普通人怎么防止个人信息泄露？信息安全专家分享的三个小技巧（附教程）

本文来自 真知拙见 KnowledgeHot 知识星球，作者「 Shotgun 」老师，更多精彩内容可以加入星球查看。

今天有消息说 12306 被拖库，但从现在泄露出来的信息看，大范围拖库的概率不大，原因有二：

1. 数量级有点小，12306 是以亿为单位的数据库，目前泄露的只有 60 万。

2. 全部有明文密码。12306 之前曾经被撞库过一次，据我所知密码已经全部加密了，虽然说可能用彩虹表或者暴力破解可以逆向出来部分，但目前暴露的看着不像是暴力破解出来的。

相对于拖库，有两个可能比较大：撞库或者第三方网站(比如刷票、抢票网站)被黑，我个人觉得后者的概率更大，因为 12306 之前已经被撞库过一次，然后找了很多安全公司去交流，上了一套别说是人工智能，就是真人都认不全的验证码系统，再次被撞库的概率不大。

倒是一些抢票刷票网站或者 App，或者某些浏览器插件被黑了，数据库被拖，甚至用户密码都没加密，这种概率比较高。

对普通用户来说，还是尽可能别用这些来路不明的第三方软件，要用也用一些大品牌的，如果用过的话尽快修改密码。

顺便说一下，为了避免信息泄露，哪些事我们千万别在公共WIFI上做呢?

一般来说，公共 WiFi 的面临的主要安全威胁是通讯劫持，也就是公共 WiFi 或者第三方的黑客通过「中间人」的地位，盗窃用户的隐私、账号密码、甚至安装木马病毒等。

从理论上来说，通过公共 WiFi 做任何事情都是有风险的，哪怕只是简单地使用浏览器打开网站，也可能会遭到 DNS 域名劫持攻击、转向到某个恶意攻击网站，被利用浏览器的漏洞直接黑入用户的手机。

曾经有一位「通讯科普作者」在微博和知乎上给大家错误地科普，说即使在公共 WiFi 上，由于银行的应用采用了加密手段，也不会被盗号，这个观点是彻底错误的。

作者显然不理解信息安全的多米勒骨牌原理：任何单一的安全保护措施都可能失效，单一的应用加密可能由于开发缺陷或者其他的问题而导致失效。

我个人是几乎不使用公共 WiFi 来做任何包含敏感信息的操作，但普通用户一般不需要这么高级别的防护，所以我们可以来稍微区分一下不同操作的风险程度，作为大家的参考，以下我会把风险分成：「能容忍」、「最好别这么干」、「绝对不要」这三个级别，分级的时候考虑了威胁的大小和操作的必要性等。

1. 能容忍

非登录情况下使用无痕浏览打开网页（无痕浏览可以防止你的隐私被通过 cookie 或者其他的方式泄露，但不能防止黑客利用网络劫持来攻击你的浏览器）；

通过加密的通道（比如 SSL ）使用客户端接受不含涉密内容的邮件（加密通道可以基本防止邮件密码和内容泄露）；

使用全站 SSL 加密的大型正规网站，比如百度、必应、腾讯网等，这些大型网站相对来说能更好保护用户的隐私和安全；

苹果手机或者谷歌原声手机通过苹果和谷歌的官方应用商店安装或者升级应用，相对于第三方的应用商店，苹果和谷歌基本能确保应用在传输过程中不被篡改，第三方的商店很难保证这一点，例如三星就曾经出现过输入法被劫持替换的漏洞。

2. 最好别这么干 

登录比较重要的网站（例如包括个人隐私的网站）；

升级操作系统（无论谷歌还是苹果，相对于应用软件，操作系统更加重要）；

非谷歌原声安卓手机通过手机厂家的官方应用商店安装或者升级应用；

使用微信、支付宝做小额支付；

使用应用软件的自动同步功能同步包含敏感内容的数据（例如输入法的词频）；

3. 绝对不要

登录开通了转账或者网络支付功能的银行手机应用；

登录含有储值的网站或者应用；

从非官方的应用商店下载安装包；

最后，Windows 10 可以参考安卓，微软官方商店的应用下载是不推荐，但是还能接受，其他的就比较危险了，考虑到 Windows 操作系统开放性更高以及被盯上的概率也更高，不建议拿笔记本在公共 WiFi 做一些敏感操作。 Macbook 也是一样，根据国际著名的防病毒实验室卡巴斯基的报告，Macbook 并不比 Windows 笔记本安全性更高。

本文来自 真知拙见 KnowledgeHot 知识星球，作者「 Shotgun 」老师，更多精彩内容可以加入星球查看。