被 v 站隐私保护吓晕,想请教对隐私保护和信息安全比较在意的各位都做了什么措施?包括但不限于文件加密、密钥管理,或者仅仅是普通的保护隐私的手段。
studyingss · 2023-01-22 23:34:06 +08:00 · 6806 次点击这是一个创建于 664 天前的主题,其中的信息可能已经有所发展或是发生改变。
在 v 站搜隐私保护相关内容,看到有个站友在 bitlocker 的硬盘上开 veracrypt 里面装虚拟机,在虚拟机里面开 kvm 再套虚拟机(记不太清了,总之套了两三层)
起因是加了一个群,里面的人天天折腾 DNS 分流到夸张的程度,具体就每天发 whoer 和 dnsleaktes 测试截图,只关注 dns 分流还好,最离谱的是有人甚至没搞清楚 dns 泄漏的概念(甚至 dns 是什么都没弄清),因为有一天有个人发 dnsleaktest 截图并表示 “这个上面的 ip 一个都不是我的,所以我配置的 dns 分流一点泄漏都没有”。
第二是遇到另一个群友,他表示只用 Firefox 隐私标签页,相当于每次关掉浏览器都要重新登陆所有网站。震惊了。
后来查了查相关资料,发现苹果的 t2 和 微软的 bitlocker + tpm 居然都是可以被破解的,震惊 ++
打算装个杀毒软件,查资料查到一个杀软论坛里,发现里面居然有人同时开两个杀软,原因一个查杀强一个主防强,震惊 >> 1
所以好奇想知道,比较在意隐私和信息安全的各位,日常都做了一些什么防护措施呢?
鉴于每次隐私相关话题的讨论都会偏离,所以先约定下面几点:
“你的隐私 /信息有什么价值”“谁在乎你那点东西”党请直接退出这个帖子。
如果有什么看法,请只针对别人的措施的有效性进行讨论,而不是讨论“有没有必要”或者进行人身攻击。
希望能够说明一下是在特殊情况下使用还是日常情况下使用。
 |
1
smallboy19991231 2023-01-22 23:40:18 +08:00 via Android  1
我有时候会焦虑我的隐私,然后折腾到跟上面一样,有时候无所谓到什么都不在乎,看人吧,搞累了就不想搞了
|
 |
2
sky96111 2023-01-22 23:43:53 +08:00 via Android
我做了:
1 、用 KeePassXC 为管理网页的强随机密码 2 、能开 TOTP 的都开 TOTP 3 、用 Yubikey 的 gpg-agent 作为 ssh 私钥 4 、Windows 系统盘开 Bitlocker ,Linux 没管 5 、路由器部署 AdGuard Home ,不设置过滤列表,仅作为 DoH 使用 |
 |
3
wangkun025 2023-01-22 23:46:36 +08:00
veracrypt 应该就足够了。
|
 |
4
aulayli 2023-01-22 23:49:59 +08:00 via Android 1
安不安全看自己的行为,我为了方便平时都把密码存在浏览器里,不安装乱七八糟来路不明的软件,杀毒就装个火绒,有风险的程序或网站我会在虚拟机或 tor 网络下使用。
|
 |
5
numberator 2023-01-22 23:57:35 +08:00 via Android
就 yubikey 加密码,一个防黑客远程打我,一个防猝死社死。
|
 |
6
MajestySolor 2023-01-23 00:25:27 +08:00 3
类似于那些所谓的生存狂囤积狂,满脑子都是明天就要全球种蘑菇了全球生化危机了
反正我是觉得正常人除了选个适合自己的密码软件,比如 1password ,其它真没啥好操心的 |
 |
7
documentzhangx66 2023-01-23 00:28:04 +08:00
1.重点系统用 IP 白名单保护,这一招几乎能帮你抵挡 99.99% 的入侵。但缺点就是用起来不方便。同时配合专门的跳板机,重点系统只对跳板机开白名单,兼顾了方便与安全。就算黑客入侵,也只是入侵了跳板机。
2.自建所有系统,这一招能帮你免疫大部分信息泄露。比如各种云笔记软件、网盘软件,等等。 3.Linux 的 fail2ban 与 Windows 的 wail2ban ,保护密码爆破。 4.诺顿信息安全套装,最后一道防线。 |
 |
8
agagega 2023-01-23 00:40:10 +08:00
