数字卫生：保护你的网络安全和隐私

Digital Hygiene

Source | HN Comments

这篇文章探讨了数字卫生，旨在保护网络安全和隐私。作者强调了密码管理、硬件安全密钥（如YubiKey）、生物识别、磁盘加密等基本措施的重要性。文章还建议避免使用“智能”设备，推荐使用Signal进行加密消息传递，Brave浏览器和Brave Search，以及privacy.com生成虚拟信用卡。此外，文章还提到了虚拟邮件服务、电子邮件安全设置、VPN、DNS拦截器、网络监控器以及工作与生活分离等方面的建议，以构建更安全的数字生活。

karpathy

主页博客

数字卫生

_ 2025年3月17日 _

时不时地，我都会想起互联网上庞大的欺诈机器，这促使我更加关注日常计算中的隐私/安全等基本数字卫生。这种粗略的行为始于大型科技公司，它们有动力为你建立全面的个人资料，以便直接将其货币化以用于广告，或者将其出售给专业的数据经纪公司，这些公司会进一步丰富、去匿名化、交叉引用并进一步转售这些数据。不可避免的和定期的数据泄露最终会将你的信息泄露出去，并将其收集到暗网档案中，从而为黑客、网络钓鱼、勒索软件、信用卡欺诈、身份盗窃等整个地下垃圾邮件发送者/诈骗者行业提供燃料。本指南收集了最基本的数字卫生技巧，从最基本的到更小众的。 Screenshot 2025-03-18 at 10

密码管理器。你的密码是你的“第一要素”，即“你知道的东西”。不要做个新手，为每个你注册的网站或服务生成新的、唯一的、难以破解的密码。将此与浏览器扩展结合使用，以超快的速度创建和自动填充它们。例如，我使用并喜欢 1Password。这可以防止你的密码 1) 容易被猜测或破解，以及 2) 泄露一次，并打开通往许多其他服务的大门。作为回报，我们现在拥有一个集中位置来存放你所有的第一要素（密码），因此我们必须确保彻底保护它，这使我们进入了...

硬件安全密钥。你生活中最关键的服务（例如，Google 或 1Password）必须使用“第二要素”（即“你拥有的东西”）进行额外保护。攻击者必须同时拥有这两个要素才能访问这些服务。许多服务实施的最常见的第二要素是电话号码，其想法是你收到一条包含 PIN 码的短信，除了密码之外还需要输入该 PIN 码。显然，这比根本没有第二要素要好得多，但是由于 SIM 卡交换攻击，众所周知，使用电话号码非常不安全。基本上，事实证明，攻击者要给你的电话公司打电话，假装他们是你，并让他们将你的电话号码切换到他们控制的新电话上，这是非常容易的，令人惊讶。我知道这听起来很疯狂，但这是真的，而且我有很多朋友都是这种攻击的受害者。因此，请购买并设置硬件安全密钥 - 工业强度保护标准。特别是，我喜欢并使用 YubiKey。这些设备在设备安全元件本身上生成并存储私钥，因此私钥永远不会在你笔记本电脑等可疑的通用计算设备上实现。一旦你设置好这些，攻击者不仅需要知道你的密码，还需要_实际拥有_你的安全密钥才能登录服务。你被攻击的风险刚刚降低了大约 1000 倍。购买并设置 2-3 个密钥并将它们存储在不同的物理位置，以防止在你物理丢失其中一个密钥时被锁定。安全密钥支持几种身份验证方法。在你的服务的第二要素设置中查找 "U2F" 作为最强的保护。例如，Google 和 1Password 支持它。如果必须这样做，则回退到 "TOTP"，并注意你的 YubiKey 可以存储 TOTP 私钥，因此你可以使用 YubiKey Authenticator 应用程序通过 NFC 轻松地通过将密钥触摸到手机来获取 PIN 码以访问它们以在登录时获取 PIN 码。这比在其他（软件）身份验证器应用程序上存储 TOTP 私钥要好得多，因为同样你不应信任通用计算设备。深入了解全部细节超出了本文的范围，但基本上我强烈建议使用 2-3 个 YubiKey 来显着增强你的数字安全性。

