安全专业人士喜欢维护自己的神秘感。他们满嘴缩写术语,引用晦涩的漏洞,让一切听起来像你需要一个博士学位才能保护你的邮箱。这是通过复杂性来保障饭碗。但他们不会大声说的是:大部分能保护你安全的东西简单得令人尴尬。
你的 IT 部门并不是在保护你免受精英国家级黑客的攻击。他们是在保护你免受你自己的伤害。免受重复使用密码。免受点击邮件中的链接。免受在咖啡店不锁笔记本电脑。绝大多数的数据泄露不是什么技术神操作;它们是针对没有做好基本功的人的机会犯罪。
让我们揭开这层神秘面纱。以下是你真正需要知道的一切,不带术语地解释,附带你今天就能执行的实际步骤。
关于"黑客攻击"的肮脏秘密
每次发生重大数据泄露事件,新闻都把它描述得像数字忍者突破了不可攻破的防线。通常,现实要蠢得多。有人使用了"Password123",而这个密码三年前就已经泄露了。有人点击了一封来自"IT 支持"的邮件链接,实际发件人是"[email protected]"。有人的智能门铃用的是默认密码"admin",还和工作笔记本电脑连着同一个网络。
Verizon 数据泄露调查报告持续显示,大约80%的黑客相关数据泄露涉及被盗或弱密码。不是零日漏洞利用。不是高端恶意软件。是密码。
Password123 不聪明。P@ssw0rd123 也不聪明。在你发挥创意之前:qwerty、123456 和你的狗的名字加出生年份都在攻击者最先检查的列表上。
这实际上是个好消息。这意味着你不需要昂贵的安全工具或计算机科学学位就能大幅提升你的防护水平。你只需要停止那些蠢事。
你的密码体系已经崩了(但能修好)
让我们直面这个显而易见的问题。你可能有一套密码"体系"。也许是一个基础密码加变体,比如邮箱用"BasePassword1!",银行用"BasePassword2!"。也许你记住了一个特别好的密码然后到处用。这两种方式都很糟糕。
原因在此:当一家公司被入侵时(一定会的,因为不是会不会而是什么时候的问题),你的密码就进入了一个在暗网上被出售的数据库。然后攻击者会在每个其他服务上试这个密码。如果你"特别好的密码"既保护你的随机论坛账号又保护你的银行,恭喜你,论坛的烂安全刚刚让你的银行账户沦陷了。
真正的解决方案:密码管理器
密码管理器为每个账号生成唯一的随机密码并帮你记住它们。你只需要记住一个主密码(使用一个长的短语密码,因为"correct horse battery staple"比"Tr0ub4dor&3"安全得多)。
好的密码管理器
- 1Password: 最佳整体体验,家庭方案出色
- Bitwarden: 开源,有免费层,安全性极佳
- Apple 钥匙串: 你的 iPhone/Mac 上已经有了,对大多数人来说够用
"但如果密码管理器被黑了怎么办?"好问题。你的密码在离开设备之前就已经用你的主密码加密了。即使攻击者偷走了加密保管库,没有你的主密码他们也读不了。这比在各个网站重复使用密码安全无数倍。
检查你是否已经被泄露
现在就去 haveibeenpwned.com。输入你的邮箱地址。这个由安全研究员 Troy Hunt 运营的网站会检查你的邮箱是否出现在任何已知的数据泄露中。如果有(对大多数人来说,有的),你就知道哪些密码需要立即更改。
你的浏览器在告密
即使你从来不点可疑链接,你的浏览器也在不断地向网站透露比你意识到的更多的信息。让我们聊聊正在发生什么以及你实际上能做什么。
浏览器指纹
Cookie 得到了所有关注,但它们不是你被追踪的唯一方式。浏览器指纹识别收集你的系统细节(屏幕分辨率、已安装字体、浏览器插件、时区、语言设置)并将它们组合成一个唯一标识符。即使没有 Cookie,网站通常也能以90%以上的准确率识别你。
修复方法不完美,但使用 Firefox 的增强追踪保护功能,或 Brave 浏览器(默认阻止指纹识别),可以显著减少这种情况。Chrome 在隐私方面是最差的。Google 靠广告赚钱,所以他们的浏览器是为促进追踪设计的,而不是为防止追踪。
你的 ISP 什么都看到了
你访问的每个网站都从一个 DNS 请求开始,你的电脑在问"google.com 的 IP 地址是什么?"默认情况下,这些请求发送给你的 ISP,这意味着他们有你访问过的每个网站的日志。他们可以(而且确实会)出售这些数据。
启用 DNS over HTTPS
这会加密你的 DNS 请求,让你的 ISP 无法窥探。只需2分钟:
- Firefox: 设置 → 隐私与安全 → 启用 DNS over HTTPS → 选择 Cloudflare
- Chrome: 设置 → 隐私和安全 → 安全 → 使用安全 DNS → 选择提供商
- 系统级别: 将路由器的 DNS 改为 1.1.1.1(Cloudflare)或 9.9.9.9(Quad9)
你的扩展程序可能是间谍软件