服务端用户管不着,传输过程能控制的也不多,国内除非用不了什么正经 VPN ,只能折腾点 DoH 或者代理。客户端其实最重要:不该装的软件不要装,时不时留意下操作系统进程列表,不要运行来历不明的软件,有必要把东西扔虚拟机里等。
VeraCrypt 这个取决于你是想藏东西还是加密东西,如果是后者用操作系统内置的加密分区就好,macOS 还可以支持共享大小的加密 APFS 卷宗,第三方软件没必要还麻烦。用什么手段保护安全和个人身份确实是有点关系,比如大部分人可以信任干净的 Windows 或者 macOS ,但一些人就不行。富人可以打造自己的一套方案,对普通人反正就是隐私跟便利一个多点另一个就少点。 > 他表示只用 Firefox 隐私标签页,相当于每次关掉浏览器都要重新登陆所有网站 我一直这么干,但原因不是为了隐私,是某些要求 SSO 的网站登录态处理有 bug ,每次重开隐私窗口登录反而方便。其他情况身份标签页足够了其实。 > 发现苹果的 t2 和 微软的 bitlocker + tpm 居然都是可以被破解的 特殊个体也许需要担心被针对性攻击的风险,但普通人需要注意的是群体伤害技能。苹果微软也会做针对性升级,攻守双方达成平衡。 其实 YubiKey 真的是个好东西,这种智能卡设备如果能广泛利用对隐私和安全都大有助益。但各大网站和软件对它做适配的动力似乎不强。别说更新的 WebAuthn/PassKey ,就是上一代的 FIDO 协议支持的网站都不多。还有密码管理器,既然 OS 可以用支持 PIV 的 YubiKey 解锁,那密码管理软件也应该可以,但没人做。 总之把隐私保护比作个人对病毒的防护就好理解了:有人无所谓,有人很注意,有人只是享受这个消毒的过程。 |
 |
9
duke807 2023-01-23 02:02:58 +08:00 via Android
1. 只用 linux 做主系统
2. 只用开源软件,不开源的放沙箱、虚拟机,个别受我信任的海外行业专业软件除外 3. 磁盘加密只用自己写的小脚本调用主流开源加密小工具,譬如随便一个目录下,很多 mp3 文件,其中一个是我的加密磁盘镜像的伪装,默认不挂载,用的时候才解密挂载(鼠标拖动 mp3 文件到脚本或脚本的软链接即可输入密码),再拖一次取消解密,已解密挂载的内容重启电脑会不存在。而且文件没有 header ,分析不出来是什么软件加密: https://github.com/dukelec/cde/blob/master/tools/aes-mount.sh |
 |
10
totoro625 2023-01-23 03:50:31 +08:00 via iPhone 5
主要是看你要防谁,还是单纯想成为大家都不保护隐私就你保护了之后特殊的靶子
第一个问题展开就是防国家还是防有心人 鉴于有心人能使用国家手段 直接建议所有账户裸奔,只保护特定账户 第二个问题举个例子,抽查的时候发现某个人隐私都被保护起来了看不到,据了解是个程序员,特别注重信息安全,妥妥的要重点监控,重点破解 所以只有特别的账户需要隐私保护,并且在整个流程上做好保护就好了 群里大佬(在国内且只防止隐私泄露给国内):准备专用的一套硬件,不够买面向国内销售和在国内生产的硬件,不直接连接国内的互联网进行上网,至少套软路由全局翻出去,落地鸡只买大厂的,要 ip 被墙的,再手动屏蔽国内 ip 段,手机的话要么永远不插卡,要么准备专用的没在任何设备上用过的国外运营商手机卡,不安装任何第三方应用,不安装国内厂商的应用 隐私保护失败的案例:破娃,编程随想,了解他们被开盒的过程,可以总结很多经验 我的做法: 日常用同一个账户 id 保证活跃,因为很多原因不得不实名裸奔,既然这样就保证一个和普通用户一样的裸奔画像,但是来历不明还必须用的程序会丢虚拟机 特殊情况下开虚拟机登录其他账户,划分账户用途和使用范围,坚决不搜索另一个账户 翻墙用自己的小鸡做落地,出口 ip 保持不变,换账户走单独的出口,保证 ip 无关联 当我是个正常人的时候,我就是一个路人,开盒就开盒,那个身份我直接是公开的,就是纯粹的被人欺负了 而真正需要保护的东西会单独放一边,慎重的使用,要知道没有攻不破的系统,只有自己小心再小心 |
 |
12
baobao1270 2023-01-23 04:18:37 +08:00
