在网上我们应该怎样保护自己的隐私

2019 年 2月16日，有网友微博发布两条视频显示，京东金融App会自动获取用户敏感图片，用户打开京东金融App放置后台，再打开招商银行App并截图，再打开文件管理，发现招商银行截图出现在了京东金融App缓存里。

京东金融回复称是“开发错误”所致（呵呵）

就好比食品安全、医疗安全、出行安全问题一样，用户隐私和数据安全也将始终伴随着各行业发展而持续存在。

在这个“数据就是财富”的时代，大公司穷尽各种手段去采集用户数据，通过技术模型为用户画像，为其业务发展提供动力。

单纯指望依靠公司的道德标准、国家规范来推动隐私保护这件事短期看来是不现实的，作为一个普通人，我们应该做些什么才能更好地保护我们的隐私？

首先明确一个观点：对于绝大多数人而言，我们的个人信息都是可以被获取的，只不过所耗费的成本不同。我们能做的也只是尽可能提高获取成本。

目录



一 注册账号/填写信息

这里指那些不常使用、不涉及到财产交易往来或者不入流的网站/应用 。

1.1 手机号
此处建议使用虚拟手机号码填写，国内推荐「阿里小号」。

官方介绍：

阿里小号让你轻松拥有不用SIM卡的手机号。

只要下载阿里小号APP即可轻松实现单卡多待，拥有多个全新的真实号码，根据不同需要随时切换。支撑移动、联通、电信等任何运营商。可正常接打电话、收发短信。陌生交友、租房、买卖房屋、医疗、生育、二手交易、找工作、打车、与朋友嬉闹、调研、查岗等不同场景不同。给小号，杜绝骚扰，用途一目了然，绝对安全！

一般用它来接收验证码，需要的时候打开 App，即用即开，关闭后也不会打扰用户。目前价格是一年 20 元（优惠中，很方便）

1.2 邮箱专门注册一个用于注册各类奇怪网站、App 的邮箱

此处不推荐使用 QQ 邮箱，毕竟还需要注册一个 QQ 号，相对而言过于麻烦。

使用十分钟邮箱

十分钟邮箱适用于那些没有多大再次访问价值的网站。邮箱十分钟内有效（部分支持延迟），临时收个验证码很方便。

需要使用的时候直接搜索“十分钟邮箱”即可。

也推荐一个十分钟邮箱，做得比较好：地址

1.3 密码设置
有关注册时密码设置的问题请参照下一板块

二 密码设置与管理

2.1 密码设置此处推荐奶酪的方法

密码安全最基本的原则是：不能所有网站都设成一样的，密码至少8位，包含数字、小写字母、大写字母。使用比如 Lastpass 这类自动输入密码的应用，虽然很方便，但也总会有需要手动输入密码的时候，所以我们要设置一套安全又好记的密码。我正在使用的密码管理体系有两套：普通级 + 重要级。

普通级：比如WIFI密码、与朋友共享使用的视频VIP会员、不注册不能使用的小众网站、即使被盗了也没啥大不了的网站。我们可以使用同一个密码，比如 123456qweR。

重要级：比如社交帐号、邮箱、隐私相关、资金全相关的网站。这类网站通常不会太多，所以我们要保证每个网站都不一样，这时我们需要为密码设计一套既容易记忆又难以被破解的密码，我们可以使用「基础密码+标识密码」的方法。

具体做法是：想好一个既有意义自己又能容易记住的基础密码，比如我们设置“高效方法论”的拼音头字母再加上数字2018为基础密码：gxffl2018，然后使用驼峰式标识符，取域名前两位和后两位，比如baidu.com，那驼峰式标识符就是：bA和Du，组合在一起就是：bAgxffl2018Du，这样是不是就既好记又安全了呢？另外，密码中要不要使用特殊符号其实都可以，因为像这样的大网站一般都会有防暴力破解机制。

2.2 密码管理

密码多了记起来也会很麻烦。记在纸上怕纸丢了，记在手机记事本里也容易被窃取。这里推荐使用专业的密码管理软件，例如1PassWord，LastPass。二者都是全平台支持（Windows、Mac、Linux、Android、iOS、浏览器）。

浏览器上安装相关插件使得在浏览器上可以自动填写密码。

手机上（iOS、Android）开启「自动填写」功能则需要输入密码时只需要验证一下身份就可以自动填写。

当然，二者还可以自动生成密码、保存其他私密信息（比如：信用卡、地址...)

