被 v 站隐私保护吓晕,想请教对隐私保护和信息安全比较在意的各位都做了什么措施?包括但不限于文件加密、密钥管理,或者仅仅是普通的保护隐私的手段。

2023-01-22 23:34:06 +08:00
 studyingss

在 v 站搜隐私保护相关内容,看到有个站友在 bitlocker 的硬盘上开 veracrypt 里面装虚拟机,在虚拟机里面开 kvm 再套虚拟机(记不太清了,总之套了两三层)

起因是加了一个群,里面的人天天折腾 DNS 分流到夸张的程度,具体就每天发 whoer 和 dnsleaktes 测试截图,只关注 dns 分流还好,最离谱的是有人甚至没搞清楚 dns 泄漏的概念(甚至 dns 是什么都没弄清),因为有一天有个人发 dnsleaktest 截图并表示 “这个上面的 ip 一个都不是我的,所以我配置的 dns 分流一点泄漏都没有”。

第二是遇到另一个群友,他表示只用 Firefox 隐私标签页,相当于每次关掉浏览器都要重新登陆所有网站。震惊了。

后来查了查相关资料,发现苹果的 t2 和 微软的 bitlocker + tpm 居然都是可以被破解的,震惊 ++

打算装个杀毒软件,查资料查到一个杀软论坛里,发现里面居然有人同时开两个杀软,原因一个查杀强一个主防强,震惊 >> 1

所以好奇想知道,比较在意隐私和信息安全的各位,日常都做了一些什么防护措施呢?

鉴于每次隐私相关话题的讨论都会偏离,所以先约定下面几点:

“你的隐私 /信息有什么价值”“谁在乎你那点东西”党请直接退出这个帖子。

如果有什么看法,请只针对别人的措施的有效性进行讨论,而不是讨论“有没有必要”或者进行人身攻击。

希望能够说明一下是在特殊情况下使用还是日常情况下使用。

6921 次点击
所在节点    问与答
36 条回复
smallboy19991231
2023-01-22 23:40:18 +08:00
我有时候会焦虑我的隐私,然后折腾到跟上面一样,有时候无所谓到什么都不在乎,看人吧,搞累了就不想搞了
sky96111
2023-01-22 23:43:53 +08:00
我做了:
1 、用 KeePassXC 为管理网页的强随机密码
2 、能开 TOTP 的都开 TOTP
3 、用 Yubikey 的 gpg-agent 作为 ssh 私钥
4 、Windows 系统盘开 Bitlocker ,Linux 没管
5 、路由器部署 AdGuard Home ,不设置过滤列表,仅作为 DoH 使用
wangkun025
2023-01-22 23:46:36 +08:00
veracrypt 应该就足够了。
aulayli
2023-01-22 23:49:59 +08:00
安不安全看自己的行为,我为了方便平时都把密码存在浏览器里,不安装乱七八糟来路不明的软件,杀毒就装个火绒,有风险的程序或网站我会在虚拟机或 tor 网络下使用。
numberator
2023-01-22 23:57:35 +08:00
就 yubikey 加密码,一个防黑客远程打我,一个防猝死社死。
MajestySolor
2023-01-23 00:25:27 +08:00
类似于那些所谓的生存狂囤积狂,满脑子都是明天就要全球种蘑菇了全球生化危机了
反正我是觉得正常人除了选个适合自己的密码软件,比如 1password ,其它真没啥好操心的
documentzhangx66
2023-01-23 00:28:04 +08:00
1.重点系统用 IP 白名单保护,这一招几乎能帮你抵挡 99.99% 的入侵。但缺点就是用起来不方便。同时配合专门的跳板机,重点系统只对跳板机开白名单,兼顾了方便与安全。就算黑客入侵,也只是入侵了跳板机。

