1)不要给你所有网站、App 的密码都设置相同的密码。
一旦其中一个账号被黑,你所有其他账号都可能被撞库,损失巨大。我知道有很多人是资产相关的 App 用强密码,不相关的用统一的弱密码,这很不对。每天都有公司泄露安全信息,这其中就有可能包含你某个不常用的账户信息,进而被用来钓鱼或社工,将你暴露在无尽的风险中。
你可以使用 1Password / LastPass 这样的付费工具,每次随机生成密码,管理账户信息,也可以用 KeePass 这样的免费开源工具,用起来差不多。我们的目的很明确,将单个账户被黑造成的损失控制到最小。
2)不要让手机裸奔。
设置开屏密码、指纹识别或面部识别,及时备份整机,打开连续输错密码自动销毁机上数据的开关。手机不要 Root,不管你用 iPhone 还是安卓手机,第一时间更新到最新系统,不要让旧系统中的安全漏洞成为被攻击的对象。
3)不要在手机相册中保存敏感照片。
如护照信息页、身份证正反面等,信用卡只要有卡号、有效期、姓名、CVV 码就可以消费,因此也不要拍照存放到手机里。慎用任何第三方「云相册」,不要相信所谓的隐私保护条款,他们100%会分析你的每一张照片。
4)不要在境外旅游时刷信用卡。
我国大部分信用卡都是磁条卡,不带安全芯片。磁条信息和 PIN 码很有可能在支付时被商贩的机器记录,理论上,支付宝和微信支付比信用卡安全。
5)不要使用免费的「上网工具」。
它们打着免费旗号,实则极有可能截取你的通信,盗窃数据。有精力就自己买 VPS 搭建,没时间就租老牌厂商的飞机场。
6)不要使用腾讯手机管家、WiFi 万能钥匙…这样的共享网络 App。
一旦使用,你的路由器 SSID 和密码都会上传到服务器,其他用户搜索到匹配信号后即可使用。你不会希望自家的 WiFi 网络谁都能连,对吧。
7)不要在公共场合(包括但不限于机场、火车站、咖啡店、酒店…etc )使用它们的 WiFi。
经常有人使用名称与官方 SSID 近似的恶意节点引诱你连接,这些 WiFi 信号通常命名都是 “Airport_Free_WiFi_5G”、““Coffee_Free””之类,非常具有诱惑性,你也很难辨别是不是场所真正提供的 WiFi。
为了避免你在网络通信时,账户、隐私被窃取,保险起见用自己手机当热点吧。处理要紧事通常不会花太长时间,况且现在流量也不贵。
8)不要从来路不明的渠道下载应用。
iOS 只能从 Appstore下载,安卓从自己官方应用商城或知名第三方商店下载。要特别谨慎各种「破解版」软件,因为你不确认里面是不是有后门,被「重新打包」了多少次。
所以不要贪便宜,如果这个软件对你真的有用,那么你应该花钱买正版,免去烦恼。实在不行,去官网下载正版安装包再去淘宝买合法渠道的注册码,也比你去下破解版安全得多。
9)不要使用任何第三方输入法。
某狗、 某度…等厂商的输入法,会明文上传所有你输入的内容和系统粘贴板的信息进行分析,有的人甚至在第三方输入法打开的情况下,复制粘贴私钥。你永远不知道你的信息会以何种方式流至黑市,私钥为何复制一次就被盗了,取而代之,用系统自带输入法。
10)不要随便开放你的屏幕录制权限给第三方应用,除非你对它知根知底。
11)不要在周边有摄像头的地方输入密码。
用指纹或面部识别代替,实在不行,躲到摄像死角操作完后再回到原来的地方,圈内某个著名大佬就是这样被盗币的。
12)不要在 QQ、微信中讨论隐私或敏感话题。
选择电报和 Signal 这样端到端的加密通信软件。
13)给你所有能设置二次验证 2FA 的账户都设置上,优先选择 Google Authenticator 而不是短信验证。
你可以用 Authy 替代谷歌官方那款,因为同时有桌面和移动端,且可以实时备份。
