给升斗小民的信息安全工具箱
2018年10月6日(德国之声中文网)9月30日,Facebook出现安全漏洞,五千万用户的登入代码遭到窃取。 在此之前,8700万Facebook用户的数据被外泄,俗称“剑桥分析事件”。 究竟一个完全不懂程序代码的升斗小民,有没有办法捍卫自己的隐私权?
德国之声在台湾的“g0v零时政府峰会”现场,访问到两位资安专家。 两位皆匿名受访。
为什么一般人也要保护自己的数据?
科技不只可以发展民主,也可以被政府拿来监控人民,被厂商拿来做广告。 然而,比起政府或是业者,大众对于自己分享的数据多寡,不是很清楚。
个人资讯外泄的坏处除了被诈骗电话或垃圾广告骚扰,最经典的案例就是脸书的剑桥分析事件。 一个人在不知不觉中,成为假新闻、政治操作的目标。
浏览纪录被追踪
一般人不知道的是,在浏览网页的同时,会有一些背景程序在背后操作,追踪用户行为。这些程序关心用户几点几分进入这个网站、看了什么、停留多久、点击什么、什么时候离开。
虽然背景程序声称纪录这些数据是为了要优化用户经验,但是却也很可能会把用户的行为模式拿去做其他用途,例如当作商品贩卖。
想要防止这个情形,可以在浏览器里安装Privacy Badger(隐私獾)这个开源套件,它会自动侦测网页上的背景程序,并且对追踪浏览行为的程序做出反应,阻止他们继续追纵。
私人信息不私人
使用通讯软件跟他人联络,不见得只有你的联络人看得到你的信息。
几个热门的通讯软件,脸书Messenger、Line,都不是每条讯息都完全保密。
某些情况下,科技公司只针对数据传输的过程加上保密措施。
在大部分的状况下,这样的加密措施可以防止拦截,已经足够安全。
但是,因为在公司服务器中的讯息是解密状态,所以危险的是政府要求公司提供数据的时刻。
政府可以凭搜索票要求科技公司提供通讯数据,科技公司如果配合,政府就可以拿到赤裸裸的通讯纪录。
如果个人不想要某一天被政府调查自己的通讯数据,可以选择“端对端加密”的通讯软件。 比如说Signal,是现在最热门的开源端对端加密软件。 使用这种软件传讯息,只有你的对话对象能够解密,就连科技公司都没有办法读取。
密码一组不安全
很基本的思考是,不要所有账号都用同一组密码。 加长密码的长度也可以加强安全性。
现在Apple跟Google都有提供两阶段验证的登入方式。
Apple现在提出的方案是让用户登录手机号码,对手机发送简讯验证码认证。 但是,用户不能约束苹果日后怎么处置自己的手机号码,所以依然存在风险。
Google提供比较多选择方案。 除了简讯验证码之外,还能用应用程序Google Authenticator产生验证密码,以及硬件钥匙。
钥匙的好处是“实体化”。 登入的时候除了密码,还要把钥匙插进USB插槽,才可以登入账户。
顺带一提,指纹、声纹、脸部解锁等“生物辨识”的精准度不如传统密码,因此建议还是设定英数密码比较安全。
改变态度与习惯
两位资安专家给“平民老百姓”几项心态上的建议。
第一个,培养一个习惯,考虑使用一个产品之前,先了解他的商业模式。 靠卖广告维生的公司,很大的可能会把个人资料拿去转卖。 例如可以查查产品是什么公司发行的? 股东是谁?
第二个建议,可以花ㄧ点时间,了解你现在在用的产品的“设定”字段。比较大的公司会在设定里面,用图文并茂的式解释每个字段的意义。了解每个字段的意义,思考自己是否想要调整相关设定。
第三个建议,比较像是劝告:一般平民老百姓不会遭到“针对性”的攻击,会遇到的困扰顶多就是诈骗或广告。 在这种风险层级之下,只要有关心自己的隐私设定,留意什么数据传到厂商那边去,基本上不会有太大问题。
“不是每个人都需要用到国防部的防弹门。 在一个小区里面,你的安全措施只要比你的邻居好就可以了。 ”
至于风险层级比较高的个体,例如记者、政府官员、非营利组织工作者,建议找专业资安团队咨询。 “营利组织应该要提拨预算,为资安专业支付相应费用。 ”
至于经济比较拮据的非营利组织,推荐几个团体:accessnow的Digital Security Helpline Services;Frontline defenders;Tactical Technology Collective。