2018年10月7日星期日

给升斗小民的信息安全工具箱

来源: 德国之声

作者: 罗法

讨厌被诈骗电话跟推销广告骚扰? 听到脸书丑闻很恐慌? 德国之声为您专访到资安专家,手把手教你简易自保方法。

9月30日,Facebook出现安全漏洞,五千万用户的登入代码遭到窃取。在此之前,8700万Facebook用户的数据被外泄,俗称“剑桥分析事件”。究竟一个完全不懂程序代码的升斗小民,有没有办法捍卫自己的隐私权?

德国之声在台湾的“g0v零时政府峰会”现场,访问到两位资安专家。两位皆匿名受访。

为什么一般人也要保护自己的数据?

科技不只可以发展民主,也可以被政府拿来监控人民,被厂商拿来做广告。然而,比起政府或是业者,大众对于自己分享的数据多寡,不是很清楚。

个人资讯外泄的坏处除了被诈骗电话或垃圾广告骚扰,最经典的案例就是脸书的剑桥分析事件。一个人在不知不觉中,成为假新闻操作的目标。

浏览纪录被追踪

一般人不知道的是,在浏览网页的同时,会有一些背景程序在背后操作,追踪用户行为。这些程序关心用户几点几分进入这个网站、看了什么、停留多久、点击什么、什么时候离开。

虽然背景程序声称纪录这些数据是为了要优化用户经验,但是却也很可能会把用户的行为模式拿去做其他用途,例如当作商品贩卖。

想要防止这个情形,可以在浏览器里安装Privacy Badger(隐私獾)这个开源套件,它会自动侦测网页上的背景程序,并且对追踪浏览行为的程序做出反应,阻止他们继续追纵。

私人信息不私人

使用跟他人联络,不见得只有你的联络人看得到你的信息。

几个热门的通讯软件,脸书Messenger、Line,都不是每条讯息都完全保密。

某些情况下,只针对数据传输的过程加上保密措施。

在大部分的状况下,这样的加密措施可以防止拦截,已经足够安全。

但是,因为在公司服务器中的讯息是解密状态,所以危险的是政府要求公司提供数据的时刻。

政府可以凭搜索票要求科技公司提供通讯数据,科技公司如果配合,政府就可以拿到赤裸裸的通讯纪录。

如果个人不想要某一天被政府调查自己的通讯数据,可以选择“端对端加密”的通讯软件。比如说Signal,是现在最热门的开源端对端加密软件。使用这种软件传讯息,只有你的对话对象能够解密,就连科技公司都没有办法读取。

一组不安全

很基本的思考是,不要所有账号都用同一组密码。加长密码的长度也可以加强安全性。

现在Apple跟Google都有提供两阶段验证的登入方式。

Apple现在提出的方案是让用户登录手机号码,对手机发送简讯验证码认证。但是,用户不能约束苹果日后怎么处置自己的手机号码,所以依然存在风险。

Google提供比较多选择方案。除了简讯验证码之外,还能用应用程序Google Authenticator产生验证密码,以及硬件钥匙。

钥匙的好处是“实体化”。登入的时候除了密码,还要把钥匙插进USB插槽,才可以登入账户。

顺带一提,指纹、声纹、脸部解锁等“生物辨识”的精准度不如传统密码,因此建议还是设定英数密码比较安全。

改变态度与习惯

两位资安专家给“平民老百姓”几项心态上的建议。

第一个,培养一个习惯,考虑使用一个产品之前,先了解他的商业模式。靠卖广告维生的公司,很大的可能会把个人资料拿去转卖。例如可以查查产品是什么公司发行的?股东是谁?

第二个建议,可以花ㄧ点时间,了解你现在在用的产品的“设定”字段。比较大的公司会在设定里面,用图文并茂的式解释每个字段的意义。了解每个字段的意义,思考自己是否想要调整相关设定。

第三个建议,比较像是劝告:一般平民老百姓不会遭到“针对性”的攻击,会遇到的困扰顶多就是诈骗或广告。在这种风险层级之下,只要有关心自己的隐私设定,留意什么数据传到厂商那边去,基本上不会有太大问题。

“不是每个人都需要用到国防部的防弹门。在一个小区里面,你的安全措施只要比你的邻居好就可以了。”

至于风险层级比较高的个体,例如记者、政府官员、非营利组织工作者,建议找专业资安团队咨询。“营利组织应该要提拨预算,为资安专业支付相应费用。”

至于经济比较拮据的非营利组织,推荐几个团体:accessnow的Digital Security Helpline Services;Frontline defenders;Tactical Technology Collective。

本文标签:, , , , , , , , , ,


via 给升斗小民的信息安全工具箱

没有评论:

发表评论