你得學(xué)幾招保護(hù)自己——By @余弦 2014.

引子

在這樣混亂的互聯(lián)網(wǎng)上，軍閥割據(jù)的地盤(pán)中，你根本身不由己，當(dāng)你接入互聯(lián)網(wǎng)或陌生人的那一刻，你的隱私就失控了。拿到你隱私的壞蛋，他們可以偷窺你，可以詐騙你或你身邊的人，可以利用你的隱私做出下三濫的事。他們不會(huì)可憐你，你得學(xué)幾招保護(hù)自己，保護(hù)你重要的人……

注：我準(zhǔn)備不斷更新這個(gè)頁(yè)面，給出最靠譜實(shí)在的建議，時(shí)間與精力原因，我會(huì)逐漸完善之，如果你有什么好的建議可以留言給我。

在開(kāi)始了解保護(hù)招數(shù)前，首先默念下面這條準(zhǔn)則3遍：

互聯(lián)網(wǎng)那頭和你聊天的可能是只狗。

念完了？這是一條簡(jiǎn)單粗暴卻道出了人性本質(zhì)的準(zhǔn)則。

為什么這樣說(shuō)呢？互聯(lián)網(wǎng)是人類(lèi)創(chuàng)造的，人性在里面表現(xiàn)得淋漓盡致，曾經(jīng)線下的坑蒙拐騙偷都搬到了互聯(lián)網(wǎng)上，而互聯(lián)網(wǎng)對(duì)于絕大多數(shù)人來(lái)說(shuō)還是很神秘的玩意，在這個(gè)神秘的大坑里，隨便來(lái)點(diǎn)伎倆都會(huì)導(dǎo)致很多很多人上當(dāng)，你幾乎沒(méi)法肯定對(duì)方就是你認(rèn)為的那個(gè)人。

看到這有人要傲嬌了：「我可不會(huì)被騙！」

莫傲嬌，在人性的 PK 上，總有你失利的時(shí)候。請(qǐng)牢記：

精于人性弱點(diǎn)與黑客技能的騙子是最可怕的。

當(dāng)你認(rèn)可我這些觀點(diǎn)時(shí)，下面這些招數(shù)一定會(huì)讓你受益。

招數(shù)

線下隱私

注：這里的「線下」是相對(duì)互聯(lián)網(wǎng)這個(gè)「線上」來(lái)說(shuō)的。

如名片、身份證、學(xué)生證、工牌、信用卡、銀行卡等這類(lèi)會(huì)暴露你真實(shí)信息的線下物品。

1、騙子在拿到你名片、身份證、學(xué)生證、工牌里的真實(shí)身份時(shí)，是可以通過(guò)社工庫(kù)進(jìn)一步得到你的更多信息，尤其是名片。

注：社工庫(kù)是指：一種包含很多非法采集或盜取來(lái)的用戶(hù)數(shù)據(jù)庫(kù)，里面有你在各大社交網(wǎng)絡(luò)、郵箱、O2O服務(wù)等的數(shù)據(jù)，這些數(shù)據(jù)要么是被黑出來(lái)的，要么是被內(nèi)鬼賣(mài)出來(lái)的。

社工庫(kù)里不僅可以有你的很多賬號(hào)密碼信息，還可以關(guān)聯(lián)分析出你用過(guò)的馬甲，你的好友關(guān)系，你待過(guò)的某些地址如（家庭、租房、公司、酒店）等，這是一個(gè)非常海量的數(shù)據(jù)庫(kù)，動(dòng)輒數(shù)十億條記錄。

2、信用卡、銀行卡都存在被盜刷的可能性。

比如信用卡為了方便，在消費(fèi)的時(shí)候填寫(xiě)卡號(hào)、有效期、CVV 碼（卡背面的3或4位數(shù)字）即可完成支付，這三個(gè)值就印刷在卡上，很容易被知道，雖然信用卡有很多保障機(jī)制來(lái)應(yīng)對(duì)這種風(fēng)險(xiǎn)，但是為了減少不必要的麻煩，還是保管好這三個(gè)值，別泄露了。

而常規(guī)的銀行卡（磁條），我們經(jīng)常會(huì)聽(tīng)說(shuō)銀行卡的磁條被復(fù)制，密碼被記錄，然后盜刷，對(duì)于這個(gè)現(xiàn)象我得提醒：在你遞出銀行卡的那一刻，多留個(gè)心眼，尤其是在不那么正規(guī)的地方刷卡消費(fèi)的時(shí)候。

