2.3 個人用戶的隱私保護

個人用戶是使用網絡服務的主體，因此，信息的保護方案應由用戶自主選擇，但由于用戶本身欠缺網絡安全意識，缺乏隱私保護的技能，因此，個人用戶是隱私保護的重點對象，是提升網絡安全意識的重要個體。

2.3.1 隱私信息面臨的主要威脅

個人用戶在使用網絡服務時面臨的泄露威脅非常多，常見的泄露威脅包括被黑客或不法分子通過用戶賬號竊取隱私、通過誘導輸入搜集隱私、通過終端設備提取隱私、通過黑客攻擊獲取隱私等。

1．通過用戶賬號竊取隱私

通過用戶的賬戶信息竊取用戶隱私是最簡單、最直接的方式。隨著互聯網服務的快速發展，個人信息愈來愈多地被存儲在互聯網上。簡單而言，通過社交網站獲得用戶的人際關系，通過電商網站獲得用戶的住址、電話等，通過支付類網站獲取用戶的身份信息，通過招聘網站獲取用戶的簡歷信息。如此，網絡服務中包含著用戶方方面面的個人信息，而這些信息數據可以通過用戶的賬戶直接獲取，所以，保護賬戶信息對于保護隱私和保持網絡安全意識而言尤為重要。

大量的泄露事件表明，針對用戶賬戶信息的保護非常脆弱，其中不僅包含用戶自身的原因，還包括網絡服務提供商和黑客等多方面原因。

對于用戶本身而言，弱密碼是導致大量隱私泄露事件的主要原因。研究發現，很大一部分網民為使用方便，將賬戶密碼設置得非常簡單，極易破解。2015年，美國密碼安保服務商SplashData公布了全球“最弱密碼”排行榜，“123456”“password”毫無意外地榮登前兩位，而諸如此類的弱密碼早已被整理成各種各樣的字典庫，作為黑客攻擊活動的基礎素材。根據美國加州理工大學某次安全實驗統計，工作人員用網絡公布的前100位弱密碼對隨機的郵箱地址進行檢測，大約15.3%的郵箱地址可以順利登錄。雖然目前某些網站為提高密碼強度要求用戶輸入8位以上、包含有字符、字母、數字的密碼，仍然會出現新的類似的弱密碼，如“1qaz＠wsx”“123！＠＃qwe”等。這些密碼雖然按要求包含了字母、數字、字符，可以通過密碼安全檢測，但這種依托鍵盤按鍵順序的密碼仍然是基礎弱密碼，極易破解。

對于服務供應商而言，市場上的服務供應商的技術實力參差不齊，部分企業員工不具備基本的安全知識，在面對黑客攻擊時，不具備相應的能力保護用戶的隱私信息。例如，2011年某重要網站的賬戶數據庫泄露，導致幾百萬用戶的賬戶信息被泄露，包括用戶的賬戶、密碼、其他身份信息等。更糟糕的是，數據庫中的密碼信息采用了明文存儲，所以可以被他人直接登錄，從而獲取更為具體的身份信息。雖然，目前大部分網絡對數據庫中的私密信息都進行了類如哈希算法的加密處理，但是黑客仍然可以采取技術手段破解，可見賬戶數據泄露是一個嚴重的網絡安全問題。經過數次數據庫信息泄露事件，可見網絡上已經積累了龐大的賬戶信息數據。僅以在暗網售賣的用戶信息為例，我國國內被泄露的賬戶信息數據量就超過了50億條，大多數用戶經常使用的賬戶密碼極有可能從中獲取。

另外，隨著網絡技術的發展，犯罪分子的目標更加明確，攻擊步驟更加清晰。部分社工庫（指黑客將泄露的用戶數據整合、歸檔，存放數據的信息庫）網站或論壇將非法搜集的信息進行分類處理（像銀行高凈值人員信息、母嬰信息、購房人員信息、購車人員信息、高校教師信息等），打包賣給有需求的人員，從事用戶廣告、詐騙等非法活動，嚴重影響網民的日常生活。