那个找优惠券的扩展?在读你访问的每一个页面。那个"有用的"工具栏?同样。浏览器扩展对你的浏览数据有巨大的访问权限,免费扩展的商业模式往往就是出售这些数据。
现在就去你的浏览器扩展页面。对每个扩展问自己:我真的在用它吗?我信任制作它的公司吗?删掉所有你不需要的。对于留下的,检查它们的权限并禁用任何看起来过度的。
无痕模式不是你以为的那样
无痕模式是对你的配偶隐藏浏览记录的,不是对 Google 隐藏的。
隐私浏览模式不会让你匿名。它只是不在本地保存你的历史记录。你的 ISP、雇主(如果你在他们的网络上)和你访问的网站仍然可以看到一切。它适合在共享电脑上登录账号或购买惊喜礼物,而不是真正的隐私。
VPN 问题
VPN 在特定场景下有用:在公共 WiFi 上、当你想假装在另一个国家时、或者当你不信任你的 ISP 时。但它们不是魔法隐私盾牌。使用 VPN 只是意味着信任 VPN 公司而不是你的 ISP。很多"免费" VPN 比不用还糟糕,因为它们存在的目的就是收集和出售你的数据。
如果你想要 VPN,为一个有信誉的付费(Mullvad、ProtonVPN 或 IVPN 都是好选择)。但不要以为它让你隐形了。你的浏览器指纹、登录模式和行为仍然能识别你。
你的手机知道得太多了
你的手机是有史以来最私密的监控设备。它知道你在哪里睡觉、和谁说话、买了什么、全天去了哪里。以下是如何夺回一些隐私。
应用权限失控了
为什么一个手电筒应用需要访问你的通讯录?为什么一个计算器需要你的位置?这些权限存在是因为数据很值钱,大多数人只是不假思索地点"允许"。
权限审计(5分钟)
- iPhone: 设置 → 隐私与安全 → 审查每个类别
- Android: 设置 → 隐私 → 权限管理器 → 审查每种类型
- 对于位置:大多数应用应该是"从不"或"使用时"。很少有应用需要"始终"。
- 对于相机/麦克风:除非应用明显需要,否则拒绝
关闭广告追踪
iOS 和 Android 都有设置来限制应用出于广告目的追踪你的程度。它们不是万能药,但有帮助。
iPhone: 设置 → 隐私与安全 → 追踪 → 关闭"允许应用请求追踪"
Android: 设置 → 隐私 → 广告 → 删除广告 ID(或退出个性化)
检查你的位置历史
想被吓到吗?Google 和 Apple 已经记录你的位置好几年了。去看看他们掌握了你的什么信息:
Google: 访问 timeline.google.com。你会看到你带着 Android 手机或登录 Google 时去过的每一个地方。
Apple: 设置 → 隐私与安全 → 定位服务 → 系统服务 → 重要地点。更难找到但同样详细。
你可以删除这些历史记录并关闭未来的追踪。是否应该这样做取决于你。有些人觉得时间线对记住停车位或喜欢的餐厅很有用。但至少要知道它的存在。
电子邮件:仍然是最薄弱的环节
大多数账户被接管都是从邮件开始的。控制了一个人的邮件,你就可以重置其他一切的密码。钓鱼攻击之所以效果惊人,是因为它利用的是人类心理,而非技术漏洞。
如何真正识别钓鱼
"尼日利亚王子"的邮件显而易见。现代钓鱼不是。你会收到看起来和你的银行一模一样的邮件,包括标志和正确的格式。以下是该检查的:
- 发件人地址: "[email protected]" 和 "[email protected]" 或 "[email protected]" 是不同的
- 悬停查看链接: 点击之前,悬停查看实际 URL。如果它不指向你期望的地方,不要点击
- 紧迫感是警报信号: "你的账户将在24小时内被关闭!"是为了让你恐慌从而跳过验证
- 有疑虑就直接访问: 不要点击邮件中的链接。打开一个新的浏览器标签页直接访问网站
邮件别名:隔离你的收件箱
为不同目的使用不同的邮箱地址。你的银行邮箱不应该和你用来注册各种通讯订阅的邮箱一样。当某个服务被入侵时,你会确切地知道哪个邮箱被泄露了,而且不会影响你的重要账户。
邮件别名服务
- SimpleLogin: 创建无限别名,转发到你的真实邮箱
- Firefox Relay: Mozilla 的版本,与 Firefox 集成
- Apple 隐藏邮件地址: 内置于 iCloud+,在 Apple 设备上无缝运作
- 加号地址: Gmail 允许你在 @ 前添加"+任何内容"。[email protected] 会到你的常规收件箱
敏感通信:加密邮件
普通邮件就像明信片:处理它的任何人都能读。对于真正敏感的通信,考虑使用 Proton Mail。它是端到端加密的,总部在瑞士(强隐私法律),有一个完全可用的免费层。
社会工程学:偷你账号的撩人私信
这个话题讨论得不够多:那个在 Instagram、Snapchat 或 Tinder 上主动给你发私信的帅哥美女?他们可能在用一个比互联网还老的套路。
想想人们调情时问的那些"了解你"的问题:
- "你宠物叫什么名字?我超爱动物!"
