引言
在如今高度数字化的世界中,保护个人隐私和信息安全变得越来越重要。为了帮助您在不同设备和操作系统中实现高度的安全性,本文为您提供了一系列详细的技巧和建议。这些内容涵盖了加密方法、智能手机保护、计算机安全设置以及证书管理等方面。通过遵循这些建议,您将能够大幅提高自己的数字安全防范能力,降低信息泄露和隐私侵犯的风险。让我们一起探讨如何实现更安全的数字生活。
0. 网络层面
坚持以下基本原则:
- 使用前置代理服务器以及 TOR/I 2 P 网络进行翻墙访问互联网
- 通过在翻墙过程中随意访问视频网站或者编写脚本进行网页内容刷新等方式,达到流量混淆的目的。
0. 网络安全与科学上网
简要介绍 GFW 原理:
关键词:「加密算法」与「探测方式」
翻墙被请喝茶的原因通常有两种:
第一种是海外账号使用国内手机号绑定,这里不做讨论。
第二种是使用了简单的加密算法。部分小型机场为了超售赚钱,会采用简单的加密算法。因为加密算法越简单,机场单台服务器压力就越小,从而能卖出更多服务。但简单的加密算法容易被技术手段破译出明文。一旦发现敏感词汇,就有可能被请喝茶。
目前无法破译且较稳定的加密算法有三种:AES-256-GCM,AES-128-GCM,XChaCha 20。这些算法无法查看明文内容。
探测方式方面,GFW 采用主动探测。也就是说,当上述加密方式使墙无法破解时,墙会尝试主动连接翻墙服务器,根据返回信息判断是否在翻墙。
然而,主动探测成本很高,因此墙会放开常用加密端口。由于成本原因,这些端口无法进行检测。这就解释了为什么注意事项中要求指定端口号。
关于自建梯子议直接看耗子写的:科学上网
自建梯子需注意以下几点:
- 避免购买需要实名认证的服务器,也不要选择被墙重灾区的服务器提供商。
- 不要使用网上的脚本安装,建议从 Github 上下载最新版本的 Shadowsocks,并将加密方式改为 AES-256-GCM 或 AES-128-GCM。
- 使用 Shadowsocks 开放的 443 端口,模拟网站流量,而不是使用专门用于伪装的软件如 V 2 Ray 或 SSR,因为这些软件容易被墙检测到特征。
- 推荐使用开源客户端:
- Windows:Shadowsocks
- MacOS:Shadowsocks-ng
- Android:Shadowsocks
- IOS:Potatso Lite,需从非国区商店下载
- 避免在国内的 IM 软件中传播梯子地址,尤其是服务器 IP 地址。
- 不要在电脑上安装 360 杀毒软件,也不要在手机上安装反诈骗类 App,因为这些软件可能会监测网络流量并上报给政府部门。
想要机场的速度、独立 IP 的出口,还有安全稳定性。
我之前在国内的做法是:
- 购买一家独立 IP,支持 NF,大带宽,但国内直连无法使用的落地机。
- 购买几家 IPLC / Aliyun / 腾讯云,非独立 IP 的服务器,通过 Nginx 作为中转入口。
- 再购买几家中转大机场,通过 Surge 做客户端中转到落地机。
好处是:
- 使用 load-balance 规则叠加中转带宽。
- 由于落地始 IP 始终一致,不会触发各种奇怪的风控。
- 如果中转服务器或机场不稳定,有多个备用的顶上。
虽然略显浪费,但这应该是符合我需求的最省钱的方案了。
Surge 的客户端中转功能,通过 UI 使用非常简单:
- 在「策略」页面,把你当前的落地机代理(A)创建副本。
- 编辑这个新的副本代理(B),在「代理链」选项里选择中转代理(C)。
- 当你使用 B 代理,效果其实是 C → A。
