在周二的分享中,我们讨论了话题:「聊一聊有哪些保护个人信息安全的小技巧?」大家推荐了许多实用的小技巧,水母整理了大家的分享,推荐给大家。
@磨砂罐头:
证件注意加水印:个人信息被盗用有很大一部分是证件信息的盗用,比如身份证 银行卡,毕业证学位证之类的证件,平时在保管和使用的时候都需要注意。
拿最常用的身份证来说,一般来说都是要在复印件上加添加用途备注,要点分为3部分:
1. 提供给哪个单位
2. 提供证件的用途
3. 声明该证件用于其他事项无效(他用无效)
具体可以网上查询一下样例,有很多图示的版本。注意写备注的时候要将文字与证件上的字有接触,这样就不好涂改或者遮挡后再翻印,至少增加了盗取信息的难度,并且多行写备注一定要在行尾加横线 避免其他人追加文字。对于上传到网络的证件,可以手动加水印也可以用一些对应的加水印的软件来实现,这个可以网上找,注意软件提供方是否正规。
TOR?:这个点是不是不要展开会好点,哈哈哈哈,有点敏感,其实这里是可以配合后续的操作习惯一起的说的,我就在后续几点里面展开吧。
注意日常使用设备的操作习惯:这里就是日常登陆的网站啊/习惯使用的软件什么的都需要注意使用的场景和操作的顺序 。比如区分在家登陆和公共场合的登陆;重要的账号在公共场所登陆后要注意退出;登录账号输入密码的时候注意周围是否有人盯着你的输入;平时不要习惯乱用他人的电脑登陆 ;也注意不要总把私人账号随意借给别人使用 。
再就是密码之类的不要所有地方都用同样的密码!!!可以使用密码生成/管理工具 , LastPass / 1Password 之类的辅助管理密码,还可以根据站点自己创建一些规则来管理密码。比如自己定义密码规则为:固定口令+站点信息+随机字符。然后保留好对应的密码记录就安全很多。不怕麻烦的话可以区分工作账号/学习账号/生活账号,建立多套账号体系 对应的应用/网站只使用对应的账号去操作 做好记录和隔离…
LastPass
1Password
手机号/银行卡这些,如果记录做得好最好是专卡专用/专号专用 ,比如快递只用一个备用 的手机号 / 银行业务只用某一个手机号 。现在虚拟运营商以及各种小号服务也不少,阿里小号什么的,有兴趣都可以尝试一下,主要的思路就是根据不同的场景将自己的身份信息做好隔离。
关注网页源代码 - 也是前端的好习惯 :对代码知识有一定了解的话,可以保持这个好习惯,很多恶意网站的制作水平很一般,有些地方不能乱点,有些地方可以避雷 反正能从代码层面预防一些危险。
各种破解文件注意来源:破解文件是恶意程序的重灾区,毕竟涉及到脱壳破解之类的东西,如果有防火墙等安全程序,基本对破解程序都是采取拦截的…大多数人为了完成破解就选择给破解文件放行…这里面的风险自行评估吧。需要加一句请支持正版。
用沙盒/虚拟机等环境使用敏感程序/上敏感网站 :使用沙盒/虚拟机的主要思路就是隔离危险,即使是恶意程序也是将这个程序的破坏范围限制在了「笼子里」提升了安全系数。
非联网程序还可以通过断网/改 HOST 等方式,在单机环境中运行。
少贪便宜!!!:少贪便宜 努力挣钱 不用多说了吧。
@何建博:
链接:来源不明的链接不要点。
软件下载:下载软件一定要去官方网站下,百度 360 或者多特软件这样下载服务的最好不要用。
电话卡:能买一张非实名制的电话卡尽量买一张,所有抽奖类,注册类,投票类,调查类的活动要求填电话号码的尽量用它,银行金融类预留号码和支付了类除外。
邮箱:邮箱类似,专门申请一个用来注册各类网络服务的邮箱,工作和信得过的服务除外。
个人信息:在网络上发布信息时尽量不要带太多个人信息。
运营商:当然,如果运营商,银行或者微信支付宝这类大型互联网企业有内鬼,那就防不胜防了。
@百里:
密码管理软件:每个网站、App 应使用不同的密码;最重要的几个网站,如 Apple ID、Google 账号等使用强密码,并记在脑袋里;
阿里小号:使用 阿里小号 之类的服务,快递、外卖、大部分不重要的 App 都用这个号码注册,续费可以多续几年。
