討厭被詐騙電話跟推銷廣告騷擾? 聽到臉書醜聞很恐慌? 德國之聲為您專訪到資安專家,手把手教你簡易自保方法。
9月30日,Facebook出現安全漏洞,五千萬用戶的登入代碼遭到竊取。 在此之前,8700萬Facebook用戶的數據被外洩,俗稱「劍橋分析事件」。 究竟一個完全不懂程序代碼的升斗小民,有沒有辦法捍衛自己的隱私權?
德國之聲在台灣的「g0v零時政府峰會」現場,訪問到兩位資安專家。 兩位皆匿名受訪。
為什麼一般人也要保護自己的數據?
科技不只可以發展民主,也可以被政府拿來監控人民,被廠商拿來做廣告。 然而,比起政府或是業者,大眾對於自己分享的數據多寡,不是很清楚。
個人資訊外洩的壞處除了被詐騙電話或垃圾廣告騷擾,最經典的案例就是臉書的劍橋分析事件。 一個人在不知不覺中,成為假新聞、政治操作的目標。
瀏覽紀錄被追蹤
一般人不知道的是,在瀏覽網頁的同時,會有一些背景程序在背後操作,追蹤用戶行為。這些程序關心用戶幾點幾分進入這個網站、看了什麼、停留多久、點擊什麼、什麼時候離開。
雖然背景程序聲稱紀錄這些數據是為了要優化用戶經驗,但是卻也很可能會把用戶的行為模式拿去做其他用途,例如當作商品販賣。
想要防止這個情形,可以在瀏覽器裡安裝Privacy Badger(隱私獾)這個開源套件,它會自動偵測網頁上的背景程序,並且對追蹤瀏覽行為的程序做出反應,阻止他們繼續追縱。
私人信息不私人
使用通訊軟件跟他人聯絡,不見得只有你的聯絡人看得到你的信息。幾個熱門的通訊軟件,臉書Messenger、Line,都不是每條訊息都完全保密。
某些情況下,科技公司只針對數據傳輸的過程加上保密措施。在大部分的狀況下,這樣的加密措施可以防止攔截,已經足夠安全。但是,因為在公司服務器中的訊息是解密狀態,所以危險的是政府要求公司提供數據的時刻。
政府可以憑搜索票要求科技公司提供通訊數據,科技公司如果配合,政府就可以拿到赤裸裸的通訊紀錄。
如果個人不想要某一天被政府調查自己的通訊數據,可以選擇「端對端加密」的通訊軟件。 比如說Signal,是現在最熱門的開源端對端加密軟件。 使用這種軟件傳訊息,只有你的對話對象能夠解密,就連科技公司都沒有辦法讀取。
密碼一組不安全
很基本的思考是,不要所有賬號都用同一組密碼。 加長密碼的長度也可以加強安全性。現在Apple跟Google都有提供兩階段驗證的登入方式。
Apple現在提出的方案是讓用戶登錄手機號碼,對手機發送簡訊驗證碼認證。 但是,用戶不能約束蘋果日後怎麼處置自己的手機號碼,所以依然存在風險。
Google提供比較多選擇方案。 除了簡訊驗證碼之外,還能用應用程序Google Authenticator產生驗證密碼,以及硬件鑰匙。鑰匙的好處是「實體化」。 登入的時候除了密碼,還要把鑰匙插進USB插槽,才可以登入賬戶。
順帶一提,指紋、聲紋、臉部解鎖等「生物辨識」的精准度不如傳統密碼,因此建議還是設定英數密碼比較安全。
改變態度與習慣
兩位資安專家給「平民老百姓」幾項心態上的建議。
第一個,培養一個習慣,考慮使用一個產品之前,先了解他的商業模式。 靠賣廣告維生的公司,很大的可能會把個人資料拿去轉賣。 例如可以查查產品是什麼公司發行的? 股東是誰?
第二個建議,可以花ㄧ點時間,了解你現在在用的產品的「設定」字段。比較大的公司會在設定裡面,用圖文並茂的式解釋每個字段的意義。了解每個字段的意義,思考自己是否想要調整相關設定。
第三個建議,比較像是勸告:一般平民老百姓不會遭到「針對性」的攻擊,會遇到的困擾頂多就是詐騙或廣告。 在這種風險層級之下,只要有關心自己的隱私設定,留意什麼數據傳到廠商那邊去,基本上不會有太大問題。
「不是每個人都需要用到國防部的防彈門。 在一個小區裡面,你的安全措施只要比你的鄰居好就可以了。 」
至於風險層級比較高的個體,例如記者、政府官員、非營利組織工作者,建議找專業資安團隊咨詢。 「營利組織應該要提撥預算,為資安專業支付相應費用。 」
文/羅法
原文經授權轉載自德國之聲(原標題:給升斗小民的信息安全工具箱)
責任編輯/陳秉弘