建议您先使用梯子连接网络,然后再使用 Tor 浏览器。这样,您的互联网服务提供商(Internet Service Provider, ISP)无法知道您连接了 Tor 网络,但它们会知道您连接了代理。您的代理服务提供商会知道您的真实 IP 地址,可能还会知道您连接了 Tor 网络,但无法知道您浏览了什么内容。如果您认为您的代理服务不可信(因为它们可能会记录您的日志文件,甚至有些代理服务是钓鱼的),建议您只使用 Tor 浏览器中内置的 Snowflake 网桥进行连接。Snowflake 网桥不会知道您的真实 IP 地址和访问内容,从而提高您的隐私保护程度。
自建梯子需注意以下几点:
- 避免购买需要实名认证的服务器,也不要选择被墙重灾区的服务器提供商。
- 不要使用网上的脚本安装,建议从 Github 上下载最新版本的 Shadowsocks,并将加密方式改为 AES-256-GCM 或 AES-128-GCM。
- 使用 Shadowsocks 开放的 443 端口,模拟网站流量,而不是使用专门用于伪装的软件如 V 2 Ray 或 SSR,因为这些软件容易被墙检测到特征。
- 推荐使用开源客户端:
- Windows:Shadowsocks
- MacOS:Shadowsocks-ng
- Android:Shadowsocks
- IOS:Potatso Lite,需从非国区商店下载
- 避免在国内的 IM 软件中传播梯子地址,尤其是服务器 IP 地址。
- 不要在电脑上安装 360 杀毒软件,也不要在手机上安装反诈骗类 App,因为这些软件可能会监测网络流量并上报给政府部门。
想要机场的速度、独立 IP 的出口,还有安全稳定性。
我之前在国内的做法是:
- 购买一家独立 IP,支持 NF,大带宽,但国内直连无法使用的落地机。
- 购买几家 IPLC / Aliyun / 腾讯云,非独立 IP 的服务器,通过 Nginx 作为中转入口。
- 再购买几家中转大机场,通过 Surge 做客户端中转到落地机。
好处是:
- 使用 load-balance 规则叠加中转带宽。
- 由于落地始 IP 始终一致,不会触发各种奇怪的风控。
- 如果中转服务器或机场不稳定,有多个备用的顶上。
虽然略显浪费,但这应该是符合我需求的最省钱的方案了。
Surge 的客户端中转功能,通过 UI 使用非常简单:
- 在「策略」页面,把你当前的落地机代理(A)创建副本。
- 编辑这个新的副本代理(B),在「代理链」选项里选择中转代理(C)。
- 当你使用 B 代理,效果其实是 C → A。
建议您先使用梯子连接网络,然后再使用 Tor 浏览器。这样,您的互联网服务提供商(Internet Service Provider, ISP)无法知道您连接了 Tor 网络,但它们会知道您连接了代理。您的代理服务提供商会知道您的真实 IP 地址,可能还会知道您连接了 Tor 网络,但无法知道您浏览了什么内容。如果您认为您的代理服务不可信(因为它们可能会记录您的日志文件,甚至有些代理服务是钓鱼的),建议您只使用 Tor 浏览器中内置的 Snowflake 网桥进行连接。Snowflake 网桥不会知道您的真实 IP 地址和访问内容,从而提高您的隐私保护程度。
为了更安全地突破网络封锁,提高您的上网安全性,建议您:
- 确保计算机的固件、硬件等设备完好且未感染过病毒。如果可能的话,您可以自己组装一台 PC,从而更好地掌握硬件和软件的安全情况。
- 使用以太网连接,避免使用 Wi-Fi(尤其是公共 Wi-Fi 和校园网等)及物联网设备。这将有助于防止网络窃听和中间人攻击。
- 选择一个安全的前端代理,使用加密货币购买 VPS 服务,最好自己搭建。请确保您的 VPS 服务商不会记录您的活动日志,以保护您的隐私。
- 不要使用移动设备连接 Tor 网络,即使使用未实名的 SIM 卡也不能保护您的匿名性。因为 IMEI 仍然会暴露您的位置。
- 将 Tor 浏览器的安全设置由默认的 Standard 提升为 Safest。这将禁用 JavaScript,可能导致某些网站无法正常显示,但 JavaScript 可能会使您受到攻击,例如某些网站可能记录您在 Tor 浏览器上输入的键值。同时,禁用位置、摄像头、麦克风和虚拟现实的访问请求,从而提高您的隐私保护程度。