快递信息: 快递的地址最好不要精确到几楼几号,写小区名字就行了。现在大部分都可以送快递柜,以前可以放保安亭;
iOS 11 :如果使用 iOS 11 的话,外出时记得在「设置」中关闭 Wi-Fi 连接,在「控制中心」里关闭只是断开连接。。
@KGB陈龙:
密码管理:所有密码必须为强密码,可以确定一组核心密码,各个网站添加字符进行变种,控制好使用时间。
浏览器:不要使用任何国产浏览器的密码保存功能。目前来看能信任的只有火狐、Chrome 、苹果浏览器。打开防止追踪功能。
邮箱:任何邮箱都必须开启两步认证,的确麻烦,但安全。
ghost系统:不要使用任何 Ghost 系统,尽量避免破解软件的使用,有疑问的可执行文件切勿直接打开。一个具备沙盒功能的正版杀毒软件,如卡巴斯基,是非常有必要的
重要资料:重要资料不上网,依然是行之有效的机密措施。
快递外卖:快递外卖可以使用假名字,电信小号等短时间使用号码。
Apple pay:Apple pay 比直接递给对方一张有认证码和有效期的信用卡安全许多,微信支付和支付宝同理。
身份证:若无必要,避免一切身份证认证的应用。
??:言多必失,少留痕迹不被注意是最好的方法,没有一个大黑客整天像我们这么贫……这点各位随缘吧……
@10號同学:
密码管理
1. 一般等级:分三四个等级来操作,所谓等级就是「不同网站字母前缀+数字+符号」。(三者顺序可以按自己习惯调整)每个等级主要体现在数字和符号的不同,而字母的不同是因为网站的不同,但是分等级主要是对网站的归类,不同级别的网站用不同级别的密码。
2. 独立等级:这类密码主要是支付宝、微信、邮箱、银行卡,这类密码等级是独立且唯一的,不能跟以上等级中数字部分相同。
3. 死密码:固定字母数字符号,这类密码针对临时注册论坛等一次性网站。
4. 密码管理器:一般等级的密码和死密码可以用密码管理器来保存记录,独立等级的密码不能用密码管理器保存记录。(密码管理器的密码也应该归入独立等级密码。)
例子:
一般等级:
等级一:网站字母前缀12345.
等级二:网站字母前缀67890.
等级一的网站
微博密码:wB12345.
博客密码:bK12345.
知乎密码:zH12345.
等级二的网站
有货密码:yH67890.
亚马逊密码:yX67890.
京东密码:jD67890.
独立等级
独立等级一:字母13579@
独立等级二:字母24680@
微信密码:Nb13579@
支付宝密码:Mb24680@
(前缀可以选择自己的英文名或者姓名字母简称等熟悉的字母组合,但要做到唯一)
死密码:
wocao123123.
草榴网站:woxao123123.
x-art网站:wocao123123.
账号管理:
邮箱
死密码注册的一次性网站对应无用的备用邮箱;选择一两个邮箱作为注册其他网站、app使用,常用大型知名网站(知乎、微博等)才可用主邮箱注册,但作为联系用的主邮箱应该慎重注册网站账号。
qq 直接登陆
手机(尽量不绑定手机为前提,少收点垃圾信息)
密码分级管理:因为这样分等级管理是很方便的,加上每个网站密码前缀字母的变化 就可以做到每个网站密码相对独立,而重要账号密码做到独立唯一 这样就大大排除被撞库的可能性了。
@t_splone:
服务:1. 申请一个 Google Voice ;2. 一些时候,可以用运营商提供的小号服务。
@xxu:
区分:把自己的「公开号」和「私密号」彻底分开。填用户信息的时候能少填就少填…其实想想普通人确实也没什么特别好的方法¯\_(ツ)_/¯
@LK:
快递:上网买东西,我的收件人名称都自己编一个名字,现在快递都直接放寄存柜自己去领,快递员不会与你较真名字的真假。
@Silence_劉:
日常注意:二维码别乱扫,免费 WiFi 不要乱连,网购去大平台;电脑经常查杀,手机尽量不要 Root,不装来源不明软件。
@暫不起名:
输入密码:手机或者刷卡输入密码时,要四处看看摄像头,不要被录像录到了。商场收银台刷卡,也要注意遮挡密码。
顺便提一句,如果想看到白眼,刷卡遮挡键盘收银员会让你看到。
