1. 跳轉至内容
  2. 跳轉至主選單
  3. 跳轉到更多DW網站

給升斗小民的訊息安全工具箱

羅法(發自台北)
2018年10月6日

討厭被詐騙電話跟推銷廣告騷擾? 聽到臉書醜聞很恐慌? 德國之聲為您專訪到資安專家,手把手教你簡易自保方法。

https://p.dw.com/p/364vZ
g0v Gipfel  2018 Taipei Taiwan
台灣的「g0v零時政府峰會」現場圖片來源: g0vsummit2018

(德國之聲中文網)9月30日,Facebook出現安全漏洞,五千萬用戶的登入代碼遭到竊取。 在此之前,8700萬Facebook用戶的數據被外洩,俗稱「劍橋分析事件」。 究竟一個完全不懂程序代碼的升斗小民,有沒有辦法捍衛自己的隱私權?

德國之聲在台灣的「g0v零時政府峰會」現場,訪問到兩位資安專家。 兩位皆匿名受訪。

為什麼一般人也要保護自己的數據?

科技不只可以發展民主,也可以被政府拿來監控人民,被廠商拿來做廣告。 然而,比起政府或是業者,大眾對於自己分享的數據多寡,不是很清楚。

個人資訊外洩的壞處除了被詐騙電話或垃圾廣告騷擾,最經典的案例就是臉書的劍橋分析事件。 一個人在不知不覺中,成為假新聞、政治操作的目標。



瀏覽紀錄被追蹤

一般人不知道的是,在瀏覽網頁的同時,會有一些背景程序在背後操作,追蹤用戶行為。這些程序關心用戶幾點幾分進入這個網站、看了什麼、停留多久、點擊什麼、什麼時候離開。

雖然背景程序聲稱紀錄這些數據是為了要改善用戶經驗,但是卻也很可能會把用戶的行為模式拿去做其他用途,例如當作商品販賣。

想要防止這個情形,可以在瀏覽器裡安裝Privacy Badger(隱私獾)這個開源套件,它會自動偵測網頁上的背景程序,並且對追蹤瀏覽行為的程序做出反應,阻止他們繼續追縱。

私人訊息不私人

使用通訊軟體跟他人聯絡,不見得只有你的聯絡人看得到你的訊息。

幾個熱門的通訊軟體,臉書Messenger、Line,都不是每條訊息都完全保密。

某些情況下,科技公司只針對數據傳輸的過程加上保密措施。

在大部分的狀況下,這樣的加密措施可以防止攔截,已經足夠安全。

但是,因為在公司伺服器中的訊息是解密狀態,所以危險的是政府要求公司提供數據的時刻。

Symbolbild Sicherheit im Internet
如何在網路時代保護個人訊息的安全?圖片來源: picture-alliance/dpa

政府可以憑搜索票要求科技公司提供通訊數據,科技公司如果配合,政府就可以拿到赤裸裸的通訊紀錄。

如果個人不想要某一天被政府調查自己的通訊數據,可以選擇「端對端加密」的通訊軟體。 比如說Signal,是現在最熱門的開源端對端加密軟體。 使用這種軟體傳訊息,只有你的對話對象能夠解密,就連科技公司都沒有辦法讀取。

密碼一組不安全

很基本的思考是,不要所有帳號都用同一組密碼。 加長密碼的長度也可以加強安全性。

現在Apple跟Google都有提供兩階段驗證的登入方式。

Apple現在提出的方案是讓用戶登錄手機號碼,對手機發送簡訊驗證碼認證。 但是,用戶不能約束蘋果日後怎麼處置自己的手機號碼,所以依然存在風險。

Google提供比較多選擇方案。 除了簡訊驗證碼之外,還能用應用程式Google Authenticator產生驗證密碼,以及硬體鑰匙。

Symbolbild Abfrage Datenbank
很基本的思考是,不要所有帳號都用同一組密碼圖片來源: picture-alliance/dpa/M. Skolimowska

鑰匙的好處是「實體化」。 登入的時候除了密碼,還要把鑰匙插進USB插槽,才可以登入賬戶。

順帶一提,指紋、聲紋、臉部解鎖等「生物辨識」的精準度不如傳統密碼,因此建議還是設定英數密碼比較安全。

改變態度與習慣

兩位資安專家給「平民老百姓」幾項心態上的建議。

第一個,培養一個習慣,考慮使用一個產品之前,先瞭解他的商業模式。 靠賣廣告維生的公司,很大的可能會把個人資料拿去轉賣。 例如可以查查產品是什麼公司發行的? 股東是誰?

第二個建議,可以花ㄧ點時間,瞭解你現在在用的產品的「設定」字段。比較大的公司會在設定裡面,用圖文並茂的式解釋每個字段的意義。瞭解每個字段的意義,思考自己是否想要調整相關設定。

第三個建議,比較像是勸告:一般平民老百姓不會遭到「針對性」的攻擊,會遇到的困擾頂多就是詐騙或廣告。 在這種風險層級之下,只要有關心自己的隱私設定,留意什麼數據傳到廠商那邊去,基本上不會有太大問題。

「不是每個人都需要用到國防部的防彈門。 在一個小區裡面,你的安全措施只要比你的鄰居好就可以了。 」

至於風險層級比較高的個體,例如記者、政府官員、非營利組織工作者,建議找專業資安團隊咨詢。 「營利組織應該要提撥預算,為資安專業支付相應費用。 」

至於經濟比較拮據的非營利組織,推薦幾個團體:accessnow的Digital Security Helpline ServicesFrontline defenders;Tactical Technology Collective。