- 定期检查并更新您的 Tor 浏览器。这将有助于修复可能存在的安全漏洞,从而提高您的安全性。
- 不要使用 Tor 网络发送任何未加密的敏感数据。Tor 仅加密您的连接,而蹲守在出口节点的人仍然可以看到您发送的内容。因此,在发送敏感数据之前,请清理文件的元数据,并使用 GnuPG 对其进行加密。
- 不要使用 Tor 浏览器访问 HTTP 网站和进行 P 2 P 下载。同时,请勿同时使用 Tor 浏览器和其他浏览器访问同一台服务器,以防止您的身份被揭示。
- 不要在 Tor 浏览器中登录任何您在 Tor 浏览器之外曾经登录过的账号。这将有助于避免被跟踪和识别。如果您必须登录账号,请使用不同的浏览器或使用匿名浏览模式。
1.使用 DNSCrypt、DoH、DoT 加密 DNS 传输
在输入网址并前往网站的过程中,你的电脑会先向互联网查询该网站的 IP 地址,这个过程被称为 DNS 查询或 DNS 请求。然后 DNS 服务器会将该网站的 IP 地址回复给你的电脑,让你的电脑能够找到该网站。但这种方式存在两大主要问题:
- 大部分电脑默认使用由互联网供应商(ISP)提供的 DNS 服务器,存在信息泄露的风险。
- 这种 DNS 查询方式是未加密的,也就是说,所有传输的数据都是明文传输的,容易被第三方窃取和篡改。
为了解决这些问题,我们可以运用 DNSCrypt、DoH、DoT 等技术来加密 DNS 传输。运用这些技术,即使你已经使用了 HTTPS 进行加密,你的 ISP(即政府)也无法得知你访问过的网站。此外,如果你使用未加密的 DNS,攻击者可以伪装成 DNS 服务器,将你的设备导向错误的 IP 地址,以获取你的登录信息。
为了避免这些问题,我们可以使用 DNSCrypt、DoH、DoT 加密 DNS 传输。
在 Windows、MacOS 和 Linux 系统中,你可以选择不同的客户端,如 Simple DNSCrypt 和 DNSCrypt-OSXClient 等。需要注意的是,在选择 DNS 解析器时,请确保它的服务器名称不属于香港或中国地区,以保证数据安全性。
另外一个解决方案是使用加密的 DNS,例如 DoH、DoT 以及私有 DNS 服务器,这可以通过 pi-hole 等解决方案在本地自托管或远程托管,或者使用 VPN 提供商或 Tor 等服务。这可以有效防止 ISP 或中间人窥探您的网络请求。为了更好地保护您的数据安全,Windows 用户应该启用 DNS 缓存附加功能。
注意事项:
当连接一个公共 WiFi 时,服务提供者会得到什么信息?
- 手机的 MAC 地址(如果此项提供给 App 服务商,则他们可以确定背后的用户是谁)
- 手机号码以及背后的实名制信息
- 手机的品牌、型号、生产年份
- 如果连接的时间足够长,那么可以得出用户的网络产品使用偏好
-
Tor 使用注意事项
- 请勿使用 Tor 作为手机上的两步验证。
- 不要在 Tor 之外操作用户帐户。
- 不要发布任何有关您的个人信息。
- 不要通过 Tor 发送未加密的数据 (Http)。
- 最好不要在 Windows 中使用 TOR。
- 不要忘记删除 Cookies 和本地网站数据。
- 请勿将 Tor 用于 Google 搜索。
- 不要同时使用 Tor 和不使用 Tor 访问同一台服务器。
- 对于 Tor 保存文件后的"打开文件"和"保存",不要使用"打开文件"功能,因为这会暴露您的本机 IP 地址给网站。
为什么不要将 Tor 用于 Google 搜索:如果您想在使用 Tor 时保持匿名,请勿使用 Google 搜索。虽然这听起来很奇怪,但这是因为 Google 会收集您的搜索请求等信息,将 Cookie 文件存储在您的计算机上,并跟踪您的浏览习惯以支持其广告服务。您最好使用其他搜索引擎,如 DuckDuckGo 和 StartPage,因为它们不会记录您的 IP 地址或任何其他活动。谷歌有可能会显示一条错误消息或要求验证码,这是因为通过 Tor 访问 Google 的人似乎很可疑。