我的话
1 、全盘加密 /BitLocker 必开,但是其实 T2/BitLocker 也就防一个电脑被卖出去之后数据被提取,对于拿到你整个电脑的来说是防不住的 2 、KeePass 进行密码管理,能开 2FA 的开 2FA ,支持 YubiKey 的就用 YubiKey 登录 3 、浏览器安装「隐私罐」、开启「仅 HTTPS 」模式( Firefox ) 4 、不在非虚拟机中安装国产软件 5 、手机双机隔离,美版 iPhone 装国外软件、插美国卡,国内小米手机装国产软件、插国内卡 6 、远程连接到 HomeLab 使用 Wireguard 7 、不使用 IM 传输敏感信息,使用开源的二维码制作 /扫描软件传递 key 另外,感觉你的「约定几点」其实是不可避免的,因为讨论「有效性」必然会变成「有没有必要」——「无效」的安全措施自然就「没有必要」了。 更不必说,被动和强制的隐私泄露,是任何人都不可避免的——被单位、学校、社区泄露的信息,以及在一个国家掌握所有公民个人信息的国家,隐私的泄露是不可避免的。 |
 |
13
swulling 2023-01-23 08:46:20 +08:00 via iPhone
信息安全的要义是先明确威胁源。最少分成三种
脚本小子之类的大面积无特定目标的攻击:多数朋友只需要防范这个就行了。 针对个人的远程攻击:前提是你有被专项攻击的价值,比如有很多比特币,墙外意见领袖之类,涉嫌违法犯罪等。 线下物理攻击:可以直接接触设备甚至威胁个人。 后两种中,混淆比加密可能还要更重要一点,折腾翻墙的都懂。 |
 |
14
me221 2023-01-23 09:36:40 +08:00
Yubikey
二步验证 ssh 关闭密码登录. AdGuardHome |
 |
15
ltkun 2023-01-23 10:00:00 +08:00 via Android
正常 我已经 90%以上自建服务了 留了谷歌相册 几个白嫖的公有云
|
 |
16
vangjing 2023-01-23 10:12:00 +08:00
楼上可能都忽略了一个细节,DNS 通信流量是明文传输的,他们不一定知道你看了什么内容,但知道你看了哪个网站,所以 DNS 可能才是泄露隐私的大头。可以用 DOT 或者 DOH 。
|
 |
17
GeruzoniAnsasu 2023-01-23 11:02:46 +08:00
点进来之前以为说的是 v 站要验证手机号这回事……
本地加密前面说过了,我补充一个身份隔离: 国内刚需手机号;国外普通业务用 gmail ; github 和对外工作邮件用 proton ,密保手机号 2 与国内手机号隔离;内网使用私域凭证,且不保留上述两个身份的凭证。我还有个匿名的身份套件( gv/邮箱 /密码),与所有身份存储系统断开,只用隐私模式登录 |
 |
18
caomu 2023-01-23 11:10:30 +08:00 via Android
@GeruzoniAnsasu 另一个手机卡是用国外卡还是国内卡呢?
|
 |
19
janus77 2023-01-23 11:55:43 +08:00 via iPhone
看你防谁,主要分两类
防非法分子(包括卖数据的等等)主要靠多重验证,更新安全补丁等等 防合法分子(比如 gov 和各种广告服务商)主要靠隔离,敏感数据用单独浏览器,尽量走梯子,笔记本摄像头物理遮挡,国产软件使用替代品或绿色精简版等 |
|
20
GeruzoniAnsasu 2023-01-23 12:13:38 +08:00
@caomu 当然是国外卡…… 国内手机号不管有几个,一泄露都会指向同一个身份信息,有啥区别
|
 |
21
rus4db 2023-01-23 12:35:17 +08:00 2
涉密不上网,上网不涉密。谨记这五字,别的管不着。
|
 |
22
zxCoder 2023-01-23 14:33:11 +08:00
断网
|
 |
23
learningman 2023-01-23 14:51:54 +08:00
人家隐私泄露了指不定要进去的,肯定得用心防护
|
 |
24
mornlight 2023-01-23 15:01:21 +08:00
请教一下「苹果的 t2 和 微软的 bitlocker + tpm 居然都是可以被破解的」这个结论是否有信源?