信用卡:Visa 和 MC 信用卡,卡面所有信息被知晓后即使不靠密码也可以在国外网站上购物。可以记住背面的三位数字后抠掉,这样丢失了也不怕被盗用来网购。
@林冠杰:
注册名:假如要注册网站的名字留一手,百度,可以写百小度,新浪,新晓狼等等。
优惠:不明链接填写手机号码得优惠时,有可能是陷阱。
@水波丨信息安全工作者、专栏作者:
网名:作为网络用户首要的识别符号,由于网民们本身就讨厌网名跟人重复,往往会想一些具有特别性和唯一性的名字在各个网络平台上反复使用。这样就导致很容易通过搜索引擎将使用相同网名的网络用户在各个不同平台上所留下的不同线索关联起来。因此在一些不太重要的网络平台上,可以考虑使用一个或两个便于记忆又没有太多相似性的网名进行活动。
注册 ID:基本上与网名的意义近似,但由于现在的网络产品设计中很多都将注册 ID 默认作为网络邮箱的用户名,这也给垃圾邮件泛滥或者猜测注册邮箱的行为提供了方便。另外,注册 ID 很多都使用了字母 + 数字的命名方式,数字方面有很多人使用生日或者 QQ 号,这也是很错误的行为。防范方式同上, 在一些不太重要的网络平台上,可以考虑根据平台运用的不同,使用多个便于记忆而又没有太多特殊性的 ID 进行注册。
注册邮箱:随着我国整体网络安全意识的提高,单纯通过搜索引擎就能查到用户注册邮箱的方式基本上不太多见了。但由于垃圾邮件的自动性和批量性,在网络安全界的「背阳面」已经存在了海量的用户名库和密码库的情况下,使用一个用户名,然后自动往各大邮件服务提供商的相应邮件地址发送垃圾邮件的方式也是理所当然的。在这点上我能做的建议只是,私人与工作邮箱,尽量不要在网页中公开;注册用邮箱或者网友联系邮箱,可以用 Gmail,对垃圾邮件的拦截效果相对更好一些。
QQ 号:QQ 号是中国网民泄露个人信息最常见的渠道。首先是在各种论坛与社交网络中,个人资料中往往会要求或建议填写 QQ 号,这便为潜伏于社区中的不怀好意者提供了信息。另外,由于 QQ 邮箱(的确还算好用)在我国很大数量的网民中是作为首选默认邮箱所使用的,在各种论坛、社区的帖子中被经常回复在帖子中以获得某些资源。这些都为社工提供了从社区内容、QQ 资料、QQ 空间等渠道获得个人信息的绝好途径。现在很多人都有不止一个或者两个 QQ,可以考虑用一个特别的 QQ 号专用于在网络公开或半私密空间进行联络。
真实姓名(手机号码)与社交网络:这东西其实是社工最终变成「人肉搜索」的一个突破点。我相信大多数网民在上网时对自己的真实姓名的提供还是有所保留的,但说实话作为一个专业的信息安全工作者,对这点我也是最无可奈何的。我们即使可以控制自己不去那些要求真名注册的社交网络如人人网或者征婚网一类,但我们没法控制那些知道我们真实姓名的「别人」把我们的身份泄露出去,人类这种动物总是对别人隐私的保全兴致缺缺的。因为我们没法不在使用电子商务网站时不使用真名,否则我们无法付款也无法收货;我们也没法不在使用网上订票订房网站时使用真名,否则我们无法登机或者入住。
综上所述:个人对于个人信息与互联网隐私保护所能做的事情其实是不多的,除非你完全不上网,那你的信息就必然会在网络上以数字化形式存在,而只要是数据就必然存在着外泄的风险,更别说很多的数据外泄都是内部人员有意出卖的。大数据的主要参与主体:政府、企业和公民,政府享有权力垄断并且缺乏竞争者,因此缺乏改进技术来保护公民隐私权的动力;在某些情况下政府的大数据业务应用甚至直接成为公民隐私泄露的主要来源之一(事实也是如此);而由于企业可以直接从大数据中挖掘商业价值,在目前又不会面临侵权受罚的风险,因此企业具有侵犯公民隐私权的动力。而最有足够动力保护隐私权的仅有公民一方,由于大数据发展本身是非对称的过程,公民受到技术条件与有限知识水平约束,并不具备足够的保护自身数据隐私的能力,公民隐私权保护能力与市场主体的侵犯动力相差悬殊,这种状况必须得到高度重视和改善。
◆
利器,创造者和他们的工具
网站:https://liqi.io;微博:@利器 IO
联系合作:bob@the-offline.com