14)用不透光的胶布贴住你笔记本上的摄像头。
当它被恶意调用的时候,能获取你的大量信息,黑客通过持续的检测甚至能找到你的住址,你存放离线私钥的蛛丝马迹。
15)浏览器可以安装 AdGuard 插件。
它能过滤网站广告和 Cookie 追踪。
16)如果你在某些情况下,不得不远程将账户密码传递另一个人,我教你一个办法:将你的账密拆成 A、B 两段,分别在两个通讯软件中发送给对方。
例如,我可以在微信中将密码的上半段发过去,再用电报发送密码的下半段。这样做,即便你的微信聊天内容被监听,窃听者也无法知道内容的全部。
17)使用 Chrome 浏览器时,关闭「设置-隐私设置和安全性-更多」中的「随浏览流量一起发送”不追踪”请求」。
除非有登陆账户的需要,否则建议经常使用匿名模式浏览网页。
18)macOS 用户在「系统偏好设置-安全性与隐私」中将「文件保险箱」打开。
这样即便电脑失窃,对方也无法读取硬盘中的数据。在确定失窃设备已经无法找回的情况下,及时登陆 iCloud 将设备数据全部抹除。
19)酒店普遍都有保险柜,贵重物品如果不能随身带,务必锁在保险柜里。
保洁人员的「万能房卡」有可能被轻易窃取,所以你应当默认他们是不可信的,晚上睡觉将屋内保险锁扣上。
20)邮件的发信人是可以伪造的。
任何情况下,你应该优先登陆对应网站去确认信息,而不是直接点邮件中的链接。比如「申请提现」这样的确认邮件,你应该优先将邮件中的验证码在网站输入完成操作(如果支持的话)。
21)使用能保护隐私的搜索引擎
不再使用 Google 搜索,转而使用DuckDuckGo或Startpage,好处显而易见,因为它们能:
- 在通信中移除你的 IP 地址
- 在浏览网页内容时持续保持匿名状态
- 阻止第三方广告系统追踪你的个人信息
- 阻止基于你的个人网络活动构建用户画像
我只有在找不到想要内容的时候才会用回 Google。
22)加密你的数据
如果你已经离不开诸如 iCloud、Google Drive、DropBox 这样的网盘,那你就要做好自己的数据有一天被 Hack 的觉悟。虽然大型企业会在加密、数据安全上投入大量预算,但你依然不能否认:
只要数据还在对方服务器上,那么它实际上已经脱离了你的控制。
大多数网盘提供商仅在传输过程中加密数据,或者他们自己保留用于解密的密钥。这些密钥有可能被盗、复制或滥用。因此,给自己留个心眼,用Cryptomator这样开源、免费的工具来加密数据。
这样即便网盘服务商被 Hack,你的数据大概率还是安全的。
23)输入法
最好不要用任何第三方输入法,而只使用系统自带的。
现在我要增加一个选项,那就是「鼠鬚管」,它有许多优点:
- 性能优秀、占用资源少
- 极少出现敲第一个字的时候页面卡钝的情况
- 全开源、无后门、不会上传内容
- 繁体字强大
- 极高的定制自由度
我现在使用的是placeless的双拼配置,觉得还不错,如果你是双拼用户,可以试试他的配置。
24)只访问 HTTPS 网站
- 安装HTTPS-EVERYWHERE这个插件。
- 它可以自动为访问网站的所有已知受支持部分,激活 HTTPS 加密保护,防止你跟网站的交互的信息被窃听或篡改。
- 访问网站时,如果是明文传输,会有明确提醒。
25)使用 Google Drive 打开可疑的附件
你经常会收到各种带有附件的邮件,虽然邮件服务商会预先扫描并阻拦可疑内容,但很多附件伪装精妙,下载到本地是有风险的。
这种情况下,我建议直接在网页中预览,或者存储到临时的 Google Drive 文件夹中预览,这能有效隔离病毒。
26)小众平台能显著提高对抗病毒木马的可能性
思考这样一个问题:如果你是黑客,准备开发一个病毒(木马)来获利,你会选择针对那个哪个平台?