1. 关于网络账号与社交通讯
坚持以下基本原则:
- 不信任自己以外的任何人,包括你的妻子和父母。
- 颗粒度化网络身份,每一个网络身份都只有单一功能。每一个账号都应该单独拥有不同的 ID、密码、邮箱和需要绑定的手机。
- 关于手机号:虚拟号 > 境外未实名手机号 > 境内他人实名手机卡。
- 坚持非必要不使用任何国内服务以及软件。
0. 以下为必须遵守的基础防线:
- 对于不同的服务,应该使用不同的用户名。
- 对于不同的服务,应该使用不同的电子邮件地址,保持一站一邮。
- 尽可能地启用双因素认证。
- 避免使用生物识别技术,例如人脸识别和指纹识别。
- 避免使用真实的 IP 地址以及 Proxy、VPN 或 TOR 登录不同身份的账户。
- 不要发布可通过反向图像搜索追溯到您身份的照片或图像。
- 不要在任何网上论坛讨论个人喜好或具体位置。
- 避免安装任何中国公司制作的软件。如果必须使用这些软件,请将其放在虚拟机中运行,或使用单独的安全硬件设备隔离并关闭所有权限。
- 遇到垃圾邮件时,请不要回复或阻止它。
- 原则上不要发布或分享不必要的个人信息。
- 注意消除浏览器指纹。对于不信任的网站,请禁用 JavaScript 脚本,修改 User. Js。
- 不要在网上与网友进行辱骂。这可能会暴露您的语言风格和时间信息。如果需要发泄情绪,可以使用一个脚本定期自动发送语言风格的消息。
- 对于安全需求较高的人,建议定期制定静默期,并故意发布虚假信息,例如“使用 Linux 但自称使用 Mac”,以防止样本空间缩小。
- 建议使用 Tails 和 Whonix 等强制所有流量经过 TOR 的操作系统,以免因操作失误而导致 IP 泄露。
📌 💡 注销国内所有服务账号,仅保留支付宝和银行账户,不要在网络上发布任何收款码,如 QQ、微信、微博、B 站、豆瓣、爱奇艺、小红书等。
如果无法避免,如需保留微信账号,确保账号头像、ID 不要相同(每一个服务用不同的 ID 跟头像),避免同时发布相似内容。如有疑似信息泄露情况,第一时间销毁账号/重建。
我个人推荐使用密码管理器 KeePass 和 Bitwarden。
不建议在国内服务的联系方式,特别是微信,即使转区到了 WeChat 也不可行。
建议起步使用 Telegram 联系网友。
以下是我常用的即时通讯软件:
- Telegram(不要使用第三方客户端)
- Signal(添加联系人会暴露手机号)
- Session(首选,注册和删除帐户都非常快)
- Element(去中心化)
- 最好使用 Proton Mail 与人沟通,并使用 Tor 从网页端访问。
1. 关于手机号
优先推荐 Google Voice
无法使用虚拟电话号码的服务,可以考虑选择仅支持 WI-FI CALLING 的实体卡。
像是国内能使用的 T-Mobile PayGO 手机卡,会经过中国的基站,因此会定位到你的位置。但如果是仅支持 WI-FI CALLING,就不会经过基站,而是直接通过网络,但不排除尝试连接基站的可能。
📌 💡 不要用+86 中国大陆实名手机卡
- 美国 Ultra Mobile
- 英国 Giff 卡
- 新西兰 Skinny 卡
- 新西兰 Vodafone 卡
- 马来西亚卡
2 个 eSIM 提供的平台,大家可以参考:
获得手机号的同时,可以有翻墙流量。
淘宝在没有通讯录权限的情况下获取到了自己的+44 手机号码,并使用阿里的+44 号码为其发送菜鸟快递信息。
不仅如此,中国移动也获取到了他的+44 号码。
请一定要记住,不要将境外手机卡插入到使用过+86 号码的手机中!