2.自建所有系统,这一招能帮你免疫大部分信息泄露。比如各种云笔记软件、网盘软件,等等。

3.Linux 的 fail2ban 与 Windows 的 wail2ban ,保护密码爆破。

4.诺顿信息安全套装,最后一道防线。
agagega
2023-01-23 00:40:10 +08:00
服务端用户管不着,传输过程能控制的也不多,国内除非用不了什么正经 VPN ,只能折腾点 DoH 或者代理。客户端其实最重要:不该装的软件不要装,时不时留意下操作系统进程列表,不要运行来历不明的软件,有必要把东西扔虚拟机里等。

VeraCrypt 这个取决于你是想藏东西还是加密东西,如果是后者用操作系统内置的加密分区就好,macOS 还可以支持共享大小的加密 APFS 卷宗,第三方软件没必要还麻烦。用什么手段保护安全和个人身份确实是有点关系,比如大部分人可以信任干净的 Windows 或者 macOS ,但一些人就不行。富人可以打造自己的一套方案,对普通人反正就是隐私跟便利一个多点另一个就少点。

> 他表示只用 Firefox 隐私标签页,相当于每次关掉浏览器都要重新登陆所有网站

我一直这么干,但原因不是为了隐私,是某些要求 SSO 的网站登录态处理有 bug ,每次重开隐私窗口登录反而方便。其他情况身份标签页足够了其实。

> 发现苹果的 t2 和 微软的 bitlocker + tpm 居然都是可以被破解的

特殊个体也许需要担心被针对性攻击的风险,但普通人需要注意的是群体伤害技能。苹果微软也会做针对性升级,攻守双方达成平衡。

其实 YubiKey 真的是个好东西,这种智能卡设备如果能广泛利用对隐私和安全都大有助益。但各大网站和软件对它做适配的动力似乎不强。别说更新的 WebAuthn/PassKey ,就是上一代的 FIDO 协议支持的网站都不多。还有密码管理器,既然 OS 可以用支持 PIV 的 YubiKey 解锁,那密码管理软件也应该可以,但没人做。

总之把隐私保护比作个人对病毒的防护就好理解了:有人无所谓,有人很注意,有人只是享受这个消毒的过程。
duke807
2023-01-23 02:02:58 +08:00
1. 只用 linux 做主系统

2. 只用开源软件,不开源的放沙箱、虚拟机,个别受我信任的海外行业专业软件除外

3. 磁盘加密只用自己写的小脚本调用主流开源加密小工具,譬如随便一个目录下,很多 mp3 文件,其中一个是我的加密磁盘镜像的伪装,默认不挂载,用的时候才解密挂载(鼠标拖动 mp3 文件到脚本或脚本的软链接即可输入密码),再拖一次取消解密,已解密挂载的内容重启电脑会不存在。而且文件没有 header ,分析不出来是什么软件加密:
https://github.com/dukelec/cde/blob/master/tools/aes-mount.sh
totoro625
2023-01-23 03:50:31 +08:00
主要是看你要防谁,还是单纯想成为大家都不保护隐私就你保护了之后特殊的靶子

第一个问题展开就是防国家还是防有心人
鉴于有心人能使用国家手段
直接建议所有账户裸奔,只保护特定账户

第二个问题举个例子,抽查的时候发现某个人隐私都被保护起来了看不到,据了解是个程序员,特别注重信息安全,妥妥的要重点监控,重点破解

所以只有特别的账户需要隐私保护,并且在整个流程上做好保护就好了

群里大佬(在国内且只防止隐私泄露给国内):准备专用的一套硬件,不够买面向国内销售和在国内生产的硬件,不直接连接国内的互联网进行上网,至少套软路由全局翻出去,落地鸡只买大厂的,要 ip 被墙的,再手动屏蔽国内 ip 段,手机的话要么永远不插卡,要么准备专用的没在任何设备上用过的国外运营商手机卡,不安装任何第三方应用,不安装国内厂商的应用

隐私保护失败的案例:破娃,编程随想,了解他们被开盒的过程,可以总结很多经验

我的做法:
日常用同一个账户 id 保证活跃,因为很多原因不得不实名裸奔,既然这样就保证一个和普通用户一样的裸奔画像,但是来历不明还必须用的程序会丢虚拟机
特殊情况下开虚拟机登录其他账户,划分账户用途和使用范围,坚决不搜索另一个账户
翻墙用自己的小鸡做落地,出口 ip 保持不变,换账户走单独的出口,保证 ip 无关联