3、有些場(chǎng)合會(huì)要你填下你的真實(shí)身份，比如招聘、銀行業(yè)務(wù)辦理、貪小便宜后的紙質(zhì)調(diào)查等等。一定得謹(jǐn)慎了，多用大腦思考：這個(gè)必須填？填個(gè)假的行不行？

某地，騙子買(mǎi)通銀行業(yè)務(wù)人員，順手就得到你填的各種真實(shí)資料，亂辦信用卡或用來(lái)進(jìn)行一連貫嚴(yán)謹(jǐn)細(xì)膩的詐騙過(guò)程，這種事我會(huì)亂說(shuō)？你敢相信嗎？碰到這種情況，去哪哭？

這些線下隱私在陌生人面前，一定要非常謹(jǐn)慎。

線上隱私

線上隱私都有哪些呢？手機(jī)、Pad、電腦、路由器、聯(lián)網(wǎng)所謂的「智能」設(shè)備、網(wǎng)站等等都存有你的線上隱私。對(duì)我來(lái)說(shuō)，如果我不了解這些我使用的東西，我會(huì)沒(méi)安全感：）

關(guān)于線上隱私我給出如下建議：

1、手機(jī)鎖屏?xí)r建議用密碼（數(shù)字、字母或指紋都行），強(qiáng)烈不建議用圖形密碼，隨便都可以被陌生人瞄到。

2、手機(jī)建議用安全的 iPhone，不越獄，如果用安卓就安卓吧，別 root，強(qiáng)烈建議購(gòu)買(mǎi)正版 APP，不要盯著免費(fèi)的就兩眼發(fā)光，在國(guó)內(nèi)這種混亂的互聯(lián)網(wǎng)時(shí)期，大多破解后的 APP 多少存在些貓膩。

3、重要網(wǎng)站、APP 的密碼一定要獨(dú)立，猜測(cè)不到，普通網(wǎng)站為了記憶方便可以簡(jiǎn)單有規(guī)律，如果你記憶好，那可以都不一樣，或者用 1Password 這樣的軟件來(lái)幫你記憶。

4、電腦勤打補(bǔ)丁，用騰訊管家、百度衛(wèi)士、360安全衛(wèi)士都可以（歷史上360留下了一些不好的口碑，這點(diǎn)我不發(fā)表看法，現(xiàn)在的實(shí)際情況是360占據(jù)了絕大多數(shù)國(guó)內(nèi)用戶(hù)的電腦，至少在用戶(hù)體驗(yàn)方面是值得稱(chēng)道的）。

5、能不用 IE 瀏覽器就不要用（網(wǎng)銀登錄這類(lèi)必須是 IE 的情況那再用），用 Firefox 或 Chrome 瀏覽器，如果想和我一樣變態(tài)安全的話，可以考慮給 Firefox 裝個(gè)安全擴(kuò)展：NoScript。

6、可以在 Firefox、Chrome 上安裝 Adblock Plus，這個(gè)插件的可信度應(yīng)該還行，不僅能屏蔽廣告，還能杜絕你被那些貓膩 Cookies 跟蹤。

7、支持正規(guī)渠道下載的軟件，包括 Windows，Office 等，如果買(mǎi)不起正版，淘寶注冊(cè)碼沒(méi)幾個(gè)錢(qián)（相比激活軟件要靠譜，雖然非正版方式，但對(duì)國(guó)內(nèi)來(lái)說(shuō)要求大家都正版不現(xiàn)實(shí)），因?yàn)楸I版的、破解的實(shí)在難以保證沒(méi) 有貓膩，當(dāng)然有的破解者是友好的，這個(gè)需要進(jìn)一步判斷。

8、不那么可信的軟件，如果你玩虛擬機(jī)的話，可以安裝到虛擬機(jī)里，VMware Workstation 是首選。同樣：買(mǎi)不起正版就百度個(gè)注冊(cè)碼。

9、不要在公共場(chǎng)合（如咖啡廳、機(jī)場(chǎng)等）使用公共無(wú)線，自己包月 3G/4G。當(dāng)然你可以用公共無(wú)線做點(diǎn)無(wú)隱私的事，如簡(jiǎn)單的網(wǎng)頁(yè)瀏覽，此時(shí)得注意是不是有賬號(hào)登錄，有的話，賬號(hào)隱私（如 Cookies）會(huì)存在被監(jiān)聽(tīng)盜取的可能性，這時(shí)有個(gè)技巧：用瀏覽器的隱身模式上網(wǎng)即可。

10、自己的無(wú)線路由器，用安全的加密方式（如 WPA2），密碼復(fù)雜些，關(guān)閉 WPS 這類(lèi)便捷功能，Web 控制臺(tái)的登錄密碼修改個(gè)復(fù)雜的。