-
国内可连外网的 esim
- 有支持 esim 苹果手机的人有福了, AppStore 发现一个 redteago 的 app ,可以购买在中国大陆短期可用的 esim 卡,可以连国际互联网,0.49 美金/1 GB ,某些场景很需要这种东西,使用我的邀请码:YQYQ 0001 会获得 4 美金余额奖励。
- https://www.v2ex.com/t/1007300#reply0
- 3 HK 内地/香港/澳门通用:45 GB/年,268 港币,官网直达;
- Tello,使用 T-Mobile 网络,可自由组合套餐,最低只要 5 美元/月,100 分钟通话时长,支持 WiFi Calling,免费接收短信,充值 5 美元可额外得到 10 美元,;
- Eskimo:新加坡运营商提供的上网套餐,没有电话业务,国内使用联通网络,10 GB/39 美元,可在两年内使用,注册可获取 500 MB;
- Tel-U:一家台湾运营商,现在提供的 eSIM 卡上网折扣,新用户注册后登录,点击「序号兑换」,使用兑换序号「XEDCXHBJXX」,可兑换 1 GB 亚洲网络套餐(30 天有效),如果需要购买其他套餐,该折扣码可再减 100 台币(大概 20 元人民币);
-
境外 SIM 卡与 eSIM 卡选卡/购卡推荐
注意事项:
- 在 Twitter 上,不回复任何私信,不点击任何不明链接,如果必须点击,请在 Tor 浏览器中浏览。
- 在发布相机照片时, 清除图片的 EXIF 信息。
- 发送一些链接时,请删除后面的追踪参数(如 xxxx. Com/xxxx/? Dd 1145141919810)
网络时间线
即使不考虑其他因素,仅凭一个网络身份的在线时间,就可以收集到该自然人的信息。如果这个网络身份的活动非常频繁并且持续时间足够长,那么收集到的信息将非常丰富,足以描绘出背后的自然人的详细特征。
举例 1:时区
时区是最容易想到的一个例子。如果某人上线频繁或在线时间很长,就可以观察出此人的作息规律(人总是需要睡觉的)。通过作息规律,就可以大致猜测出此人所处的时区范围(±2)。
邮件安全规范
任何文档都可能包含比你想象中更多的信息,包括元数据。元数据包含了很多有关于文档创建的信息,比如建立文档的设备型号、用户名、地理位置、照片等信息。因此,如果你需要发送文档作为附件,建议你注意以下几个点:
- 不要包含照片、Excel、图表等绘图信息;
- 使用 Office 软件内置的功能检查并删除所有的元数据(例如“检查文档”功能);
- 不要发送 Word、Excel 等形式的附件,将文档转换成 PDF 再发送;
- 为 PDF 文件设置密码保护。
-
保持邮件为空
邮箱的最大威胁不是高阶黑客入侵,而是一旦被你本人在现实中被控制,对方可能强迫你交出邮箱密码。即使你不交出,你的同事或朋友也可能交出他们的密码给对方,这样你和他们之间的所有邮件来往记录都会被对方看到。因此,零收件箱策略非常重要,它是为你带来安全的重要工具之一。
推荐使用服务 ProtonMail,因为它的自动销毁功能从众多的邮件服务中脱颖而出。类似的服务在两个聊天软件上也有,Telegram 和 Signal,在手册内的手机安全部分有提到。你可以在给某人写一封邮件时设置一个时间。时间点一到,邮件就会被自动销毁,并且是在你和收件人双方同时销毁。
请尽量使用文字传播信息,使用图片时要清除 EXIF 信息。最危险的传播形式是 Word/PDF 这种类型,因为这些文件会直接暴露你的数据。如果非要用这种途径,请手动清除其元数据。
任何通过邮箱或浏览器下载的文件,以及新创建的文档,都应该直接下载到最终要存储的地方。不要下载到操作硬盘或桌面后再转移到加密空间,这样会留下痕迹,并轻易的被他人找到。记得总是将文件直接下载或保存到安全的存储位置。
遵循这些原则可以有效地保护你的隐私和安全,减少信息泄露的风险。保持谨慎和保密意识,及时更新安全策略,将有助于你在网络世界中更安全地生活和工作。
2. 硬件和软件层面的防护
以下是基本原则:
- 专机专用,如果没有物理机,可用虚拟机隔离环境
- 避免使用智能手机
- 物理切断摄像头、麦克风和传感器。
0. 硬件方面
📌 💡 重点:避免使用任何中国品牌的数码产品!避免使用任何中国品牌的数码产品!避免使用任何中国品牌的数码产品!尤其在进行敏感操作时候!