2．通過誘導輸入搜集隱私

誘導輸入是一種直接通過用戶交互獲得用戶隱私信息的方法，常見的形式包括線上的賬戶注冊和線下的問卷調查。

賬戶注冊是在互聯網上獲取服務的常見步驟，很多惡意網絡都會利用注冊獲取用戶的基本信息。一般包含兩個邏輯：一是賬戶注冊時要求用戶填寫各種信息，往往提供簡易服務但卻要求填寫詳細的私人信息，如家庭住址、郵編、身份證號、工作地址，等等，這些信息與服務沒有必然聯系，所以極有可能是竊取用戶個人信息；二是不提供真實服務，而是利用用戶需要該項服務的急迫心理，在提供服務前要求用戶填寫注冊信息，騙取用戶隱私，當用戶發現上當時，信息數據已經被儲存在數據庫中。

線下調查問卷也是常見的獲取用戶個人信息的一種方式，包括常見的紙質問卷，也包括最新的下載App、關注微信號、掃描二維碼等其他方式。這種方式通常會通過獎勵參與者一些小禮物，從而收集用戶的個人身份、銀行卡等基本信息，逐漸成為隱私泄露的重要途徑。另外，很多App和微信小程序等都會要求用戶將終端設備的位置信息、通訊錄、照相機等授權，而用戶很難分辨這些App和微信小程序要求授權的真實目的，因此，盲目授權也逐漸成為隱私泄露的重大隱患。

3．通過終端設備提取隱私

通過終端設備提取隱私是目前常見的、極其重要的一種隱私泄露途徑。隨著網絡時代的發展，電子設備應用非常廣泛，常見的終端包括筆記本電腦、手機、平板電腦、智能手表、智能手環等。這些電子設備都存儲了用戶大量的個人信息，是隱私泄露的重大隱患。舉個例子，很多不法分子在回收二手手機后，使用數據恢復程序恢復設備中殘留的網銀信息、支付寶信息、照片等敏感數據，用于其他違法犯罪活動。

4．通過黑客攻擊獲取隱私

黑客攻擊是傳統獲取隱私的重要方式，目前仍是隱私泄露的重要原因，黑客會攻擊一些存儲大量信息的數據庫或網站，從而達到盜取用戶個人信息的目的。

2.3.2 隱私信息保護方法

隱私泄露會給個人、機構乃至國家造成嚴重危害，因此，每個人都務必提高網絡安全意識，提高信息保護意識，采取可靠的措施有針對性地加強信息保護。個人信息保護是一個復雜、交叉的問題，不僅需要個人的參與，更需要結合管理和技術等多個方面，依靠企業、監管部門共同協作，才會收到良好的效果。但就網絡安全意識而言，個人是信息保護的先鋒，是我們應該重點關注的對象。

1．加強網絡安全意識和隱私保護意識

個人隱私保護是個人對于信息的保護程度，其效果取決于個人是否具備網絡安全意識，以及他的意識強度。目前，各種攻擊方法層出不窮，現有的安全機制和網絡安全防護機制難以杜絕攻擊事件，因此，只有具備較強的網絡安全意識才能幫助個人抵御常規和新奇的信息泄露攻擊。作為網絡用戶，我們理應明白互聯網服務是不安全的，網絡上關于個人的隱私數據越多，越容易出現泄露事件，因此，網絡用戶應當盡可能減少將個人真實信息發布到網絡平臺上，包括社交網站、郵箱服務、云盤等。用戶存放在個人計算機上的數據也應當注意隱私保護，甚至可以采取加密存儲、U盤物理隔離存儲等方法，增強對數據的保護能力。