生物识别。生物识别是第三个常见的身份验证因素（“你是的东西”）。例如，如果你使用的是 iOS，我建议基本上在任何地方都设置 FaceID，例如访问 1Password 应用程序等。

安全问题。恐龙公司痴迷于诸如 “你母亲的娘家姓是什么？” 之类的安全问题，并且不时地强迫你设置它们。显然，这些都属于“你知道的东西”的范畴，因此它们基本上是密码，但为了方便诈骗者，它们很容易在开放的互联网上搜索出来，你应该拒绝任何参与这种荒谬的“安全”行为的提示。相反，将安全问题视为密码，为随机问题生成随机答案，并将它们与你的密码一起存储在你的 1Password 中。

磁盘加密。始终确保你的计算机使用磁盘加密。例如，在 Mac 上，这种完全无需动脑筋的功能称为“File Vault”。此功能确保如果你的计算机被盗，攻击者将无法获得硬盘并访问你的所有数据。

物联网。更像是 @internetofshit。尽可能避免使用“智能”设备，这些设备本质上是非常不安全的、连接到互联网的计算机，它们收集大量数据，一直被黑客入侵，并且人们愿意将它们放置在自己的家中。这些东西有麦克风，并且它们会定期将数据发送回母舰，用于分析并“改善客户体验”，哈哈，好吧。举个例子，在我年轻而天真的岁月里，我曾经从中国购买了一个 CO2 监测器，该监测器要求了解关于我和我的确切物理位置的所有信息，然后它才会告诉我我房间里的 CO2 含量。这些设备是你隐私和安全的一个巨大且非常常见的攻击面，应该避免使用。

消息传递。我推荐 Signal 而不是短信，因为它端到端加密你所有的通信。此外，它不会存储元数据，就像许多其他应用程序一样（例如，iMessage、WhatsApp）。打开消息消失功能（例如，90 天的默认值很好）。根据我的经验，它们是一种信息漏洞，没有显着的优势。

浏览器。我推荐 Brave browser，这是一款基于 Chromium 的隐私优先浏览器。这意味着基本上所有 Chrome 扩展程序都可以开箱即用，并且该浏览器感觉像 Chrome，但 Google 没有在你整个数字生活中占据前排位置。

搜索引擎。我推荐 Brave search，你可以将其设置为浏览器设置中的默认搜索引擎。Brave Search 是一款隐私优先的搜索引擎，具有自己的索引，不像 Duck Duck Go 基本上是 Bing 的一个漂亮的界面，并且被迫与 Microsoft 建立奇怪的合作伙伴关系，从而损害用户隐私。与此列表中的所有服务一样，我为 Brave Premium 支付 3 美元/月，因为我更喜欢成为客户，而不是我数字生活中的产品。我发现根据经验，大约 95% 的搜索引擎查询都是超简单的网站查找，搜索引擎基本上充当一个微小的 DNS。如果你找不到你要找的东西，只需在搜索查询中添加 "!g" 前缀，即可回退到 Google，这会将其重定向到 Google。

信用卡。为每个商家生成新的、唯一的信用卡。没有必要在许多服务上使用一张信用卡。这允许他们“链接”你在不同服务上的购买，此外，由于服务可能会泄露你的信用卡号，因此你可能会遭受信用卡欺诈。我喜欢并使用 privacy.com 为每笔交易或商家生成新的信用卡。你获得一个漂亮的界面来显示你所有的消费以及每次刷卡的通知。你还可以为每张信用卡设置限制（例如，50 美元/月等），这大大降低了被收取超出你预期费用的风险。此外，使用 privacy.com 卡，你可以在填写账单信息时输入完全随机的姓名和地址信息。这非常重要，因为随机互联网商家根本不需要你的实际地址，这太疯狂了。这让我想到了...