- "你在哪里长大的?"
- "你的第一辆车是什么?肯定有个好故事。"
- "你从小住在哪条街上?"
- "你妈妈娘家姓什么?我的超奇怪。"
- "你上的哪所高中?"
现在看看你银行、邮箱和社交媒体账户密码找回的安全问题。发现什么了吗?
那些撩人的问题就是你的安全问题答案。一个"了解你"的人正在收集你数字生活的钥匙。
这不是偏执。这是有记录的社会工程学技术。骗子创建假档案,花几天或几周建立信任关系,然后随意地提取重置你密码所需的每一条信息。等他们消失时,他们已经把你锁在了自己的账户外面。
如何保护自己
- 在安全问题上撒谎。 你妈妈的娘家姓不一定要是她真正的姓。选个随机的然后存在密码管理器里。"你的第一只宠物叫什么?"回答:"TurboLaser3000。"祝他们猜。
- 警惕快速亲密。 真正的感情需要时间。一个在头几次聊天就问很多个人问题的人,特别是具体问题,可能并不是他们声称的那个人。
- 反向图片搜索。 右键点击他们的头像,用 Google 图片搜索。如果那张脸出现在图库网站上或属于别人,你就有答案了。
- 分享之前先视频通话。 骗子回避视频。如果一个人有无穷的借口解释为什么不能视频聊天,那就是警报信号。
恋爱骗局的流程
从"了解你"的问题开始。然后他们需要一个小忙:礼品卡、加密货币、紧急用钱。个人信息收集和财务骗局往往同时进行。如果你向一个从未见过面的人分享了你的安全问题答案,现在就去改那些答案。
你的家庭网络(是的,真的)
如果你的路由器密码还是"admin",恭喜你,你已经为任何想加入你网络的人铺好了红地毯。大多数人设置路由器一次就再也不管了。这是个错误。
更改默认密码
每个路由器出厂时都有默认用户名和密码(通常是"admin/admin"或"admin/password")。这些默认值在网上公开发布。任何能连到你 WiFi 的人都可以访问你的路由器管理面板并为所欲为:重定向你的流量、窥探你的设备、用你的网络进行非法活动。
登录你的路由器(通常在浏览器中输入 192.168.1.1 或 192.168.0.1),同时更改管理员密码和 WiFi 密码为强密码。
更新路由器固件
没人这么做。你的路由器是一台运行软件的电脑,那个软件有漏洞。制造商会发布更新来修复安全漏洞。检查你路由器的管理面板,找到固件更新选项并执行。
为物联网设备创建访客网络
你的智能电视、智能门铃和智能冰箱都是攻击者的潜在入口。这些设备通常安全性很差,很少得到更新。把它们放在单独的访客网络上,这样即使它们被入侵,攻击者也不能轻易跳转到你的笔记本电脑或手机。
大多数现代路由器都有"访客网络"选项。启用它,设一个不同的密码,把你所有的智能家居设备连上去。
正确的心态
完美的安全不存在。目标不是不可被攻破;而是不要成为最容易的目标。攻击者,和小偷一样,专挑软柿子捏。如果你的房子锁着门而邻居的门敞着,猜猜哪个会被偷?
假设被入侵
你把数据交给的每家公司最终都会被入侵。做好相应的计划。使用唯一密码让一次泄露不会引发连锁反应。网上购物使用信用卡(有欺诈保护)而不是借记卡。尽可能把敏感信息远离云服务。
隔离化
不要用同一个邮箱注册银行和论坛账号。不要为了"方便"把所有账号链接在一起。你创建的每个连接都是攻击者从一个账号移动到另一个账号的潜在路径。
冻结你的信用(美国)
这条专门针对美国人,但它是你能做的最有效的事情之一。信用冻结可以防止任何人以你的名义开设新账户。它是免费的,三家征信机构(Equifax、Experian、TransUnion)都设置一遍只需15分钟,需要申请信贷时可以临时解冻。
定期审计
设一个季度提醒来审查你的账户。你还在用哪些服务?哪些服务有权访问你的数据?哪些可以删除?你的攻击面越小,你就越安全。
总结
这些都不复杂。使用密码管理器。启用双因素认证(如果你想更进一步,我写过关于硬件安全密钥的文章)。不要点击邮件中的链接。更新你的软件。检查你的权限。
这些基本操作会让你领先于网上90%的人。剩下10%的风险降低需要指数级增长的努力,对大多数人来说,基本面已经绰绰有余。
安全不是你买的产品或一次性设置。它是习惯。但这些习惯并不难。它们只需要你真正去做。
你的 IT 部门不是什么巫师。他们只是比你搜索得更快。现在你也知道他们知道的了。用起来吧。