显然是用户基数更大的平台。
相比 Windows,以下平台的用户基数更少。
虽然它们并不显著比 Windows 安全,但面临的风险要小得多。
- macOS
- ChromeOS
- Ubuntu
- Fedora
- Debian
- 其他 Linux 发行版本
27)慎写安全问题
- 「你的大学名字是什么?」
- 「你的女朋友是谁?」
- 「你最喜欢哪个乐队?」
…
不要再老实地把真实信息填上去,因为你的信息在大量社交平台上都有存档,很容易被社工,这会给黑客可乘之机。
取而代之,用密码管理软件生成的随机密码作为这些安全问题的答案,这样就安全多了。
28)不要在临时设备上登录你的核心账户
核心账户指的是你的 Google、Apple 等等主力账户,它们绑定了一堆设备、信用卡、密码等等。
互联网公司为了方便,通常会在你的浏览器本地存储Session Cookie ,一旦这个 Cookie 被窃取,黑客甚至可以绕过平台的2FA等校验,这种情况下,什么2FA都没用。
29)永远二次确认
- 记忆不可靠
- 核对钱包地址要完整,不能只核对前/后几位数
我去年登录一个不常用的交易所,准备清理一些碎币。
提币时看到地址薄有几个眼熟的,但一时想不起来是什么时候创建。
因为只有零点几个比特币,就直接转了,事后却怎么也找不到那个地址对应的私匙。
有点后悔,如果当时多确认一次,就不会犯这种低级错误。
30)卖二手设备前清空所有磁盘资料
推荐两个工具:
前者可以彻底清空硬盘。
后者可以替代”安全清倒废纸篓“的操作,每次操作能覆盖文件存储空间35次,基本很难恢复。
31)只在官网下载钱包
最近遇到非常多用户下载了被黑客「二次打包」的钱包,安卓是重灾区,因为很多钱包都提供 APK 的安装方式,真假难辨。
我建议下载任何钱包前,先核对一下产品的官网,如果没有,推特上的信任链也能帮助你确认官网的真实性。
不要点来路不明的链接,更不要直接去下载这些链接中的安装包。
其次,对于开源项目,从官方开源 Github 仓库的 Release 中下载,检查 Commit,并校对签名是更保险的方式,基本可以保证你下载的安装包,就是当前仓库对应的代码,非常安全。
32)辨析假合约
- 从至少2个信源上确认币种合约的真实性,Rainbow和OneKey都有从多个 Tokenlist 多重校验的机制
- Twitter 粉丝数不可信,关注和信任链更实用,要警惕挂羊头卖狗肉的假推号,从CGK和CMC找到的合约地址通常更可靠
33)使用更安全的操作系统和设备
Purism由 Todd Weaver 创建于2014年,他创建 Purism 最大的起因就是想从笔记本中删除英特尔的管理引擎,电子前沿基金会(EFF)、Libreboot开发人员和安全专家 Damien Zammit 就批评者指责过:「 ME 存在后门和隐私问题」。
因为 ME 可以访问内存,并且可以完全访问 TCP/IP 堆栈,独立发送和接收网络数据包,绕过防火墙。
Purism 的好处显而易见:
- 摄像头、WiFi、蓝牙、蜂窝网络这些都有独立的硬件开关,可在需要时彻底关闭
- PureOS 简单好用(它是基于 Debian 的免费 Linux 发行版)
- 禁用了英特尔 ME
总之,如果你想试试 Linux 系统,希望有一个开箱即用的电脑,可以试试 Purism。
一个成本更低的方式是在你当前电脑中运行 Whonix(搭配 VituralBox)。
Whonix同样是一个以注重隐私和安全的 Linux 系统,它完全免费且开源,有几个优点:
- 已经稳定运行10年
- 隐藏 IP 地址
- 隐藏使用者身份
- 不记录任何信息
- 防病毒
感兴趣可试试。