在网上我们应该怎样保护自己的隐私——写在「京东金融」之后

2019 年 2月16日,有网友微博发布两条视频显示,京东金融App会自动获取用户敏感图片,用户打开京东金融App放置后台,再打开招商银行App并截图,再打开文件管理,发现招商银行截图出现在了京东金融App缓存里。

京东金融回复称是“开发错误”所致(呵呵)

就好比食品安全、医疗安全、出行安全问题一样,用户隐私和数据安全也将始终伴随着各行业发展而持续存在。

在这个“数据就是财富”的时代,大公司穷尽各种手段去采集用户数据,通过技术模型为用户画像,为其业务发展提供动力。

单纯指望依靠公司的道德标准、国家规范来推动隐私保护这件事短期看来是不现实的,作为一个普通人,我们应该做些什么才能更好地保护我们的隐私?

首先明确一个观点:对于绝大多数人而言,我们的个人信息都是可以被获取的,只不过所耗费的成本不同。我们能做的也只是尽可能提高获取成本。

目录

目录
目录

一 注册账号/填写信息

这里指那些不常使用、不涉及到财产交易往来或者不入流的网站/应用

1.1 手机号

此处建议使用虚拟手机号码填写,国内推荐「阿里小号」。

阿里小号
阿里小号

官方介绍:

阿里小号让你轻松拥有不用SIM卡的手机号。

只要下载阿里小号APP即可轻松实现单卡多待,拥有多个全新的真实号码,根据不同需要随时切换。支撑移动、联通、电信等任何运营商。可正常接打电话、收发短信。陌生交友、租房、买卖房屋、医疗、生育、二手交易、找工作、打车、与朋友嬉闹、调研、查岗等不同场景不同。给小号,杜绝骚扰,用途一目了然,绝对安全!

一般用它来接收验证码,需要的时候打开 App,即用即开,关闭后也不会打扰用户。目前价格是一年 20 元(优惠中,很方便)

1.2 邮箱

专门注册一个用于注册各类奇怪网站、App 的邮箱

此处不推荐使用 QQ 邮箱,毕竟还需要注册一个 QQ 号,相对而言过于麻烦。

使用十分钟邮箱

十分钟邮箱适用于那些没有多大再次访问价值的网站。邮箱十分钟内有效(部分支持延迟),临时收个验证码很方便。

需要使用的时候直接搜索“十分钟邮箱”即可。

也推荐一个十分钟邮箱,做得比较好:地址

十分钟邮箱
十分钟邮箱

1.3 密码设置

有关注册时密码设置的问题请参照下一板块

二 密码设置与管理

2.1 密码设置

此处推荐奶酪的方法

密码安全最基本的原则是:不能所有网站都设成一样的,密码至少8位,包含数字、小写字母、大写字母。使用比如 Lastpass 这类自动输入密码的应用,虽然很方便,但也总会有需要手动输入密码的时候,所以我们要设置一套安全又好记的密码。我正在使用的密码管理体系有两套:普通级 + 重要级

普通级:比如WIFI密码、与朋友共享使用的视频VIP会员、不注册不能使用的小众网站、即使被盗了也没啥大不了的网站。我们可以使用同一个密码,比如 123456qweR。

重要级:比如社交帐号、邮箱、隐私相关、资金全相关的网站。这类网站通常不会太多,所以我们要保证每个网站都不一样,这时我们需要为密码设计一套既容易记忆又难以被破解的密码,我们可以使用「基础密码+标识密码」的方法。

具体做法是:想好一个既有意义自己又能容易记住的基础密码,比如我们设置“高效方法论”的拼音头字母再加上数字2018为基础密码:gxffl2018,然后使用驼峰式标识符,取域名前两位和后两位,比如
baidu.com,那驼峰式标识符就是:bA和Du,组合在一起就是:bAgxffl2018Du,这样是不是就既好记又安全了呢?另外,密码中要不要使用特殊符号其实都可以,因为像这样的大网站一般都会有防暴力破解机制。^1

2.2 密码管理

密码多了记起来也会很麻烦。记在纸上怕纸丢了,记在手机记事本里也容易被窃取。这里推荐使用专业的密码管理软件,例如1PassWordLastPass。二者都是全平台支持(Windows、Mac、Linux、Android、iOS、浏览器)。

浏览器上安装相关插件使得在浏览器上可以自动填写密码。

手机上(iOS、Android)开启「自动填写」功能则需要输入密码时只需要验证一下身份就可以自动填写。

当然,二者还可以自动生成密码、保存其他私密信息(比如:信用卡、地址...)

