社交账号登录

社交账号登录

0/34

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

智能

病毒、泄密一个接一个,用这 7 个办法保护你的数字生活 | Hack Your Life

周韶宏 朱若淼

保护你的数字安全,没有听上去那么麻烦

你的电脑最近中招了吗?

WannaCry 爆发之后,三天就锁住超过 30 万台 Windows 电脑,据说造成 80 亿美元损失。

你不难在社交网络上找到毕业论文被锁住,没法交作业的抱怨。当然具体是怎么一回事就只有当事人自己知道了。

这不是唯一针对你的数字世界发起的攻击。IBM 去年年底一份报告说,大约 40% 的垃圾邮件中都包含恶意程序。

不止是电脑,Android 病毒的类型也已经超过 3000 万种。

被认为更安全的 iOS 也曾被攻破,苹果去年紧急打了补丁。这次 WannaCry 就有攻击苹果操作系统的可能,苹果随后提供了 23 个 iOS 和 macOS 的安全补丁。

而互联网公司自己造成的安全问题也没消停过。今年初,有人发现支付宝在某些情况下可以修改好友的账号密码。通过“选好友”和“选买过的商品”之后,就能顺利登录然后用二维码付款消费。

58 同城也出现过简历泄露事件,700 元就可以采集全国的简历;优酷遭遇过“上亿用户账号”的泄露。

金钱损失和隐私泄密以外,照片丢了、工作的文档、之前收集过的文件……都广泛存在着丢失和泄露的风险。你也许有过经历,一旦出问题就会带来很大的麻烦。

我们今天已经很难摆脱数字化,不管财产损失还是数据丢失,都是件麻烦事。

一般人出门会锁门、从银行取了捆钱知道不要捧在手上往外走。数字世界里也一样,没有理由不去保护自己的数字世界。

值得保护的数字信息大致可以分为四类:

1.  和钱有关的。可能是信用卡、网银、支付宝,也可能是购物网站的密码。

2.  重要的隐私。私密照片、身份信息、聊天记录……没人想让这些东西落入别人的手里。

3.  工作和生活积累的成果。从过去拍的照片到熬夜做出的 PPT。

4.  没那么重要,但丢了会让你不爽的东西。这可能是攒了好多年的电影,也可能是花钱配置好的软件。

最基本的是微信、支付宝、银行账号不出问题。裸照不被传得到处都是。

最理想的是即便手机、电脑莫名自燃,你也可以在一小时内把新手机、新电脑变得和之前一摸一样,不用浪费一两天在装软件、拷数据上。

我们推荐这 7 个包含工具推荐的方法,大多不会占用太多的学习成本。


题图来自 Pixabay

GIF 图来自 Giphy

管理密码还是最重要的,但可以抓大放小

在线支付已经足够方便,尽管各种和支付有关的服务都有更严格的安全机制,但还是会有像支付宝密码 Bug 这样的事件出现。

一个关于密码的迷思是,为了让自己记得清楚,我们倾向于把账户设置成相同或相似的密码。有时候为了便于记忆还会加入包含个人特征的字母和数字,比如生日或者电话号码。但这显然不够安全。

复杂的密码会提高安全性,但也不能一直用着。密码的使用习惯比密码本身重要。

重要的服务不要和其它服务使用同样的密码

大部分的密码泄漏并不是一个黑客盯着某个特定用户,而是整个互联网服务的密码库泄漏。这个你很难避免,网易邮箱、雅虎账号都出过问题,它们可都是十几年历史的科技公司。

你可以做的是,划分服务的重要性,确保最重要的几个服务的密码不是太蠢(比如 password、12345678、自己生日,或者手机上 4680 解锁),否则互联网公司再大的安全投入也没法保护你。

许多人是两三个密码用在所有服务上,这样丢了一个就让其它服务置于危险之中。

我们不用费力保护每一个服务,一些不重要的论坛、网站用同一个密码问题也不大,但最核心的几个服务需要有独立的密码。比如微信和支付宝,它们可能已经掌管了你大部分的财产和社交关系。再比如网银、工作邮箱。