地址。没有必要将你的实际地址提供给互联网上的大多数随机服务和商家。使用虚拟邮件服务。我目前使用 Earth Class Mail，但说实话，我对这有点尴尬，我正在考虑切换到 Virtual Post Mail，因为它对隐私、安全以及其所有权结构和声誉的承诺要强得多。无论如何，你都会获得一个可以提供的地址，他们会收到你的邮件，他们会扫描并将其数字化，他们会有一个应用程序供你快速查看它，你可以决定如何处理它（例如，粉碎、转发等）。你不仅获得了安全和隐私，还获得了相当多的便利。

电子邮件。由于非常方便，我仍然使用 gmail，但我已经开始部分使用 Proton Mail。当我们在谈论电子邮件时，还有一些想法。永远不要点击你收到的任何电子邮件中的任何链接。电子邮件地址非常容易被欺骗，你永远无法保证你收到的电子邮件是来自诈骗者的网络钓鱼电子邮件。相反，我会手动导航到任何感兴趣的服务并从那里登录。此外，默认情况下禁用电子邮件设置中的图像加载。如果你收到一封需要你查看图像的电子邮件，你可以点击“显示图像”来查看它们，这根本没什么大不了的。这很重要，因为许多服务使用嵌入式图像来跟踪你 - 它们会将信息隐藏在你收到的图像 URL 中，因此当你的电子邮件客户端加载图像时，他们可以看到你打开了该电子邮件。根本没有这个必要。此外，令人困惑的图像是诈骗者隐藏信息以避免被电子邮件服务器过滤为诈骗/垃圾邮件的一种方式。

VPN。如果你希望向服务隐藏你的 IP/位置，你可以通过 VPN 间接方式来实现。我推荐 Mullvad VPN。我默认情况下关闭 VPN，但当我要处理我不太信任的服务并希望获得更多保护时，我会选择性地启用它。

基于 DNS 的拦截器。你可以通过在 DNS 级别拦截整个域来拦截广告。我喜欢并使用 NextDNS，它可以拦截各种广告和跟踪器。对于喜欢修改的高级用户来说，pi-hole 是物理替代品。

网络监控器。我喜欢并使用 The Little Snitch，我已将其安装并在我的 MacBook 上运行。这让你查看哪些应用程序正在通信，多少数据以及何时通信，因此你可以跟踪计算机上的哪些应用程序“呼叫母舰”以及频率。任何通信过多的应用程序都是可疑的，如果预计不会有流量，则应将其卸载。

工作与生活分离。理想情况下，不要在工作计算机上登录或访问任何你的个人服务。大多数公司都会在这些计算机上安装公司运营的间谍软件，以保护公司的知识产权。这很好并且有意义，但你应该知道计算机上的任何活动都很有可能被广泛记录（网络、键盘记录器、屏幕截图等），并且可能受到安全部门的积极监控。

我只想过上安全的数字生活，并与仅泄露必要信息的产品和服务建立和谐的关系。我希望为我使用的软件付费，以便激励措施保持一致，并且我是客户。这并非易事，但可以通过一些决心和纪律来做到。

最后，列表中没有的内容。我主要仍然使用 Gmail + Gsuite，因为它太方便和普遍了。我还使用 𝕏 而不是一些奇异的东西（例如，Mastodon），以主权换取便利。我不使用 VoIP 燃烧器电话服务（例如，MySudo），但我对此感兴趣。我并没有真正生成新的/唯一的电子邮件地址（例如，SimpleLogin），但我很想这样做。旅程还在继续。如果你有其他应该在此列表中的提示和技巧，请告诉我，例如，你可以在 𝕏 上通过 @karpathy 向我发送私信。 315 由 Bear ʕ•ᴥ•ʔ 驱动