LastPass
LastPass

三 授权管理

目前很多应用都是支持用第三方应用账号(QQ、微信、支付宝、微博等)登录,它们会获取一定的权限。可能会存在权限滥用的情况,所以建议定期进行授权管理

某QQ授权应用的权限
某QQ授权应用的权限

3.1 QQ 授权管理(电脑操作)

登录 网址并登录后,鼠标移动到自己的头像,选择「授权管理」后进入管理界面,此时可取消授权。

每页显示 10 个授权,从注册 qq 开始未清理过
每页显示 10 个授权,从注册 qq 开始未清理过

3.2 微信授权管理

微信没有官方取消授权通道,不过每次授权有效期(7天、30天、60天、90天),过期自动失效。如果仍想取消授权,得去第三方授权网站申请[^2]。

查看微信授权

3.3 微博授权管理(手机操作)

目前电脑端无法通过 微博应用广场 进行取消(点击“取消”按钮无反应),只能通过手机客户端来管理。

教程地址

3.4 支付宝授权管理(手机操作)

教程地址

四 权限管理

4.1 iOS 用户

推荐这篇教程🐸

4.2 Android 用户

安卓的权限管理是不如 iOS 的,在国内的市场环境之下,安卓也成为了权限滥用的重灾区。
此处推荐使用 「App Ops」 进行权限管理。部分流氓应用(主要国产)不给权限不能运行,使用 App Ops 可以假装给这些流氓权限使之能够运行(实际并未给予)。

支持在未 root 的设备使用(需要在 Android 6.0 以上通过 adb 使用)

App Ops 里微信的权限记录
App Ops 里微信的权限记录

五 分享照片时及时清除 EXIF 信息

  • 社交网络是最容易暴露个人信息的地方,当你上传了用手机拍的照片,照片上保留的EXIF信息会暴露你是在什么时间、什么地方,用什么相机拍的等信息,地理位置误差非常的小,甚至可以具体到几栋几层。还有当你用了Photoshop等软件对图片进行修改,EXIF信息也会将这一信息暴露出来,你信誓旦旦地说是没有P过图,很有可能就会被打脸。
  • 大多数社交网站在你没有勾选“原图”的情况下,都会对图片进行压缩,压缩后照片上的EXIF信息就会被清除,如果你在意这些隐私信息,最好不要上传“原图”,或者使用 Exif Viewer 等软件来清除EXIF信息。[^3]

建议在手机相机的设置里面取消“保存地理位置信息”

查看结果
查看结果

一张原图的查看结果。门槛很低,下载一个 App 就可以查看了。

六 泄露信息查询

一个网站的数据库被黑客拷贝拖走,叫脱裤(拖库)。这些数据库通常会在暗网进行交易,内容可能涉及用户邮箱、生日、密码、住址(视数据库内容而定)。数据库的价值很高,催生了一条完整的黑色的产业链。

作为普通用户,我们除了定期更改密码之外(再次提醒不要一个密码走天下 ),也需要定期查询自己的信息是否被泄露。

这里推荐几个比较著名的查询网站(虽然很多数据还是几年前的,不过还是查一下比较好)

mark
mark

Have I been pwned
Firefox Moniter
14 亿邮箱泄露明文密码查询地址(需要使用 Tor 浏览器)

写在最后

你可以在公众号后台回复“保护隐私“获得文中提到的相关应用安装包(安卓)

隐私无小事**,它可能不仅仅会让你损失金钱,还可能让你失去名誉,甚至是一些更宝贵的东西。

建议将本文分享给那些需要的朋友,一起保护自己的隐私。

参考链接

火狐出了个密码泄露检测工具,我们来聊聊“查泄露”这件事

信息安全|14 亿邮箱泄露密码明文信息查询网站惊现网络,一个很强的社工库

Hacked-emails

[^2]: 如何取消个人微信在第三方应用或网站的授权? - VSUN007的回答 - 知乎

[^3]: 同注释[1]

往期荐读

谈一点 Quicker 的使用心得

最好的英文阅读器,没有之一

一周见闻02

本文首发于微信公众号 杂谈by立行


0

杂谈by立行

杂谈by立行

记录一个数字生活原住民的所见,所思。 公众号“杂谈by立行”...

关注
数字生活方式

数字生活方式

数字化浪潮下的我们都过上了自己的数字生活。你的生活方式因为数字化的「覆盖」有了哪些改变,数字生活为你带来了哪些便利,让你的生活质量得到了哪些改善?

关注
登录 使用文章全部功能