Andrej Karpathy发布了一篇“数字卫生”主题的博文,提醒人们注意网络隐私和安全,下为翻译。很多内容可以参考,也有很多内容是基于美国生活环境(比如信用卡部分)而写的。我自己用的密码管理器是keepass2
-----------------------------------------------
时不时地,我会被提醒互联网上庞大的欺诈机制,这让我重新重视起日常计算中关于隐私/安全的基本数字卫生习惯。这种不靠谱的现象始于那些大型科技公司,它们有动力构建关于你的全面档案,直接通过广告变现,或者将其出售给专业的数据经纪公司,这些公司会进一步丰富、去匿名化、交叉引用并再次出售这些数据。不可避免的、定期的数据泄露最终会将你的信息汇集到暗网档案中,为整个地下垃圾邮件/诈骗行业提供养分,包括黑客攻击、钓鱼、勒索软件、信用卡欺诈、身份盗窃等。本指南汇集了最基本的数字卫生建议,从最基础的到稍微小众的都有。
密码管理器。你的密码是你的“第一因素”,即“你知道的东西”。不要像个新手一样,为每个注册的网站或服务创建新的、独特的、复杂的密码。结合浏览器扩展,可以快速创建和自动填充密码。例如,我使用并喜欢1Password。这可以防止你的密码1)被轻易猜测或破解,2)一旦泄露,就会为许多其他服务打开大门。作为回报,我们现在有了一个集中存放所有第一因素(密码)的地方,因此我们必须确保它得到彻底的保护,这就引出了……
硬件安全密钥。你生活中最关键的服务(例如Google或1Password)必须额外使用“第二因素”进行保护,即“你拥有的东西”。攻击者必须同时拥有这两个因素才能访问这些服务。许多服务最常见的第二因素是电话号码,即你会收到一条带有验证码的短信,除了密码外还需要输入验证码。显然,这比完全没有第二因素要好得多,但众所周知,使用电话号码非常不安全,因为存在SIM卡交换攻击。基本上,攻击者可以轻松地打电话给你的手机运营商,假装是你,并要求他们将你的电话号码转移到他们控制的新手机上。我知道这听起来很疯狂,但这是真的,我有很多朋友是这种攻击的受害者。因此,购买并设置硬件安全密钥——这是工业级保护标准。我特别喜欢并使用YubiKey。这些设备在安全元件上生成并存储私钥,因此私钥永远不会出现在像笔记本电脑这样可疑的通用计算设备上。一旦你设置了这些,攻击者不仅需要知道你的密码,还需要物理上拥有你的安全密钥才能登录服务。你被攻击的风险降低了大约1000倍。购买并设置2-3个密钥,并将它们存放在不同的物理位置,以防止你丢失其中一个密钥时被锁在外面。安全密钥支持几种认证方法。在你的服务的第二因素设置中寻找“U2F”作为最强的保护。例如,Google和1Password都支持它。如果必须,可以回退到“TOTP”,并注意你的YubiKey可以存储TOTP私钥,因此你可以使用YubiKey Authenticator应用程序通过NFC轻松访问它们,只需将密钥靠近手机即可获取验证码。这比在其他(软件)认证应用程序中存储TOTP私钥要好得多,因为你同样不应该信任通用计算设备。虽然本文无法详细展开,但我强烈建议使用2-3个YubiKey来大幅增强你的数字安全。
生物识别。生物识别是第三个常见的认证因素(“你是什么”)。例如,如果你使用的是iOS,我建议基本上在所有地方都设置FaceID,例如访问1Password应用程序等。
安全问题。老派企业痴迷于安全问题,比如“你母亲的娘家姓是什么?”,并时不时地强迫你设置这些问题。显然,这些问题属于“你知道的东西”,所以它们基本上是密码,但对骗子来说很方便的是,这些问题很容易在开放的互联网上查到,你应该拒绝任何参与这种荒谬“安全”练习的提示。相反,将安全问题视为密码,为随机问题生成随机答案,并将它们与密码一起存储在1Password中。
磁盘加密。始终确保你的计算机使用磁盘加密。例如,在Mac上,这个非常简单的功能被称为“File Vault”。这个功能确保如果你的电脑被盗,攻击者将无法获取硬盘并随意访问你的所有数据。
物联网。更像是“垃圾物联网”。尽可能避免“智能”设备,这些设备本质上是非常不安全的、联网的计算机,它们收集大量数据,经常被黑客攻击,而人们却心甘情愿地将它们放在家中。这些东西有麦克风,它们会定期将数据发送回总部进行分析,并“改善客户体验”,哈哈,好吧。举个例子,在我年轻且天真的时期,我曾经从中国购买了一个二氧化碳监测器,它要求了解我的一切以及我的精确物理位置,然后才告诉我房间里的二氧化碳含量。这些设备是对你隐私和安全的巨大且非常常见的攻击面,应该避免使用。
消息传递。我推荐使用Signal而不是短信,因为它对所有通信进行端到端加密。此外,它不像许多其他应用程序(例如iMessage、WhatsApp)那样存储元数据。启用消失消息功能(例如默认90天是个不错的选择)。根据我的经验,它们是一个信息漏洞,没有显著的好处。