为了确保安全,建议尽量在电脑上进行操作,而不是使用手机。但在这个移动互联网时代,使用智能手机是不可避免的,因此需要尽可能进行物理硬件身份隔离。
计算机也应该做到专机专用。现在一台计算机的价格也不贵。以下是一些例子:
- 游戏娱乐用的 PC 游戏机:只安装 Windows 系统和游戏,不用于其他操作。当然,也可以选择电视游戏主机。
- 日常工作使用的工作机:只安装 Linux 系统(例如 Arch 发行版本),只用于开发和日常使用,不用于网络社交或发布任何内容。
📌 💡 我们的网络身份可以是多个,而敏感操作需要进行细颗粒度分割。因此,推荐使用 Qubes OS + Whonix 方案。
在硬件方面,可以选择一些二手的迷你主机。编写文本和发送内容并不需要太高的性能,可以把系统运行在 USB 上,出现问题时可以物理销毁 USB。
此外,建议进行物理硬件身份隔离,即将敏感操作的设备和其他设备分离。
- 单独使用一台计算机进行网络社交
- 单独使用一台计算机发布敏感言论
- 单独使用一台计算机编辑敏感信息(不连接网络)
这种分离可以保护你的隐私和安全,减少信息泄露的风险。通过对设备进行隔离,可以确保敏感操作不会与其他设备上的数据或活动产生联系,从而降低被追踪和定位的风险。
1. 操作系统方面
我推荐各位安装 Linux ,发行版本可以挑选你自己喜欢的。如果您需要进行一些敏感操作,我建议采用 Qubes OS 和 Whonix 的组合。
众所周知,Windows 和 MacOS 是简单易用的操作系统,全球装机量非常大,但对于非政府客户来说是闭源的,我们无法确定系统是否留有后门。但以下一些事实可以参考:
- 棱镜计划(PRISM)的信息指出,微软的即时通讯软件 Skype 存在后门,以便美国国家安全局(NSA)提取用户数据。
- Windows 的文件管理器会记录用户访问时间、访问内容、文件类型等敏感数据。
- Windows 本身存在许多系统漏洞,有的甚至长达十年未被发现。
相比之下,Linux 是自由、免费和开源的操作系统,只要用户合理操作,个人隐私可以得到很好的保护。Linux 有许多公开发行版本,其中最注重隐私保护的是 Tails、Qubes OS 和 Whonix。
浏览器推荐
FireFox 是我最推荐的浏览器,除此之外,你也可以使用 Brave 浏览器、Tor 浏览器。
搜索引擎是优先选择 DuckDuckGo 和 Startpage,其次才是 Google。
浏览器可以考虑安装以下插件:
Veracrypt 使用注意事项
- Veracrypt 的隐藏加密功能可以提升安全系数,尤其将其安装到 USB 更加安全,因为警方或对手无法在电脑中找到这个软件。
- 外部加密卷内的信息必须是显然不愿分享的,确保里面存放的文件是敏感但不是太敏感的,比如银行账户文件、黑名单书名的 PDF 文档以及一些不需要使用但有存在价值的工作文件。
- 定期添加一些新文件到外部加密卷内,这样能表明你一直在使用,同时也要确保警方在读取里面资料时相信那是你在保护的东西。
2. 智能手机移动设备层面
我建议您购买 Google Pixel 智能手机,但最好不要插入任何 SIM 卡,仅连接 Wi-Fi 使用。
如果需要设备 B(用于安装不可避免的国产软件),iPhone 也是一个不错的选择。但需要注意的是,必须使用美区 Apple ID,而不是中国大陆区 Apple ID。如果您使用中国大陆区 Apple ID,您的数据将传输到云上贵州。同时,请勿在设备设置中登录中国大陆区 Apple ID。
需要注意的是,移动设备也需要进行身份物理隔离。以我自己为例:
📌
主要我不在手机上刷社交媒体,也不发布任何内容,主力机对于我来说只是一个移动阅读器,我还是一个 Apple Watch 用户。如果您无法戒掉刷社交媒体的习惯,我建议您使用 Google Pixel 智能手机。
- 主力机是 iPhone 13 mini。为了保护个人隐私和信息安全,不要插入任何 SIM 卡。您只使用以下 APP:
- Spotify:用于在早上做早饭和运动时聆听音乐。
- Overcast:用于收听 Podcast。