这么值钱的破解技术不能错过。 |
|
25
caomu 2023-01-23 15:19:11 +08:00 via Android
@GeruzoniAnsasu 现在哪些比较好用?准备找一个稳定、0 月租的收短信的卡,最好可以收电话。目前想买 gaffgiff 。看到之前很多人用 knowroaming ,但是这个现在已经买不到了(而且很多灰产在用,感觉容易被误伤)。
|
 |
26
Maozon 2023-01-23 15:55:29 +08:00 5
来点儿 meme ,勿对号入座。
 |
 |
27
getadoggie 2023-01-23 16:09:13 +08:00
Linux 系统,用了 lvm 全盘加密,开启了安全启动( boot 签名了),因为知道 tpm 不可靠,所以只能每次开机手动输入密码。
linux 里只运行开源软件,闭源的一律套上 firejail 或者放进虚拟机。 doh 设置了但是经常拿到不够快的 ip ,目前又荒废了。 |
 |
29
PRStarDust 2023-01-23 20:12:35 +08:00
我还好,就只是单纯的将所有浏览器设置为退出清除所有浏览记录,吐槽下 Chrome 多少年了还不支持这个功能
|
 |
30
slack 2023-01-23 22:39:53 +08:00
最近再看 Linux 加固方面的东西,LUKS + Firewalld + SELinux + hardedlinux ,Linux 如果设置不当也会有很多的潜在安全漏洞。
|
 |
31
Sainnhepark 2023-01-23 22:54:43 +08:00 via Android
1. 用 Deno Deploy 免费部署 https://github.com/serverless-dns/serverless-dns (实测比 CF Workers 延迟低一半)。这个服务可以提供 DoH ,广告过滤,反追踪以及过滤恶意网站。
2. serverless dns 写到 clash 配置里,clash rules 里可以进一步过滤广告和追踪器 3. 浏览器用 Firefox 4. Firefox 需要装两个扩展,uBlockOrigin 和 Privacy Badge 。uBO 广告过滤,它完全开源,资源占用低,功能齐全,活跃更新。Privacy Badge 用来屏蔽追踪器,但它的屏蔽方式很新颖,不是基于 rules 屏蔽,而是根据 JS 脚本的行为来猜测它是不是追踪器,这也是完全开源的。这两个扩展在安卓上也有。 |
 |
32
EricGao0321 2023-01-23 23:16:35 +08:00
未尝不是在享受一种折腾的乐趣
|
 |
33
MoRanjiang 2023-01-24 00:56:57 +08:00 via Android
我的初中同学,翻墙必洋葱,我有一次看到他在电脑课用洋葱下油管视频,,,
|
|
34
MoRanjiang 2023-01-24 00:59:55 +08:00 via Android
我自己是条懒狗,除了儿童色情(二次元)会注意一下,基本上会和谷歌微软分享所有个人信息(
|
 |
35
FrankAdler 2023-01-24 15:42:28 +08:00 via iPhone
做了 dns 分流走自建服务之后其实就不存在别人知道你看了哪些网站
我个人主要是防止被社工,所以所有的站点和 App 都(尽量)用不一样的用户名和密码( bitwarden 生成),邮箱用一个只用来接验证码的,然后转发到私人邮箱,以及尽量不留明文联系方式和能永久存在个人信息的图片 |
 |
36
Takuron 2023-01-24 17:37:07 +08:00
1.Bitlocker 该开就开,涉嫌违规的信息再用 cryptmator 加密一遍(主要方便网盘同步)
2. totp 应开尽开 3. 外网内网浏览器分开(主要是方便分流),广告屏蔽插件正常启用。 4. firefox relay 保护真实邮箱地址。 5. keepass 密码+文件主密钥保护强密码 不过虽然我理解 op 加粗的意思,但想提醒 op“有没有价值”是个人隐私非常重要的一个问题。包括你觉得安全的各种加密其实在暴算面前也都是时间成本问题,以及你为了加密额外付出的便利性成本这都是要考虑的。 |
Select Language