注册这些互联网服务的时候尽量用邮箱,而不是更方便的手机号登录。当手机号和其它个人信息一同泄露,有可能帮助诈骗者编出更好的故事。

大多数公司的短信验证都调用第三方服务,即便你相信自己注册的服务品牌,也没理由相信提供短信验证的公司。

即便用到邮箱注册,也尽量避免使用和邮件相同的密码。比如为了看网络小说注册的账号和 163 邮箱用同一个密码,一旦发生撞库就会有很大风险。Dropbox 就曾经重置了一大批用户的密码,这不是因为它自己的安全问题,是用户自 2012 年以后就没改过密码,Dropbox 认为他们的账号有被撞库侵入的风险。

如果你会科学上网,用 Gmail 来注册重要的服务还是很必要的。

密码托管谨慎点,或者用指纹

密码一多、还要经常更换,难免会忘。

如果你愿意,可以用 1Password(iOS | Android) 和 LastPass(iOS | Android)这两个密码管理工具,它们会帮你生成巨复杂的长串密码、支持各种应用和网页的自动填写。

它们其实也都遭到过攻击。LastPass 曾经两度承认遭到了黑客攻击,导致部分用户主密码泄露。

1Password 的好处是,你可以选择把数据留在自己的手机、电脑上,不通过它提供的服务同步。这样即便 1Password 网站被攻破,也不会影响你的密码安全。

如果不想用复杂的服务,记纸上也比桌面上放个 txt 文档安全。(当然,有点技巧,比如只记录密码,不记录服务名称和邮箱)

如果你使用指纹识别手机,也可以考虑尽量用指纹登陆、支付。现在不少应用已经支持指纹。

这不是为了安全,是为了省事。

开启两步验证

同样的,不少服务也已经使用了两步验证或者授权验证登陆。尽管通过短信的两步验证也有被攻破的风险,但有它远比没有安全。

苹果除了互联网产品上常见的两步验证,还在旗下产品上启用了 two-factor 双重设备验证,引入硬件加密。

当你在其它地方登陆 Apple 账户的时候,双重设备验证会往你指定的硬件产品上发送验证码才能继续登陆。相比通过传统的两步验证,双重设备验证更加安全。

确保手机号是新的,不要在应用以外输入验证码

使用微信和支付宝,很重要的一步是确保你绑定的手机号可以用。

这是一个经常被忽视但是重要的部分,一旦密码忘记你需要这两种渠道追回密码。所以记得保证它们时时畅通、经常更新。哪天忘了密码的同时发现绑定的手机号也早就不用了,问题就会变成一个难以解决的死循环。

如果你停机,过几个月运营商会把号码给别的用户,一不小心对方可以拿到你的账号,而你只能走繁琐的申诉流程。

另外,也不要回复任何类似验证码的信息,有用户被人利用验证码的回复攻破了手机号码,偷走了所有存款

尽量少在网页上交易

不用网页的原因在于,有人会用一个钓鱼网页伪装成淘宝或者京东,不加辨别你就可能把钱划给小偷。

你经常使用、一直还活跃的电商其实不多,下载它们的应用相对比较安全。

偶尔需要支付的,最好是跳转到支付宝、微信支付,不要在网页上直接输入卡号。凯悦酒店集团的系统就被黑客攻破过,数百万客户的信用卡卡号和 CVV 码(卡片背后的 3-4 位安全码)泄露,这足以让黑客制卡盗刷而不需要支付密码。