11、外出時(shí)，手機(jī)、Pad 關(guān)閉 Wi-Fi 功能，防止掉進(jìn)無(wú)線蜜罐中。有時(shí)你發(fā)現(xiàn)自己莫名其妙連接到了陌生 Wi-Fi 上，此時(shí)一定要警惕。

12、在任何地方輸入密碼時(shí)，注意周?chē)?，包括角落的攝像頭。

13、不要在陌生的電腦上輸入密碼等，如果實(shí)在需要，輸入后，清除好記錄。如果是在瀏覽器上輸密碼，記得用隱身模式。

14、如果瀏覽器訪問(wèn)的是 https 網(wǎng)站，比如支付寶，注意地址欄左邊的綠色標(biāo)記，如果瀏覽器給出任何異常提示，就別訪問(wèn)了，說(shuō)不定存在中間人劫持或者釣魚(yú)攻擊。在陌生網(wǎng)絡(luò)里，訪問(wèn) https 網(wǎng)站也是靠譜的，前提是你能足夠警惕瀏覽器的任何異常。

15、電腦上好識(shí)別 https 網(wǎng)站（看地址欄的網(wǎng)址開(kāi)頭是 https 就知道），可手機(jī)里那么多 APP，你怎么知道哪個(gè) APP 的數(shù)據(jù)傳輸是安全的？這個(gè)對(duì)于普通用戶(hù)來(lái)說(shuō)太難知道了，但是對(duì)于善于網(wǎng)絡(luò)技術(shù)的人來(lái)說(shuō)，自己抓包分析分析就會(huì)知道了。

16、謹(jǐn)慎免費(fèi)的 VPN、代理，非 https 數(shù)據(jù)在 VPN 或代理中傳輸是一件不靠譜的事，因?yàn)檫@也是個(gè)陌生的網(wǎng)絡(luò)，同理，訪問(wèn) https 網(wǎng)站是靠譜的，前提是你能足夠警惕瀏覽器的任何異常。

17、不要太依賴(lài)云同步，一些非常私密的東西在不做加密保護(hù)的情況下上傳到云端是不靠譜的，時(shí)刻提醒自己：壞人真的就看不到這些存在云端的東西了？

18、離開(kāi)電腦時(shí)，記得按下 Win（Windows 圖標(biāo)那個(gè)鍵）+L 鍵，鎖屏，這個(gè)習(xí)慣非常非常關(guān)鍵。

19、住酒店時(shí)，如果你很敏感，離開(kāi)房間時(shí)，記得關(guān)機(jī)，鎖好電腦到保險(xiǎn)柜去，或者隨身攜帶。

20、如果你是重要人物，記得給你的電腦 BIOS 加個(gè)密、硬盤(pán)加個(gè)密、關(guān)鍵文件放到 TrueCrypt 里，發(fā)郵件用 GPG 加密。

21、涉及到 QQ、微信等的朋友、親人向你借錢(qián)、充值之類(lèi)事宜，電話過(guò)去確認(rèn)，要記住互聯(lián)網(wǎng)那頭不一定是一個(gè)人或你以為的那個(gè)人。

22、即使是官方短信也不一定可信，因?yàn)榛究蓚卧?，百度「?jìng)位尽箍纯淳椭懒?，這條切記切記。

23、不用相信「天下掉餡餅」的傳說(shuō)，高明的騙子一定會(huì)讓你頭腦發(fā)熱，此時(shí)你的人性弱點(diǎn)正在被引導(dǎo)被利用，去洗個(gè)臉，冷靜下，找個(gè)可信任的人說(shuō)幾句話，你就不會(huì)掉進(jìn)去了。

24、相信我，如果你成為目標(biāo)的話，騙子要黑你的方式太多了。還是那句：不做虧心事不怕鬼叫門(mén)，這是終極防御了。

說(shuō)了這么多，有一點(diǎn)需明確：

安全和用戶(hù)體驗(yàn)一定要達(dá)到一種平衡。不要被安全恐嚇住而矯情說(shuō)：「那我什么都不用了……」這是多么傻的決定啊，平時(shí)保持安全好習(xí)慣并不是影響用戶(hù)體驗(yàn)。

以上提到的都是安全基本點(diǎn)，有新的我會(huì)繼續(xù)補(bǔ)充。更高級(jí)的攻擊手法恐怕我難以在這個(gè)頁(yè)面里科普全面，如果你有興趣，并且讓我有興趣，咱可以喝杯咖啡，我慢慢科普……