最近在 TG 群里有人发了一个社工库机器人,可以查询自己的信息泄露情况。社工意思是社会工程学,在网络安全里用的比较多。不了解的可以去查查相关资料。我查了自己的泄露情况,根据自己的 QQ 号码查到了十多年前用的手机号,昵称,身份证号和一些用过的密码,查完后我还是挺震惊的。虽然一些信息比较旧,但是基本的信息比如身份证号码都有,而且这些信息一旦泄漏了,就算想补救也没办法。手机号、密码可以换,但你总不能去换个身份证号吧。有个朋友也委托我查了下他的,结果连最近就职的公司都能查出来,而且信息比较新,密码也都是他最近在用的密码。从这里可以看出,中国的个人隐私泄露状况比大多数人想象的还要严重非常多。

国内的网络安全状况堪忧

国内的大多数网络服务注册的时候需要用手机号进行实名验证,然而国内的企业对公民隐私的保护水平却跟不上要求,各种网络安全事件频发,超过亿级的数据泄露也屡见不鲜。这些泄露的数据会在各种灰黑色论坛,暗网渠道交易,现在能让你查到的这些数据。都不知道是经过了多少手的数据,黑产会想办法将这些数据的价值榨干。

如何才能保护好自己的隐私?

目前的网络环境就是这么严峻,作为普通人,如何才能减少自己的隐私泄露呢?我总结了以下几点:

  • 不要注册非必须的网站、论坛、APP
  • 对于必须注册,但只是临时用的网站,可以使用临时邮箱注册
  • 注册的时候优先使用邮箱(如果你使用 QQ 邮箱,那最好为你的 QQ 邮箱启用一个英文地址,不要和 QQ 产生关联)
  • 用户名或者昵称最好也能随机产生(不要觉得自己喜欢的昵称看着舒服,这也让别有用心的人能从多个网站泄露的信息中轻易的判断这是同一个人,从而产生关联)
  • 最好注册多个邮箱账号,区分自己重要的邮箱和专门用来注册网站的邮箱,邮箱地址不要包含或者让人联想到真实姓名,生日等信息
  • 每个网站的密码不要重复,长度不少于 16 位,包含大小写字母、数字、特殊符号
  • 尽可能使用微信,Apple ID 等第三方登录,微信目前还可以开启微信小号
  • 如果网站支持,尽可能开启两步验证,使用 Google Authenticator 或类似的应用生成密码,而不是通过手机接收短信验证码

以上几点建议看起来比较复杂,但你可能也看出来了,有个比较重要的原则,那就是尽可能减少信息之间的关联。我们无法彻底不使用网络,那就不要让人轻易的从你的邮箱,密码中就能看出来你的真实姓名和生日。不要让坏人从网站泄露的信息中,东拼西凑出你完整的个人信息。

有哪些比较好的实践方案?

密码管理器

别把密码都放在你的脑子里了,交给密码管理器就可以了。一个好用的密码管理器,可以让你只记住一个密码就够了,能做到每个网站的密码都不重复,而且可以自动填充密码。目前我使用 1Password,支持 iOS,Android,macOS,Windows,配合浏览器插件,Dropbox 跨平台同步,对所有支持的网站都启用了两步验证,还省去了安装一个 Google Authenticator 的麻烦。1Password 的体验在目前的所有的同类产品中也是出类拔萃的,强烈推荐!

临时邮箱服务

这类的服务比较多,搜索一大堆,找一个可以用的就行了,我不再推荐。