如果要海淘,用支持 PayPal 或者 Stripe 支付的网站,你的信用卡信息也会更安全一点。

对于不常用的海外互联网服务,可以考虑买充值卡消费——同样是为了减少信用卡信息泄露。

信用卡管家和自动记账工具都要谨慎

至于信用卡的使用,你可能已经有一套熟悉的使用习惯。但集合了多张信用卡的信用卡管家应用其实并不安全。

信用卡只要有卡号、有效期就能在线支付,美国亚马逊这样的网站甚至不用背面的安全密码。

而用信用卡管家就像把所有鸡蛋放在一个篮子里,你的信用卡会全部被暴露在风险之中。

最保险的当然是用银行的官方应用。如果觉得这些官方应用实在太难用,可以试试官方微信公众号,目前大部分银行都在公众号里添加了查询账单等等简单的功能。

或者还款的时候使用支付宝,它现在也能通过邮箱查账单,还会帮你整理还款记录。

同样的还有各种自动记账的理财应用。它们没能争取到很多银行的合作,有些在同步数据时让你手动输入收到的网银验证码——它的系统记录了你的密码,直接用这些密码登录网银。

和信用卡管理软件的问题一样,把银行账号、密码交给它们,对你没多大帮助但风险却大了很多。

照片不要备份在移动硬盘里

在所有日常所有的电子资料里,照片可能是你存在手机或电脑里量占储存空间最多而且最看重的资料。

它是一堆平日里被你存在手机或电脑里,但可能又不会太在意的数据。但哪天要是手机或电脑真丢了或者出问题,又没有做好备份,只能追悔莫及。

备份到移动硬盘不是个好选择。移动硬盘数据损毁的可能性远远高于大科技公司数据中心丢失数据的可能性。今天几乎所有做云计算的公司都在多个地理位置备份数据,确保地震、海啸之类的重大事故也不会影响用户存储的信息。

对于这部分信息,一个比较好的建议是储存在云端。

当然把照片上传本身也是有风险的,只能说把它们存到一个相对安全的地方。所以,如果你有极其隐私的照片,最保险的还是删掉吧。

如果你是 iPhone 用户,把照片同步到 iCloud 中就可以了。每个月多花 6 元,iCloud 能提供 50 GB 的云存储空间,对于手机里的照片量来说这个存储空间就差不多够了。

国内 Android 手机厂商基本也都提供了照片同步备份。需要担心的是你买的手机品牌是不是能一直活下去。所以除了它们的备份,还需要借助其它服务。

目前中国境内的网盘服务不太稳定,从去年开始微盘、115 网盘、360 云盘等网盘就在陆续关闭。同时它们在数据隐私方面也不值得信赖。

Google Photos (iOSAndroid)是相对保险又易用的选择,它禁止了搜索引擎搜索到你存到云端的图片等信息链接,使用上也很方便,可以自动同步手机里拍摄的照片,并分类上传。默认状态下这些照片都按原来的比例上传到你的 Google 账号中。

唯一麻烦的是,你得学会科学上网才能使用。

身份信息,比你想象中更容易被别人拿走

智能手机比以往的任何设备都更全面地渗入了人们的生活。这个每天都待在口袋里的设备,能够在你意想不到的情况下将你的隐私信息泄漏出去。

关于怎么保护互联网隐私和习惯,这里有一个知乎高票回答事无巨细地列举了密码的使用场景,有时间可以研究一下用做参考。

不要图省事用 Wi-Fi 应用

Wi-Fi 万能钥匙看起来是个方便的工具。它的原理很简单,有用户使用时,应用会收集这部设备连接过的所有账号密码,并存储在云端供所有用户使用。其他人遇到密码库中的 Wi-Fi 账号就能自动填充密码连接上网。

但方便的代价是隐藏的风险。一旦你允许万能钥匙自动联网,就等于把设备暴露在复杂的环境之中。不知道什么时候就会连接到含有隐患的公共 Wi-Fi 。

与此同时,如果不特别设置,你自己家的 Wi-Fi 也会被收录在这个巨大的密码库当中。

出门用手机热点上网的成本已经很低,比如现在联通日子不太好过,它为了吸引用户和多家互联网公司合作了低价 SIM 卡,可以低至每 GB 1 元。这更省事,也比公共 Wi-Fi 更安全。