三 授权管理
目前很多应用都是支持用第三方应用账号（QQ、微信、支付宝、微博等）登录，它们会获取一定的权限。可能会存在权限滥用的情况，所以建议定期进行授权管理。

图为某QQ授权应用的权限。

3.1 QQ 授权管理（电脑操作）
登录 网址并登录后，鼠标移动到自己的头像，选择「授权管理」后进入管理界面，此时可取消授权。

图为一位从注册 QQ 开始从未清理过授权应用的用户的结果（每一页显示 10 个应用）

3.2 微信授权管理
微信没有官方取消授权通道，不过每次授权有效期（7天、30天、60天、90天），过期自动失效。如果仍想取消授权，得去第三方授权网站申请2。
查看微信授权

3.3 微博授权管理（手机操作）
目前电脑端无法通过 微博应用广场 进行取消（点击“取消”按钮无反应），只能通过手机客户端来管理。
教程地址

3.4 支付宝授权管理（手机操作）
教程地址

四 权限管理4.1 iOS 用户
推荐这篇教程

额，不知道为什么，文章的后半部分没有发上来（编辑的时候有）。原文https://mp.weixin.qq.com/s/rSxp2aAGpnTyDjqL0UR2rA于微信公众号 杂谈by立行

隐私工具 - 加密安全对抗全球大规模监控
https://cybermagicsec.github.io/privacytools-zh/

百度贴吧和微博都有个人自动化删帖工具，清除黑历史。GitHub，greasyfork搜一下就能看到。
今年过年的时候百度贴吧出现bug，通常限制每日删除30贴，那段时间可以无限删帖，bug不知道修复了没有。

另外关于密码强度，大部分人存在一个误区。
人类使用8位以上，包含数字、小写字母、大写字母、特殊符号能保证强度，3个月改一次密码，只是理论上的有效。经研究表明，实践中效果很差。
这套密码复杂度标准是很多年前的标准，经过多年实践已被创始者遗弃，更先进的方案是“长句子”式。

1. 哲学家们只是用不同的方式解释世界
   
2. 
   
3. 句子转换成拼音
   
4. 
   
5. zhe xue jia men zhi shi yong bu tong de fang shi jie si shi jie

复制代码

以上拼音便是包括空格在内63位的密码。

国家标准技术研究所改正建议
2017年6月，国家标准技术研究所发布新的《800-63》指引第三版[9]，改正已沿用超过十年、受各大政 府机构、银行、业界采用的旧建议，不再强调使用人脑难以记忆的特别符号、数字的无意义组合，而且亦不再建议密码需每九十日汰换[10]，因为经研究证明此项指引并没有对系统安全带来有益的效果[11]。NIST 文件的旧版原作者伯尔（Bill Burr）并在《华尔街日报》访问中公开道歉，称当时他并无得到可靠的数据作严谨研究，只依靠来自八十年代、不合时宜的旧文件在参考，而他的建议亦没有考虑到一般常人生活习惯及思考模式[12]。负责撰写新版指引的 NIST 顾问格拉西（Paul Grassi）指，旧的要求不利使用，对抵挡骇客攻击的作用不大[13]；如果用户能够在脑海中构想出一幅其他人无法想像的图画，以此作为密码便是最好的，一句够长的完整句子，会优于较短的字母、数字及符号混合密码[14]。华尔街日报引用广泛流传的xkcd漫画[15]，指出只要密码够长，拼合几个看似无意义、但便于该用户记忆的字词作为密码，更能有效抵挡骇客攻击，暴力破解会需时更久[16][17]。

出处参考：
wiki

包括主楼文章提到的加盐方式我也不看好，因为我可以有选择性的去猜盐。
百度替换成bd、bD、Bd、BD是4种可能组合，
比起b在字母表的26个小写+26大写=52种 可能组合，暴力破解难度应该是降低了。

唯一方便的是在密码泄露之后，通过观察泄露的密码规律得知是什么由网站泄密。
而一旦泄露了其他网站的密码也会以同样的规律被猜解。

鉴于现在多数网站都是限制密码长度，所以“长句子”方案很难执行。在没有密码长度限制的时候，不妨试试这种更先进的方式。

{:5_135:}GET !  道路千万条，信息安全第一条

受益匪浅！在网上确实需要注意保护隐私。

Be safe on the internet.
An open source checklist of resources designed to improve your online privacy and security. Check things off to keep track as you go.
安全自查清单：https://securitycheckli.st/

没注意看，发现了楼主竟然也是奶大的fan{:5_153:}。

隐私什么的有些想法，和大家分享一下。
   
大环境：我们处于一个大数据时代，数据就是钱，所以几乎所有互联网公司都拼了命GET用户数据。甚至一个"天气"软件，有着获取通讯录的权限。
   
手机：
小米/魅族/华为/OV/....  系：

内置系统应用一般拥有很高的权限，想要获取什么都很容易。安装软件的时候，会向厂商的服务器发送安装的包的信息，ROM版本。IMEI等。基于大数据云计算，真的毫无遁形。如果数据都去敏很好，但是在大数据中，一个识别码，多重计算，还是可以精确定位个人的信息。还有各厂商美其名曰的AI，其实就是很好的机器学习。诶..... 有利有弊。   电脑：
        
360系列：
安全软件，在一定程度也可以是危险软件，毕竟他也可以直接获取你在这台电脑上的所有操作。
        
QQ系列：
诶.......
         
淘宝系列：
阿里系的大数据识别真的出乎我的想象，我投毒了那么久，终于让他对我爱好产生了偏差。但是支付宝实名在那摆着，我们还能怎么样呢？？？

隐私什么的。个人看法不同。但是还是希望，有些私人空间吧....