 widget 和 passbook。
2)记录下你常用的银行卡信息,并同步到多个平台以备查看。
3)提前记录好手机的 IMEI 码、序列号、定位功能网址,保管好包装盒和三包凭证,存放在专门的地方。
4)尽量给所有软件(如支付宝)开启指纹验证功能。
14. 电脑
无论是 Windows 还是 Mac,其用户密码都如同虚设,有无数方法可以破解。最不济,窃贼还可以把电脑硬盘拆下来,直接读取里面的数据。所以:
1)重要的文件用前面的办法做好加密。对于 Mac,记得开启固件密码,并视情况开启 FileVault 全盘加密。
2)如果你启用了 1Password 和 LastPass 的浏览器插件,一定要设置「退出浏览器时登出」。这样,你自己每次开机后需要手动输一次密码,但是安全多了。
3)一旦电脑被盗,用前面的方法退出所有已登录的软件。
当然,我并非什么技术高手,这些也只是自己平时的心得。
欢迎专业人士一起来分享你的经验,帮助大家做好信息安全管理。
有什么好的技巧,欢迎给我留言。也欢迎转发给朋友,一起未雨绸缪喔。
头图来自pexels