涉及到身份信息都留个心眼

很多互联网服务已经需要实名认证,但其实在不是必须项的时候,你可以不用那么诚实。

注册各种账号的时候如果实在不想用邮箱注册,微信能提高安全性。这是因为它的登陆系统只授权名字和头像,对方能获得的信息比较少。

哪怕有时候必须留电话号码,你也不必留真实的姓名。同样的道理,网购时别把全名写上,避免它和你的电话住址一同出现。目前已经有电商和快递公司支持匿名购买、匿名物流,快递单上没有真实姓名并不影响你收货。

还有,办理各种证件的时候往往需要复印身份证、户口本、护照等等证件,在复印件的关键位置标注上这张纸的用途,也就能有效避免别人拿去用作它用。

街边经常有各种名义的问卷调查,比如招聘、银行办理业务、健身房优惠……这种情况可以谨慎一些,不得不填的时候就写个假的。

安装应用前,看一看应用权限

在手机上,应用想要获取信息也必须要经过你的同意,所以安装应用的时候别闭着眼就点“确认”,多花一点时间看一下应用的权限列表吧。

iOS 上,当应用提示说需要读取你的联系人资料或者地理位置信息的时候,想一下自己用这应用的时候,是不是真的需要让它看到这么多。

聊天也是可以备份和加密的

还有一项被我们忽略却容易产生风险的数据:你每天都产生的聊天记录。

微信是需要你自己备份的

微信可能已经装下了你大部分的社交关系,你会发现它占据的内存容量日渐膨胀,这不是没有理由——通讯录、聊天记录以及各种文件,微信保存着你大量的隐私数据。没人希望这些隐私遭到泄露。

但微信并不能自动、长期把记录上传到云端,只有一个“迁移”功能,需要保证你两台设备都完好无损。这意味着意外发生时比如手机丢失、系统崩溃,聊天记录就不复存在了。

如果你想保存宝贵的聊天记录,其实有一些选择。

最方便的是微信电脑客户端,今年 Mac 和 Windows 的版本都增加了备份到电脑的功能,你可以用它上传或恢复手机里的聊天记录。

腾讯自家的“电脑管家”有保存微信记录到电脑的选项。遗憾的是这个功能目前只支持 Android 手机备份至 Windows 系统。如果你用 iPhone,可以用 iCloud Drive 备份整个微信应用。

iPhone 用户还可以选择 WeBack,这是一个收费的 Mac 应用,可以把聊天记录导出为网页。可能很适合导出和 ex 的点点滴滴。

如果你对安全特别在意,微信以外有很多选择

即时通讯应用 Whatsapp 和 Telegram 采用了端对端加密的方式,可以保证安全。

隐私保护做的最好的应该算 WhatsApp (iOSAndroid),2016 年 WhatsAppp 做了一次大的更新,将所有的服务包括消息、通话、视频、群聊等都进行了加密,并支持所有的手机系统,包括 iOS、Android、黑莓等。

这种端对端的加密方式能确保只有用户和消息接受者能读取信息,其他第三方包括 WhatsApp 都不能看到用户的聊天内容,每一条消息都会生成唯一的安全密钥和安全锁。

它曾经被 Amnesty International(大赦国际)评选为最安全的即时通讯应用。

如果你担心扎克伯格为了进中国市场做什么奇怪的事,不妨选择排名第二的 Telegram(iOSAndroid),它由一家俄罗斯一家非盈利机构开发,并承诺不卖广告。Telegram 同样也采用了端对端的方式对用户的聊天内容进行加密。

去年它宣布用户量破亿,还在去年 11 月推出了匿名博客,如果用户更换浏览器或清理缓存,发布者的信息将完全追踪不到。

不过跟 WhatsApp 不太一样的是,目前使用 Telegram 还需要掌握了科学上网的方法之后才能使用。

类似的还有 Signal(iOS | Android),这家通讯应用一直致力于对抗各个国家的应用审查,用它打电话发信息都是加密状态,还需要双方输入一个密码才能联通。

