用户没有隐私但安全常识仍然有用
2015-11-07顾玥编辑张妍插画超人爸爸
文|顾玥 编辑|张妍 插画|超人爸爸
用户没有隐私但安全常识仍然有用
文|顾玥 编辑|张妍 插画|超人爸爸
我们何其幸运
无法确知
自己生活在怎样的未来
互联网是危险的,但总有些遮蔽自己的方法。
部分极度重视隐私的用户,选择减少使用谷歌这类留存用户信息的搜索工具,而事实上,有关互联网安全,使用习惯与技术问题同等重要
“别天真了,用户是没有隐私的。”采访中,网络安全公司知道创宇的核心研究员张祖优先生前后强调了4次。
去年年末,铁道部官方订票网站12306发生用户数据泄露事件。知道创宇最新定性这是一起“撞库攻击”事件,即黑客通过收集其他平台泄露的用户名和密码信息去“冲撞”12306的数据库进行匹配。你的信息一旦录入数据库就可能被黑客盗取,或者遭遇服务商监守自盗的猫腻,甚至很多服务的用户协议里就明目张胆地写着他们会获取你曾经访问的网址以及通讯录等信息。接到过销售电话吗?收到过垃圾短信吗?管你愿不愿意,你的一切信息都晾在空中。
Gabriel Weinberg
DuckDuckGo创始人。DDG的名字源于西方的儿童游戏“鸭,鸭,鹅”(Duck, Duck, Goose),玩法与丢手绢类似,大家围成一圈,被拍到头说“鹅”的人要追赶拍自己的人。DDG采用了这个隐喻—当你拍某个人的头时,他就成了追逐你的人;在互联网上,点击的每个链接,都会成为追踪你的线索。
王昕烨
软件开发员,他觉得DDG无法取代谷歌,因为“从完成搜索这件事来说,DDG能做的,谷歌都能做。但是DDG不追踪用户,能做的事情就少”。
王心田
金融科技(FinTech)创业者,他认为用户信息是把双刃剑。新兴搜索引擎虽然可以为用户提供更多选择,但如果用户的个人信息不被搜索引擎追踪,那么搜索命中率也没那么高。不过,无论是“鸭子”还是谷歌,目前还都在“墙外”呢。
张祖优
网络安全公司知道创宇的核心研究员。知道创宇是国内最早专注于提供Web安全解决方案的自主创新型企业之一。张祖优的观点非常简单—“别天真了,用户是没有隐私的”。
虽然防不胜防,也总有些遮蔽自己的方法。部分极度重视隐私的用户选择减少使用谷歌这类留存用户信息的搜索工具,而改用DuckDuckGo(以下简称“DDG”)。DDG以维护使用者的隐私权为办站哲学,承诺不监控、不记录使用者的搜寻内容。“Google tracks you. We don't.”(谷歌追踪你,我们不,)DDG的图解指南上赫然写着:“关于你没人比谷歌知道得更多”。
“搜索引擎不可避免地会收到执法机关各种交出数据的要求—而我不愿上交任何数据。”DDG的创始人Gabriel Weinberg说。投资人Brad Burnham则相信,它能改变搜索领域的游戏规则,而对这一改变的需求正在变得迫切。这么一看,谷歌好像成了搜刮用户隐私的“老大哥”,面目可憎。
可惜对大多数人来说,这只傲气的“鸭子”远不能取代谷歌。软件开发员王昕烨认为,“DDG不追踪用户,能做的事情就少。”金融科技(FinTech)创业者王心田同样表示,“No Tracking、No Cookies—这是把双刃剑。”不追踪用户信息,就不能有效分析用户行为,搜索结果也就会有内容不足的缺陷。从安全从业者的角度看,张祖优认为,当遇到大型安全事件时,DDG也不像谷歌那样拥有充足的资源、技术和人才去解决问题。更何况,这只“鸭子”和谷歌一样,还被关在“墙外”。对国人而言,也许Startpage、Ixquick、Blekko这些新兴搜索引擎是更好的选择,“基本上,(这些搜索引擎)没Google那么追你,没鸭子那么不追你。”王心田说。
搜索栏只是输入隐私的窗口之一。除此之外,iCloud等云服务,安全性也常被质疑。但王心田认为,无论是iCloud、AWS(亚马逊web服务),还是 Google 旗下的云服务,从技术上看安全性都是第一流的。树大招风,但根基稳固。他表示,尽管每年的各大黑客大会都会出现几支牛X团队,能在几分钟内攻下谷歌、微软等大公司的系统,彰显战绩,但一来这种资质的黑客是极少数;二来有这种水平的黑客不一定就这么喜欢干坏事。实在不放心,大可像王昕烨一样使用多家云服务,避免其中一家获得自己的全部信息。
与好莱坞明星不同,我们普通人最要担心的不是私照外泄,而是与银行卡、支付宝等有关的信息被窃,但此时谈论被搜索引擎追踪隐私或被黑客黑进手机仍有点杞人忧天,隐私泄露有傻瓜得多的途径,比如把手机忘在了卫生间,又或者在别人眼皮底下输密码。在安全问题上,使用习惯与技术问题同等重要。王心田认为很多人根本没有安全意识:不换密码、密码太简单、各网站用户名密码一样、上不良网站时随便点击链接、不勤用杀毒软件也不经常更新杀毒软件库、不设管理员账号密码、在网吧等公共场所登录服务,等等。
想要保护隐私就必须多做些麻烦事,同时管好自己的手,譬如不要随意点击来路不明的邮件链接、把密码设置得尽可能复杂冗长并定期更换,不要乱点后缀是exe 的可执行文件,等等。懒人们大可以用iPassword等软件来管理密码,只要设定好一个主密码,它会自动生成高强度密码,并且加密存储,在用户需要输入相关信息时自动提示输入。无论如何,总比把密码记在电脑的记事本上强得多。再进一步,浏览器上可以运行各种插件,例如Web of Trust,这款插件会显示其他用户对指定网站的可信赖度评分,可以有效避免中钓鱼网站、低信用网站的招,而No Script可以禁止网页执行脚本程序,避免一些安全问题。
还有很多人以为使用苹果系统代表着安全,其实它看起来安全只是因为所占市场份额较小,对于黑客来说是新大陆。但近几年随着市场份额的迅猛增长,针对Mac OS X的攻击也越来越多,苹果用户恐怕还需要多补补课。
除非过回山顶洞人的原始生活,否则无法彻底保全个人隐私。“互联网是危险的,在于人是未知和危险的。”张祖优说。