- Audible:用于听有声书。
- Water Tracker:用于提醒您喝水。
- Readwise Reeder:用于阅读电子书、Newsletter 和 RSS 订阅。
- Telegram:仅用于订阅您自己的 Z-Library 以及其他频道,无需加入群组或与他人对话。注册时使用 Ultra Mobile 号码。您将其用作阅读器。
- Notes:用于记录灵感笔记。
- Notion:为了方便管理健身日志、账单、阅读清单和打卡习惯,您单独创建了一个 Notion 账号。
- 备用机是 iPhone SE 2,也不插入任何 SIM 卡。您只安装以下必须使用的国产软件:
- 微信:只与家人联系,不与同事或外人聊天。
- 支付宝
- 淘宝:地址填写距离自己居住地至少两个小区远的驿站或快递柜。收货手机号码使用别人实名的 +86 手机号码。
- 银行官方 App
- 诺基亚 1 号收验证码机,只在需要收取验证码时插入电池和手机卡,收取的手机号码使用别人实名的 +86 手机号码(用于国内服务)。
- 诺基亚 2 号收验证码机,只在需要收取验证码时插入电池和自己的实名手机卡(例如用于银行账户等需要使用实名手机卡的服务)。
- IPhone SE 2 为了使用 Wifi Calling (不走基站)收验证码机,只在需要收取验证码时插入电池和非实名的国外手机卡(用于收取一些境外服务的验证码)。
- Google Pixel 测试机,不插入任何 SIM 卡,只用于安装一些临时需要的 APP。
- 微信专用机是 iPhone 6 S,只安装了一个微信 APP。此账号仅与一些必须通过微信联系的人交流。
注意事项
- 如果你的 SSD 上普经留有敏感数据,请使用 ATA 固态擦除技术而非随机数填充来清除痕迹,以防止数据被恢复,具体方法可以参考 (https://tinyapps.orgldocs/wipe/drives/hdparm.html)。注意,即使使用 ATA 安全擦除,技术人员仍有极小概率可以发现残留的数据,如果你担心这一点,请使用铝热剂、菜刀、鞭炮物理推毁它。
- 进行敏感操作时,物理关闭计算机的硬件传感器(摄像头、麦克风、蓝牙和 Wi-F 等),不要相信系统软件一定可以关掉它们,非必要的情况下不连接网络。另一方面,将你的计算机和其它设备隔离开,因为当你敲击键盘时,不同的键发出的声音有细微的不同,这可能会被手机等设备窃取从而推断出你敲击了哪些键。
如果你因游戏或者工作需求需要使用 Windows
Windows 下需要关闭的服务
在 Windows 中搜索"服务"并打开找到以下服务, 双击并禁用
- Remote Desktop Configuration:该服务使您可以从远程访问计算机。如果您不需要从远程访问计算机,可以禁用此服务。
- Remote Desktop services:同上,这也是允许从远程访问计算机的服务。
- Remote Registry:此服务允许用户从远程计算机编辑 Windows 注册表。如果您不需要从远程计算机编辑注册表,则可以禁用此服务。
- Routing and Remote Access:此服务使 Windows 成为路由器和远程访问服务器。如果您不需要使用 Windows 作为路由器或远程访问服务器,则可以禁用此服务。
- UPnP Device host:UPnP(通用即插即用)是一种网络协议,它允许设备自动发现和连接到网络。如果您不需要使用 UPnP,则可以禁用此服务。
- Volume Shadow Copy:该服务允许您在运行的系统上创建备份。如果您不需要在运行的系统上创建备份,则可以禁用此服务。
- File History Service:此服务允许您自动备份文件。如果您不需要自动备份文件,则可以禁用此服务。
关闭 Windows 系统中的不安全数字证书,以防止中间人攻击
清理 Windows 中的证书:
- 按下 Win+R 组合键,输入 “certmgr. Msc” 并回车。
- 选择 “受信任的根证书颁发机构” > “证书”。
- 在右边的列表中查找黑名单中的证书,并右键选择属性将其禁用。