浏览器。我推荐Brave浏览器,这是一个基于Chromium的隐私优先浏览器。这意味着基本上所有的Chrome扩展都可以开箱即用,浏览器感觉像Chrome,但Google不会对你的整个数字生活了如指掌。
搜索引擎。我推荐Brave搜索,你可以在浏览器设置中将其设为默认。Brave搜索是一个隐私优先的搜索引擎,拥有自己的索引,不像Duck Duck Go,它基本上是Bing的一个漂亮皮肤,并且被迫与微软建立奇怪的合作伙伴关系,从而损害用户隐私。与本列表中的所有服务一样,我每月支付3美元购买Brave Premium,因为我更愿意成为客户,而不是我数字生活中的产品。根据我的经验,大约95%的搜索引擎查询都是超级简单的网站查找,搜索引擎基本上充当了一个小小的DNS。如果你找不到你想要的东西,只需在搜索查询前加上“!g”,它就会重定向到Google。
信用卡。为每个商家创建新的、独特的信用卡。没有必要在许多服务上使用一张信用卡。这允许它们“链接”你在不同服务上的购买行为,此外,它还使你容易受到信用卡欺诈,因为服务可能会泄露你的信用卡号。我喜欢并使用privacy.com为每一笔交易或每个商家创建新的信用卡。你可以获得一个漂亮的界面来查看所有支出和每次刷卡的通知。你还可以为每张信用卡设置限额(例如每月50美元等),这大大降低了被收取超出预期金额的风险。此外,使用privacy.com卡时,你可以在填写账单信息时输入完全随机的姓名和地址信息。这非常重要,因为完全没有必要,而且非常疯狂的是,随机的互联网商家应该获得你的物理地址。这让我想到了……
地址。没有必要向互联网上的大多数随机服务和商家提供你的物理地址。使用虚拟邮件服务。我目前使用Earth Class Mail,但说实话,我对此有点尴尬,我正在考虑切换到Virtual Post Mail,因为它在隐私、安全、所有权结构和声誉方面有更强的承诺。无论如何,你会获得一个可以提供的地址,他们会接收你的邮件,扫描并数字化,他们有一个应用程序让你快速查看,你可以决定如何处理它(例如粉碎、转发等)。你不仅获得了安全和隐私,还获得了相当多的便利。
电子邮件。我仍然使用Gmail,仅仅是因为它非常方便,但我也开始部分使用Proton Mail。在谈到电子邮件时,我还有几点想法。永远不要点击你收到的任何电子邮件中的任何链接。电子邮件地址非常容易被伪造,你永远无法保证你收到的电子邮件不是来自骗子的钓鱼邮件。相反,我手动导航到任何感兴趣的服务并从那里登录。此外,默认情况下在电子邮件设置中禁用图像加载。如果你收到一封需要查看图像的电子邮件,你可以点击“显示图像”来查看它们,这完全不是问题。这很重要,因为许多服务使用嵌入图像来跟踪你——它们将信息隐藏在你获得的图像URL中,因此当你的电子邮件客户端加载图像时,它们可以看到你打开了电子邮件。这完全没有必要。此外,混淆图像是骗子隐藏信息以避免被电子邮件服务器过滤为诈骗/垃圾邮件的一种方式。
VPN。如果你想向服务隐藏你的IP/位置,你可以通过VPN间接实现。我推荐Mullvad VPN。我默认关闭VPN,但在处理我不太信任并希望获得更多保护的服务时,我会选择性地启用它。
基于DNS的拦截器。你可以通过在DNS级别拦截整个域名来拦截广告。我喜欢并使用NextDNS,它可以拦截各种广告和跟踪器。对于喜欢折腾的高级用户,pi-hole是物理替代方案。
网络监控。我喜欢并使用The Little Snitch,我已将其安装并运行在我的MacBook上。这让你可以看到哪些应用程序在通信,传输了多少数据以及何时传输,因此你可以跟踪计算机上的哪些应用程序“打电话回家”以及频率。任何通信过多的应用程序都值得怀疑,如果你不期望这种流量,可能会被卸载。
工作与生活分离。理想情况下,不要在工作计算机上登录或访问任何个人服务。大多数工作计算机上都安装了公司运营的间谍软件,以保护公司的知识产权。这很好,也很有道理,但你应该知道,计算机上的任何活动都很可能被广泛记录(网络、键盘记录器、截图等),并可能由安全部门主动监控。
我只是想过一个安全的数字生活,并与只泄露必要信息的产品和服务建立和谐的关系。我希望为我使用的软件付费,以便激励一致,并让我成为客户。这并不容易,但通过一些决心和纪律,这是可以实现的。
最后,列表上没有的内容。我仍然主要使用Gmail + Gsuite,因为它太方便和普遍了。我也使用𝕏而不是一些异国情调的东西(例如Mastodon),用便利换取主权。我没有使用VoIP一次性电话服务(例如MySudo),但我对此感兴趣。我并没有真正创建新的/独特的电子邮件地址(例如SimpleLogin),但我想这样做。旅程还在继续。如果还有其他应该列入本列表的技巧和窍门,请告诉我。
AI生活指南AI创造营