2．提高賬戶信息的保護能力

對個人用戶來講，個人信息的泄露，尤其是賬戶信息的泄露是隱私保護的最大風險，因此，作為網民應當采取一定的防護策略以提升賬戶信息的安全性。

首先，務必提高賬戶密碼的安全性。網民應設置比較復雜、強度較高的密碼，并經常更換密碼，減小黑客通過密碼猜測、字典破解等方式獲取密碼的概率。常見的密碼設置策略如下：

（1）嚴禁使用空密碼或者與用戶名相同的密碼。

（2）不要選擇簡單字符組成的密碼，如123456、666666、qwerty等。

（3）不要選擇可以在任何字典或語言中能夠找到的密碼，如iloveyou、mygodness等。

（4）不要直接使用與個人信息有關的密碼，如姓名、生日、電話號碼等。

（5）不要選擇短于6個字符或僅包含字母或數字的密碼。

（6）不要選擇作為密碼范例公布的密碼，如admin、root、password等。

首先，一種安全的密碼應該具備自己容易記、他人很難猜的特點，我們舉兩個例子來說明，1Hb6sqT！，這個密碼包括了數字、字母和符號，常規手段難以猜測，但實際上這個密碼很容易記，由“一行白鷺上青天！”的諧音和首字母拼湊組成；WdSrS8Y01r＃，其實是用戶設計的一句話首字母“我的生日是8月01日＃”。當然，任何一個密碼的使用頻率變高后都有可能成為高危密碼，所以用戶需要定期修改密碼，從而保持賬戶密碼的安全性。

其次，除了密碼本身需要設計得復雜，使之不容易被猜測以外，用戶還需要對密碼加強保護。由于互聯網應用的安全性參差不齊，用戶在注冊多個賬戶時，應當確保重要系統的賬戶密碼盡量不和其他系統共享使用。實驗表明，同一個密碼使用的地方越多，安全性越差。

最后，用戶應定期檢查密碼的安全性。互聯網上存在很多社工庫網站，用戶可以定期查詢自己的密碼是否泄露，如果密碼泄露，一定要盡快修改系統所對應的密碼。

3．了解常見的信息竊取手段，掌握相應的防御方法

未知攻，焉知防？當前網絡攻擊活動猖獗，知悉常見的網絡安全攻擊手法有助于提高網絡安全意識，提升隱私保護能力，采取有針對性的防護方案。

黑客一般首先搜集目標用戶的個人信息，包括姓名、家庭信息、工作信息、學校信息、手機號碼、社交通信號碼、常用郵箱等，然后猜測賬戶和密碼并嘗試登錄常用的網站，一旦登錄成功，即可獲取用戶的個人隱私信息。從防護角度講，用戶應避免在網絡上發布過多的私人信息，同時，應該設置較為復雜且關聯度較低的密碼。

對于密碼難以猜測的賬戶，黑客往往通過公開的社工庫或者通過購買相關社工庫信息進行查詢。目前，常見的社工庫網站包含了30多億條賬戶信息，只需輸入目標用戶常用的郵箱或者手機號碼就有可能查詢到相關的賬號和密碼信息。查到一般賬戶信息的概率非常高，用戶入網時間越長，被查到的概率越大，這是因為用戶在網時間越長，網絡上存留的個人信息越多。從防護角度講，用戶應該定期查看自己的賬戶信息，如果漏洞被公布，則應立即更換密碼，以防出現零日（Zero-Day，0day）漏洞攻擊。零日漏洞攻擊又稱零時差攻擊，是指安全漏洞被發現后立即被惡意利用的攻擊手段。

在獲取用戶的賬號和密碼后，黑客即可登錄相關網站獲取用戶的更多隱私信息。實際上，黑客通常會進一步利用網絡足跡功能擴大戰果，根據該特定賬號可以查出用戶使用此賬號注冊的大量其他網站。因此，對于黑客而言，一個網站上賬戶的破解則意味著多個網站數據的獲得。從防護角度講，用戶應該針對不同類型的網站設定不同的賬號和密碼，并及時注銷不再使用的賬戶。不同網站設置不同的賬號和密碼對于用戶背記而言的確存在很大困難，因此，建議用戶對于重要的網站可以設置為部分賬戶相同但密碼不同。