注意:黑名单中的证书列表可能因时而异。请确保查找并禁用与当前最新列表中的不安全证书匹配的证书。
对于 Firefox 中的证书,可以按照以下步骤进行清理:
- 打开 Firefox 并输入 "about:preferences #privacy "。
- 在 “隐私与安全性” 标签页下找到 “安全性” 部分。
- 点击 “查看证书”,选择 “颁发机构” 选项卡。
- 在列表中查找不安全证书并选择 “删除或禁用”。
在禁用不安全证书之前,请确保它们不会影响您的正常使用。
注意事项
- 如果你的 SSD 上曾经留有敏感数据,请使用 ATA 固态擦除技术而非随机数填充来清除痕迹,以防止数据被恢复,具体方法可以参考 (https://tinyapps.orgldocs/wipe/drives/hdparm.html)。注意,即使使用 ATA 安全擦除,技术人员仍有极小概率可以发现残留的数据,如果你担心这一点,请使用铝热剂、菜刀、鞭炮物理推毁它。
- 进行敏感操作时,物理关闭计算机的硬件传感器(摄像头、麦克风、蓝牙和 Wi-Fi 等),不要相信系统软件一定可以关掉它们,非必要的情况下不连接网络。另一方面,将你的计算机和其它设备隔离开,因为当你敲击键盘时,不同的键发出的声音有细微的不同,这可能会被手机等设备窃取从而推断出你敲击了哪些键。
如果你因游戏或者工作需求需要使用 Windows
Windows 下需要关闭的服务
在 Windows 中搜索 “服务” 并打开,找到以下服务,双击并禁用:
- Remote Desktop Configuration:该服务使您可以从远程访问计算机。如果您不需要从远程访问计算机,可以禁用此服务。
- Remote Desktop services:同上,这也是允许从远程访问计算机的服务。
- Remote Registry:此服务允许用户从远程计算机编辑 Windows 注册表。如果您不需要从远程计算机编辑注册表,则可以禁用此服务。
- Routing and Remote Access:此服务使 Windows 成为路由器和远程访问服务器。如果您不需要使用 Windows 作为路由器或远程访问服务器,则可以禁用此服务。
- UPnP Device host:UPnP(通用即插即用)是一种网络协议,它允许设备自动发现和连接到网络。如果您不需要使用 UPnP,则可以禁用此服务。
- Volume Shadow Copy:该服务允许您在运行的系统上创建备份。如果您不需要在运行的系统上创建备份,则可以禁用此服务。
- File History Service:此服务允许您自动备份文件。如果您不需要自动备份文件,则可以禁用此服务。
关闭 Windows 系统中的不安全数字证书,以防止中间人攻击
清理 Windows 中的证书:
- 按下 Win+R 组合键,输入 “certmgr. Msc” 并回车。
- 选择 “受信任的根证书颁发机构” > “证书”。
- 在右边的列表中查找黑名单中的证书,并右键选择属性将其禁用。
注意:黑名单中的证书列表可能因时而异。请确保查找并禁用与当前最新列表中的不安全证书匹配的证书。
对于 Firefox 中的证书,可以按照以下步骤进行清理:
- 打开 Firefox 并输入 "about:preferences #privacy "。
- 在 “隐私与安全性” 标签页下找到 “安全性” 部分。
- 点击 “查看证书”,选择 “颁发机构” 选项卡。
- 在列表中查找不安全证书并选择 “删除或禁用”。
在禁用不安全证书之前,请确保它们不会影响您的正常使用。
结语
在我们日益依赖数字世界的今天,保护个人隐私和信息安全至关重要。本文旨在提供一些建议和方法,帮助您在不同设备和操作系统中提高安全防范水平。然而,需要强调的是,没有绝对的安全。您需要时刻保持警惕,关注最新的安全动态和技术,才能更好地防范潜在风险。同时,保护隐私和信息安全是一个共同的责任,我们每个人都应承担起自己的份内之责,共同营造一个安全、健康的数字环境。
雷达卡
发表于 2025-3-18 20:19:24
提升卡
置顶卡
变色卡
顶贴箭