工作文档,最好同步到云端

为工作和学习保管的文件,一旦丢失可不是感到遗憾那么简单了。就像这次的 WannaCry 病毒,实际上如果平时有自动备份文档,锁住一台电脑问题也不大。

工作文件还是同步保存比较好

如果你是 Windows 用户,比较简单的一个办法是使用微软自带 OneDrive 服务。

你只用将需要经常备份的文件存在 OneDrive (iOSAndroid)里,新增的文件会跟着自动同步到你的 OneDrive 中。此外,它自带的笔记本应用 OneNote 的数据也会自动上传储存在 OneDrive 中。有个问题是,除了 OneNote 文件更新效果还不错外,它的文件更新效果并不太理想,有时候你的文件不一定能同步成功。

想要自己的文件同步更保险一点的话,可以再下载一个 Dropbox(iOSAndroid)。使用方法跟 OneDrive 类似,申请了账号之后,将需要备份的文件夹拖入 Dropbox 的客户端或者网页版的文件页面就能完成备份了。之后如果你在这个文件夹里新添加的文件都会备份到 Dropbox 中。

它跟 OneDrive 都带有分享功能,只要在“共享”页面添加需要分享人的邮箱就可以了。同步后你也可以随时通过手机查看文件。不过它们都需要你掌握科学上网的办法。

想进一步研究笔记应用的话,这里还有一份包含 20 个工具的使用指南

什么都可以备份

今天基本什么都可以备份。我们之前做过一期 Hack Your Life 专门谈这件事。

除了传统的文档和照片以外,游戏、音乐、电影也都可以通过相应的服务解决。

需要的话,点这里进去

整个电脑的备份,也可以定期做一下

手机和电脑都有备份都办法

一旦出现意外需要更换设备时,你可能希望新设备一打开就变得和原本那台一模一样。这需要在平时时常做备份。

现在,要备份手机上的东西并不需要在电脑上打开各类手机助手、再将手机和电脑连上,大部分的手机厂商已经在系统内置了备份程序,比如 iPhone 的 iCloud、小米的小米云服务等。

只要手机有足够的电量,并且连着 WiFi ,就能快速上传通讯录、短信等资料,照片、应用之类的备份通常也都包含在其中。

等到更换设备,云端的备份会自动把这些内容同步到新手机上,甚至应用产生的使用数据。

如果只是想备份通讯录,可以直接用微信的通讯录同步助手。反正不管怎么样你都会让微信扫描你的通讯录,反正换手机后都会再装微信。

鉴于可用的网络云盘服务越来越少、它们本身也并不安全,如果你的备份需求比较高,我们建议还是放一份到本地的电脑上,再给电脑做备份。(也就是备份的备份……)

如果用 Mac 电脑的话,你可以很方便地用 Time Machine 备份整个电脑的数据。中间差了几天,也可以靠互联网服务自己的同步功能补上。

移动硬盘备份前,记得加密

移动硬盘的确不是备份的最佳选择,如果把全部家当都存放进去,硬盘本身一旦丢失、损坏、被盗走,等于所有资料倾家荡产。

况且有时候它也会犯毛病连不上电脑什么的。

如果一定要用,它可以在之前的几种备份方法之外充当补充,但记得给硬盘加密。现在希捷、西部数据等主流的品牌都自带加密功能。

如果你使用 Windows 操作系统,把硬盘连接后可以用自带的 Bitlocker 对文件做加密处理,不需要第三方软件。

Mac 本身也可以通过 Bitlocker 加密硬盘,这能避免别人绕开操作系统看到电脑里的东西。

最后也是最基本的,升级你的系统

对 Wannacry 病毒来说,其实感染前的一个安全补丁就可以有效把它拒之门外,病毒的攻击正是基于 Windows 的系统漏洞。就好比疾病疫苗,你需要在病发之前就有准备。

iOS 越狱和关闭 Windows 软件更新的一个危害就是没法及时更新,这是危险发生后最及时有效的处理方式。

收到提示后及时升级操作系统吧,不然厂商的安全人员再努力也架不住你不升级系统。