当我是个正常人的时候,我就是一个路人,开盒就开盒,那个身份我直接是公开的,就是纯粹的被人欺负了
而真正需要保护的东西会单独放一边,慎重的使用,要知道没有攻不破的系统,只有自己小心再小心
Showfom
2023-01-23 03:53:05 +08:00
@duke807 #9 牛逼
baobao1270
2023-01-23 04:18:37 +08:00
我的话
1 、全盘加密 /BitLocker 必开,但是其实 T2/BitLocker 也就防一个电脑被卖出去之后数据被提取,对于拿到你整个电脑的来说是防不住的
2 、KeePass 进行密码管理,能开 2FA 的开 2FA ,支持 YubiKey 的就用 YubiKey 登录
3 、浏览器安装「隐私罐」、开启「仅 HTTPS 」模式( Firefox )
4 、不在非虚拟机中安装国产软件
5 、手机双机隔离,美版 iPhone 装国外软件、插美国卡,国内小米手机装国产软件、插国内卡
6 、远程连接到 HomeLab 使用 Wireguard
7 、不使用 IM 传输敏感信息,使用开源的二维码制作 /扫描软件传递 key

另外,感觉你的「约定几点」其实是不可避免的,因为讨论「有效性」必然会变成「有没有必要」——「无效」的安全措施自然就「没有必要」了。
更不必说,被动和强制的隐私泄露,是任何人都不可避免的——被单位、学校、社区泄露的信息,以及在一个国家掌握所有公民个人信息的国家,隐私的泄露是不可避免的。
swulling
2023-01-23 08:46:20 +08:00
信息安全的要义是先明确威胁源。最少分成三种

脚本小子之类的大面积无特定目标的攻击:多数朋友只需要防范这个就行了。
针对个人的远程攻击:前提是你有被专项攻击的价值,比如有很多比特币,墙外意见领袖之类,涉嫌违法犯罪等。
线下物理攻击:可以直接接触设备甚至威胁个人。

后两种中,混淆比加密可能还要更重要一点,折腾翻墙的都懂。
me221
2023-01-23 09:36:40 +08:00
Yubikey
二步验证
ssh 关闭密码登录.
AdGuardHome
ltkun
2023-01-23 10:00:00 +08:00
正常 我已经 90%以上自建服务了 留了谷歌相册 几个白嫖的公有云
vangjing
2023-01-23 10:12:00 +08:00
楼上可能都忽略了一个细节,DNS 通信流量是明文传输的,他们不一定知道你看了什么内容,但知道你看了哪个网站,所以 DNS 可能才是泄露隐私的大头。可以用 DOT 或者 DOH 。
GeruzoniAnsasu
2023-01-23 11:02:46 +08:00
点进来之前以为说的是 v 站要验证手机号这回事……

本地加密前面说过了,我补充一个身份隔离: 国内刚需手机号;国外普通业务用 gmail ; github 和对外工作邮件用 proton ,密保手机号 2 与国内手机号隔离;内网使用私域凭证,且不保留上述两个身份的凭证。我还有个匿名的身份套件( gv/邮箱 /密码),与所有身份存储系统断开,只用隐私模式登录
caomu
2023-01-23 11:10:30 +08:00
@GeruzoniAnsasu 另一个手机卡是用国外卡还是国内卡呢?
janus77
2023-01-23 11:55:43 +08:00
看你防谁,主要分两类
防非法分子(包括卖数据的等等)主要靠多重验证,更新安全补丁等等
防合法分子(比如 gov 和各种广告服务商)主要靠隔离,敏感数据用单独浏览器,尽量走梯子,笔记本摄像头物理遮挡,国产软件使用替代品或绿色精简版等
GeruzoniAnsasu
2023-01-23 12:13:38 +08:00
@caomu 当然是国外卡…… 国内手机号不管有几个,一泄露都会指向同一个身份信息,有啥区别

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/910294

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX