privacyguides/i18n
1
0
Fork 0
mirror of https://github.com/privacyguides/i18n.git synced 2025-11-17 05:42:39 +00:00
Code Activity

New Crowdin translations by GitHub Action

Browse Source
This commit is contained in:
Crowdin Bot
2023-04-11 17:41:10 +00:00
parent a0707ccc54
commit fa99d5df46
1976 changed files with 243497 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

81
i18n/zh-Hant/basics/account-creation.md Normal file
View File

@@ -0,0 +1,81 @@
---
title: "帳號創建"
icon: 'material/account-plus'
description: 創建帳戶為實際連線網際網路所必要,請採取下列步驟確保您的線上隱私。
---
人們經常不假思索地註冊網路服務。 這些帳號也許是一個串流媒體服務可觀看人人都在談論的新節目,或是取得喜歡的快餐店折扣。 無論在什麼樣的場景,您都應該考慮現在和以後對個資的影響。
在新的服務申請帳號時,都伴著相關風險。 資料洩露;向第三方披露客戶資訊、員工有不當的權限可以訪問所有資料,在給出您的個資時都必須考慮的接下來可能的狀況。 您需要確信足夠信任該服務,這就是為什麼我們建議把重要資料儲放在最成熟且通過測試的產品。 這通常意味著提供 E2EE 並經過加密審計的服務。 審計增加了產品設計的保證,減低因開發人員缺乏經驗所導致的安全問題。
某些網路服務並不容易刪除帳號 有時可能會 [覆寫與帳戶相關聯的資料](account-deletion.md#overwriting-account-information) ,但在其他情況下,該服務將保留帳戶變更的完整記錄。
## 服務條款 & 隱私權政策
服務條款是您在使用服務時同意遵守的規則。 隨著更大的服務,這些規則通常由自動化系統強制執行。 有時這些自動化系統可能會出錯。 例如,您的帳號可能會因為使用 VPN 或 VOIP 號碼而被禁止或無法使用某些服務。 對這種禁令提出上訴通常很困難,而且通常都由系統自動處理而不是人工審核,造成了上訴的困難度。 這也是我們不建議使用 Gmail 作為電子郵件的原因之一。 電子郵件對於訪問您已註冊的其他服務至關重要。
隱私權政策是該服務表示他們將如何使用您的數據,因此值得閱讀,以便您了解如何使用您的數據。 公司或組織可能沒有法律義務遵守政策中包含的所有內容(取決於司法管轄區)。 我們建議您了解當地法律以及這些法律允許供應商收集哪些資訊。
我們建議您尋找特定的術語例如「資料收集」、「資料分析」、「Cookie」、「廣告」或「第三方」服務。 有時您可以選擇退出資料收集或拒絕分享資料,但最好從一開始就選擇尊重您隱私權的服務。
請記住,您把信任託付給該公司或組織,冀望其真的遵守自己的隱私政策。
## 身份驗證方式
通常有多種註冊帳戶的方式,每種都有各自的好處和缺點。
### 電子郵件和密碼
建立新帳戶的最常見方式是使用電子郵件地址和密碼。 使用此方法時,您應該使用密碼管理器,並遵循 [關於密碼的最佳做法](passwords-overview.md) 。
!!! 提示
您也可以使用密碼管理器組織其他驗證方式! 只需新增條目並填寫適當的欄位,即可新增安全問題或備份金鑰等事項的備註。
您自己負責管理您的登入憑證。 為了增加安全性,您可以在帳戶上設置 [MFA](multi-factor-authentication.md) 。
[推薦密碼管理員](../passwords.md ""){.md-button}
#### 電子郵件別名
如果您不想將您的真實電子郵件地址提供給服務,您可以選擇使用別名。 我們在電子郵件服務推薦頁面上更詳細地描述了它們。 基本上,別名服務允許您生成新的電子郵件地址,將所有電子郵件轉發到您的主地址。 這可以幫助防止跨服務跟蹤,並幫助您管理有時會隨註冊過程而來的營銷電子郵件。 這些可以根據它們被發送到的別名自動過濾。
如果服務遭到黑客攻擊,您用於註冊的電子郵件可能會收到網絡釣魚或垃圾郵件。 為每個服務使用獨特的別名可以幫助確定哪些服務被駭。
[推薦的電子郵件別名服務](../email.md#email-aliasing-services ""){.md-button}
### 單一登入Single Sign-On
!!! 備註
我們討論的是個人使用的單一登入,而不是企業用戶。
單一登入(SSO) 是一種驗證方法,允許您註冊服務,而無需共享太多信息(如果有的話)。 每當您在註冊表單上看到類似「使用 *提供商名稱*登入」時,它就是 SSO。
當您在網站中選擇單一登入(Single sign-on )時,它將提示您的 SSO 提供商登入頁面,之後您的帳戶將被連接。 我們不會分享你的密碼,但會分享一些基本資訊(你可以在登入申請期間查看)。 每次您想要登入同一個帳戶時,都需要進行此程序。
主要優勢是:
- **安全性**:沒有涉及 [資料外洩](https://en.wikipedia.org/wiki/Data_breach) 的風險,因為網站沒有儲存您的憑證。
- **易用性**:多個帳戶由單一登入管理。
但也有一些缺陷:
- **隱私權** SSO供應商將知道您使用的服務。
- **集中化**如果您的SSO帳戶遭到入侵或您無法登錄則與其相關的所有其他帳戶都會受到影響。
SSO在您可以從服務之間更深入的整合中受益的情況下尤其有用。 例如其中一個服務可能為其他服務提供SSO。 我們建議將SSO限制在您需要的地方並以 [MFA](multi-factor-authentication.md)保護主帳戶。
所有使用 SSO 的服務將與您的 SSO 帳戶一樣安全。 例如如果您想使用硬件密鑰來保護帳戶但該服務不支持硬件密鑰您可以使用硬件密鑰來保護您的SSO帳戶現在您的所有帳戶上基本上都有硬件MFA。 需要注意的是, 如果你 SSO 帳戶本身的安全性很弱,意味著與該登錄綁定的任何帳戶的安全性也會很弱。
### 電話號碼
我們建議您避免使用需要電話號碼才能註冊的服務。 電話號碼可以在多個服務中識別您的身份,並且根據數據共享協議,這將使您的使用更容易跟蹤,特別是當其中一個服務被洩漏時,因為電話號碼通常是 **不是** 加密的。
如果可以的話,你應該避免透露你的真實電話號碼。 某些服務將允許使用 VOIP 號碼,但這些通常會觸發欺詐偵測系統,導致帳戶被鎖定,因此我們不建議重要帳戶使用此系統。
在許多情況下,您需要提供可以接收短信或電話的號碼,特別是在國際購物時,以防您在邊境審查時的訂單出現問題。 服務通常會使用您的號碼作為驗證方式;不要自作聰明使用假的電話號碼,最後讓自己重要的帳戶被鎖定!
### 使用者名稱與密碼
某些服務允許您在不使用電子郵件地址的情況下註冊,並且只需要您設置用戶名稱和密碼。 當與 VPN 或 Tor 結合時,這些服務可能會提供更高的匿名性。 請記住,對於這類型的帳號,如果你忘記了你的用戶名或密碼,很可能會有**沒有辦法恢復你的帳號**。

62
i18n/zh-Hant/basics/account-deletion.md Normal file
View File

@@ -0,0 +1,62 @@
---
title: "刪除帳戶"
icon: 'material/account-remove'
description: 一般人很容易累積大量的網路服務帳戶,這裏有一些如何順理這些資料的小訣竅。
---
隨著時間的推移,一般人很容易地積累一些網路帳戶,但可能其中有不少早已不再使用。 刪除這些未使用的帳戶是收回隱私的重要一步,因為休眠帳戶容易受到數據洩露的影響。 資料外洩是指服務的安全性受到破壞,受保護的資訊被未經授權的行為者檢視、傳輸或竊取。 不幸的是近來資料外洩事件 [已見怪不怪](https://haveibeenpwned.com/PwnedWebsites) ,保持良好的數位清潔才能減輕資料外洩對個人生活的衝擊。 本指南的目標是幫助您通過令人討厭的帳戶刪除過程----通常由 [欺騙性設計](https://www.deceptive.design/)讓刪除困難,以改善您的網路現身。
## 查找舊帳戶
### 密碼管理器。
如果您使用一個貫穿整個數位生活的密碼管理器,這部分將非常容易。 通常,它們包括內置功能,用於檢測您的憑證是否在資料洩露中暴露-例如Bitwarden的 [資料洩露報告](https://bitwarden.com/blog/have-you-been-pwned/)。
<figure markdown>
![Bitwarden's 資料外洩報告特色](../assets/img/account-deletion/exposed_passwords.png)
</figure>
即使您之前沒有明確使用過密碼管理器,但可能在無意中早已透過瀏覽器或手機中使用了密碼管理器。 例如: [Firefox 密碼管理器](https://support.mozilla.org/kb/password-manager-remember-delete-edit-logins)、 [Google 密碼管理器](https://passwords.google.com/intro) 和 [Edge 密碼管理器](https://support.microsoft.com/en-us/microsoft-edge/save-or-forget-passwords-in-microsoft-edge-b4beecb0-f2a8-1ca0-f26f-9ec247a3f336)。
桌面平臺通常還有一個密碼管理器,可以幫助您恢復忘記的密碼:
- Windows [憑證管理器r](https://support.microsoft.com/en-us/windows/accessing-credential-manager-1b5c916a-6a16-889f-8581-fc16e8165ac0)
- macOS [密碼](https://support.apple.com/en-us/HT211145)
- iOS [密碼](https://support.apple.com/en-us/HT211146)
- Linux Gnome Keyring ,可以通過 [Seahorse](https://help.gnome.org/users/seahorse/stable/passwords-view.html.en) 或 [KDE Wallet Manager](https://userbase.kde.org/KDE_Wallet_Manager)訪問
### 電子郵件
如果您過去沒有使用密碼管理員,或者您認為您的帳戶從未被添加到密碼管理員,另一個選項是搜索您認為已註冊的電子郵件帳戶。 在電子郵件用戶端上,搜尋「驗證」或「歡迎」等關鍵字。 幾乎每次你建立線上帳戶時,該服務都會向你的電子郵件發送驗證連結或介紹訊息。 這可能是找到舊的,被遺忘的帳戶的好方法。
## 刪除舊帳戶
### 登入
若要刪除舊帳戶,您必須先確認能夠登入帳戶。 同樣,如果帳戶在您的密碼管理員中,則此步驟很簡單。 如果沒有,你可以試著猜測你的密碼。 否則,通常有選項可以重新訪問您的帳戶,通常可以通過登錄頁面的「忘記密碼」鏈接來獲得。 您放棄的帳戶也可能已被刪除:有時服務會自動刪除所有舊帳戶。
嘗試重新取得存取權時,如果網站傳回錯誤訊息,表示電子郵件未與帳戶關聯,或在多次嘗試後您從未收到重設連結,則您沒有該電子郵件地址下的帳戶,應嘗試其他帳戶。 如果您無法確定使用了哪個電子郵件地址,或者您無法再存取該電子郵件,您可以嘗試聯絡該服務的客戶支援。 不幸的是,我們無法保證您能夠恢復訪問您的帳戶。
### GDPR (僅限歐洲經濟區居民)
歐盟居民在資料刪除上享有額外權利,其詳見於 GDPR [第 17 條](https://www.gdpr.org/regulation/article-17.html)規定。 如果適用於您,請閱讀任何特定服務的隱私權政策,以查找有關如何行使刪除權利的資訊。 閱讀隱私政策可能很重要,因為某些服務的「刪除帳戶」選項,實際上只是停用您的帳戶,若要真正刪除,您必須採取額外行動。 有時,刪除過程中可能需填寫調查、向服務商的資料保護人員發送電子郵件,甚至提出您為歐盟居民的證明。 如果您打算這樣做,請 **不要** 覆寫帳戶資訊-可能需要歐盟居民身份。 請注意,服務的位置並不重要; GDPR 適用於為歐盟用戶服務的任何人。 若服務商不願尊重您請求刪除的權利,可聯絡所在國的[官方資料保護機關](https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/what-should-i-do-if-i-think-my-personal-data-protection-rights-havent-been-respected_en),您可能有權請求金錢賠償。
### 覆寫帳戶資訊
在某些情況下,可以採用虛假資料來覆蓋帳戶的信息。 當您登入後,請將帳戶中的所有資訊變更為偽造資訊。 原因是許多網站甚至在帳戶刪除後仍會保留您之前擁有的資訊。 希望他們會用你輸入的最新數據覆蓋之前的信息。 但是,無法保證不會有先前信息的備份。
對於帳戶電子郵件,請通過您選擇的提供商創建新的替代電子郵件帳戶,或使用 [電子郵件別名服務](../email.md#email-aliasing-services)創建別名。 完成後,您可以刪除替代電子郵件地址。 我們建議您不要使用臨時電子郵件提供商,因為通常可以重新啟用臨時電子郵件。
### 刪除帳戶
您可以檢查 [JustDeleteMe](https://justdeleteme. xyz) 以獲取有關刪除特定服務帳戶的指示。 有些網站會慷慨地提供「刪除帳戶」選項,而其他網站則會強迫您與支援人員交談。 刪除過程可能因網站而異,有些網站無法刪除帳戶。
對於不允許帳戶刪除的服務,最好的做法是偽造前面提到的所有信息,並加強帳戶安全性。 爲此,啓用 [MFA](multi-factor-authentication.md) 和提供的任何額外安全功能。 此外,請將密碼更改為隨機生成的最大允許大小的密碼( [密碼管理器](../passwords.md) 對此很有用)。
如果您確信您關心的所有資訊都已被刪除,您可以放心地忘記此帳戶。 如果沒有,最好將憑證與其他密碼一起儲存,並偶爾重新登錄以重設密碼。
即使您能夠刪除帳戶,也無法保證您的所有信息都將被刪除。 事實上,法律要求一些公司保留某些信息,特別是與金融交易有關的信息。 當涉及到網站和雲端服務時,您的數據會發生什麼事情,這在很大程度上是您無法控制的。
## 避免註冊新帳戶
俗話說:「預防更勝治療。」 每當你覺得想要註冊一個新帳戶時,問問自己:「我真的需要註冊這個嗎? 有不需要註冊的替代方案嗎?」 刪除一個帳戶通常比創建一個帳戶要困難得多。 即使刪除或更改帳戶上的資訊,也可能有來自第三方的緩存版本,例如 [Internet Archive](https://archive.org/)。 如果可能的話,不要隨便註冊帳號-未來的你會感謝你現在的決定!

94
i18n/zh-Hant/basics/common-misconceptions.md Normal file
View File

@@ -0,0 +1,94 @@
---
title: "常見的迷思"
icon: 'material/robot-confused'
description: 隱私並不是一個直覺的話題,它容易遭行銷話術與其它虛假訊息的綁架。
schema:
-
"@context": https://schema.org
"@type": FAQPage
mainEntity:
-
"@type": Question
name: 開源軟件本質上安全嗎?
acceptedAnswer:
"@type": Answer
text: |
源代碼是否可公開取得以及軟件本身的授權條件並不會影響其安全性。 開源軟件可能比商有軟件更安全,但這點並非絕對保證。 評估軟體時,應該根據個別情況來評估每個工具的聲譽和安全性。
-
"@type": Question
name: 將信任轉移到另一個提供商可以增加隱私嗎?
acceptedAnswer:
"@type": Answer
text: |
在討論 VPN 等解決方案時,我們經常談到「轉移信任」 (將您對 ISP 的信任轉移到 VPN 提供商)。 雖然這可以特別保護瀏覽數據免受 ISP 影響,但挑選的 VPN 提供商仍然可以訪問您的瀏覽數據:資料並非得到完全保護。
-
"@type": Question
name: 以隱私為中心的解決方案本質上可信賴嗎?
acceptedAnswer:
"@type": Answer
text: |
僅專注於單一工具或提供商的隱私政策和營銷可能會讓您忽視其弱點。 當您正在尋找更私密的解決方案時,您應該確定潛在的問題是什麼,並找到該問題的技術解決方案。 例如,您可能希望避免 Google 雲端硬碟,這會讓 Google 存取您的所有資料。 這種情況下潛在的問題是缺乏E2EE ,因此應確保切換的提供商有真地落實 E2EE ,或者使用雲端服務商提供的 E2EE 工具如Cryptomator )。 轉換到“以隱私為中心”的提供商(其不用 E2EE )不能解決您的問題:它只是將信任從 Google 轉移到該供應商。
-
"@type": Question
name: 我的威脅模型需要多複雜?
acceptedAnswer:
"@type": Answer
text: |
我們經常看到人們描述過於複雜的隱私威脅模型。 通常,這些解決方案包括許多不同的電子郵件帳戶或具有許多移動部件和條件的複雜設置等問題。 答案通常是“做 X 的最佳方式是什麼?”
為自己找到“最佳”解決方案並不一定意味著您正在尋找具有數十種條件的絕對解決方案-這些解決方案通常很難實際使用。 正如先前所討論的,安全性通常是以方便為代價。
---
## 「開源軟體永遠是安全的」或「商業軟體更安全」
這些迷思源於許多偏見,原始碼是否開放以及軟體的許可並不會以任何方式影響其安全性。 ==開源軟件 *可能* 比商業軟件更安全,但絕對不能保證這一點。==評估軟體時,您應該根據每個工具的聲譽和安全性進行評估。
開源軟體*能夠*由第三方人員進行審計,比起同類商用軟體,前者對待潛在漏洞更為透明。 它還允許您查看代碼並禁用您發現的任何可疑功能。 然而,*除非您真的這樣做了*,否則不能保證程式碼曾經被評估過,特別是小型軟體專案。 開放的發展過程有時會遭利用,甚至在大型專案中被引入新的漏洞。
另一方面,專有軟件不太透明,但這並不意味著它不安全。 主要的商用軟件專案會由內部和第三方機構進行審計,獨立的安全研究人員仍然可以通過逆向工程等技術發現漏洞。
避免決策上的偏見,這點在評估所使用軟體的隱私與安全標準上至關重要。
## 「信任的轉移可以增加隱私」
在討論 VPN 等解決方案時,我們經常談到「轉移信任」 (將您對 ISP 的信任轉移到 VPN 提供商)。 雖然這可以保護您的瀏覽資料免受 *特定* ISP 的侵害,但您選擇的 VPN 提供商仍然可以訪問您的瀏覽數據:您的資料並非完全受到各方的保護。 這意味著:
1. 把信任轉付給挑選的服務供應商時,您必須謹慎行事。
2. 您應該利用其它技巧,如 E2EE 來完全保護您的資料。 僅因個別供應商的信任與否,並不能確保資料的安全。
## 「以隱私為中心的解決方案本質上是值得信賴的」
僅專注於單一工具或提供商的隱私政策和營銷可能會讓您忽視其弱點。 當您正在尋找更私密的解決方案時,您應該確定潛在的問題是什麼,並找到該問題的技術解決方案。 例如,您可能希望避免 Google 雲端硬碟,這會讓 Google 存取您的所有資料。 這種情況的問題是缺乏 E2EE 因此您應該確保您轉換的供應商真正實現了E2EE ,或者使用可在任何雲提供商安裝 E2EE 的工具(如 [Cryptomator](../encryption.md#cryptomator-cloud))。 轉換到“以隱私為中心”的提供商(其不用 E2EE )不能解決您的問題:它只是將信任從 Google 轉移到該供應商。
您選擇的供應商的隱私政策和商業實踐非常重要,但應視為隱私技術保證的次要條件:當無須信任供應商時,您不必將信任轉移到另一個供應商。
## 「愈複雜愈好」
我們經常看到人們描述過於複雜的隱私威脅模型。 通常,這些解決方案包括許多不同的電子郵件帳戶或具有許多移動部件和條件的複雜設置等問題。 答案通常是“做 * X *的最佳方式是什麼?”
為自己找到“最佳”解決方案並不一定意味著您正在尋找具有數十種條件的絕對解決方案-這些解決方案通常很難實際使用。 正如先前所討論的,安全性通常是以方便為代價。 下面,我們提供一些訣竅:
1. == 行動需要達到特定的目的:== 想想如何用最少的行動做到想做的事。
2. ==移除人類的失敗點:== 人總會失敗、疲倦、忘記事情。 要保持安全性,請避免依賴大腦記憶的手動條件和流程。
3. = =使用您要想的適當保護等級。== 我們經常看到所謂的執法或傳票證明解決方案的建議。 這些通常需要專業知識,通常不是人們想要的。 建立一個複雜的匿名威脅模型是沒有意義的,如果您的行為容易地被一個簡單的監督去匿名化。
那麼,這看起來會怎麼樣?
最清晰的威胁模型之一是,部分人*,知道你是谁* ,而另一部分人不知道。 有些必須提出您的法定姓名的情況,但也有其他情況不需要提供全名。
1. **已知身份** - 已知身份是用于必須告之姓名的事務。 有許多法律文件和合同需要合法身份。 這可能包括開設銀行帳戶、簽署財產租賃、獲得護照、進口物品時的海關申報,或其他與政府打交道的方式。 這些東西通常會需要憑證,如信用卡,信用評級檢查,帳戶號碼,以及實際地址等。
我們不建議您使用 VPN 或 Tor 來處理這些事情,因為您的身份已經通過其他方式被對方知道。
!!! 訣竅
在網上購物時,使用[包裹儲物櫃] (https://zh.wikipedia.org/wiki/Parcel_locker)有助於保護您實際地址的私密性。
2. **未知身份** - 未知身份可能是您經常使用的穩定假名。 它已不算匿名了,因為不會變動。 如果您是線上社群的一員,您可能希望保留其他人知道的角色。 這個假名不是匿名的,因為如果監控時間足夠長,關於所有者的詳細信息可以透露更多信息,例如他們的寫作方式,他們對感興趣主題的一般知識等。
您可能希望使用 VPN 來隱藏您的 IP 地址。 金融交易更難掩蓋:您可以考慮使用匿名加密貨幣,例如 [Monero](https://www.getmonero.org/)。 採用山寨幣轉移也可能有助於偽裝您的貨幣來源。 通常情況下,交易所需要完成 KYC (了解您的客戶) ,然後才能將法定貨幣兌換為任何類型的加密貨幣。 線下操作也可能是一個解決方案;然而,這些往往更昂貴,有時也需要 KYC。
3. **匿名身份** - 即使有經驗的專家,也很難長時間保持一個帳號的匿名性。 它們應該是短期和短暫的身份,定期輪流。
使用 Tor 可以幫助我們做到這一點。 同樣值得注意的是,通過異步溝通可以實現更大的匿名性:實時溝通容易受到打字模式分析的影響(即不止一段文字,在論壇上分發,通過電子郵件等)。
[^1]: 一個值得注意的例子是 [發生在2021年明尼蘇達大學的研究人員在 Linux 內核開發項目中引入了三個漏洞](https://cse.umn.edu/cs/linux-incident).

148
i18n/zh-Hant/basics/common-threats.md Normal file
View File

@@ -0,0 +1,148 @@
---
title: "常見威脅"
icon: 'material/eye-outline'
description: 您的威脅模型雖說是個人的事,但它也是本站許多訪客關心的課題。
---
廣義來講,我們將建議歸類為適用於大多數人的 [威脅](threat-modeling.md) 或目標。 您可能會在意各種可能性的組合,而選用的工具和服務則取決於您的目標何在。 您也可能有超出這些類別之外的特定威脅,這完全有可能! 重要的是要了解您選擇使用的工具的好處和缺點,因為幾乎沒有一種工具可以保護您免受任何威脅。
- <span class="pg-purple">:material-incognito: 匿名</span> -保護您的在線活動免受您真實身份影響,保護您防範某些企圖揭露 ** 身份的侵害。
- <span class="pg-red">:material-target-account: 針對性的攻擊</span> -保護免受駭客或其他惡意行為者的攻擊,他們正試圖存取訪問 *您的* 資料或設備。
- <span class="pg-orange">:material-bug-outline: 被動攻擊</span> -保護免受惡意軟體、數據洩露和其他同時針對多人的攻擊。
- <span class="pg-teal">:material-server-network: 服務供應商</span> - 保護您的資料免受服務供應商侵害(例如,使用 E2EE ,使您保存在伺服器的資料無法被他人讀取)。
- <span class="pg-blue">:material-eye-outline: 大規模監控</span> -保護您免受政府機構、組織、網站和服務共同追蹤您的活動。
- <span class="pg-brown">:material-account-cash: 監控資本主義</span> - 保議自己不會被 Google Facebook 等大型網路廣告以及其它無數第三方資料收集者監控。
- <span class="pg-green">:material-account-search: 公開曝光</span> -限制搜尋引擎或一般大眾可在網路上找到有關您的資訊。
- <span class="pg-blue-gray">:material-close-outline: 審查</span> -避免資訊被封鎖或自己的網路發言時受到審查。
其中一些威脅對您來說可能比其他威脅更嚴重,這取決於您的具體問題。 例如,有權訪問有價值或重要資料的開發人員可能主要關注 <span class="pg-red">:material-target-account: 針對性攻擊</span>,但他們仍然希望保護自己的個資免受 <span class="pg-blue">:material-eye-outline: 大規模監控</span> 計劃的影響。 同樣,許多人主要關心其個人資料的 <span class="pg-green">:material-account-search: 公開曝光</span> ,但他們仍應該警惕聚焦安全的問題,例如 <span class="pg-orange">:material-bug-outline: 被動攻擊</span>-例如惡意軟件影響他們的設備。
## 匿名 vs. 隱私
<span class="pg-purple">:material-incognito: 匿名性</span>
匿名通常與隱私相混淆,但它們是不同的概念。 隱私是您對如何使用和共享資料所做出的一系列選擇,而匿名是將您的線上活動與真實身份完全分離。
舉例來說,揭密者和記者會需要一個更極端、要求完全匿名的威脅模型。 這不僅隱藏了他們所做的事情、擁有的資料,不會被惡意行為者或政府駭客入侵,而且還完全隱暪了他們的身份。 他們經常需犧牲任何形式的便利,以保護自身的匿名性,隱私或安全,因為很可能事關自己的性命。 大多數人都不需要那樣。
## 安全與隱私
<span class="pg-orange">:material-bug-outline: 被動攻擊</span>
安全性和隱私也經常被混淆,因為您需要安全性來獲得任何形式的隱私:使用的工具----即便設計私密----但若很容易地受到攻擊者造成資料外洩,一切就是白廢了。 然而,相反的情況並不一定成立:世界上最安全的服務 *不一定是* 私密。 最好的例子是信任把資料交給 Google因為它們規模龐大聘請業界領先的安全專家來保護其基礎設施幾乎沒有發生過安全事故。 儘管 Google 提供了非常安全的服務但很少有人會認為在Google 免費消費產品Gmail、YouTube 等)中的資料是私有的。
當涉及到應用程式安全性時,我們通常不知道(有時甚至無法)使用的軟體是否是惡意或者有一天它會變成惡意。 即使是最值得信賴的開發人員,也無法保證他們的軟體沒有嚴重的漏洞有一天會被利用。
減少惡意軟體*可能造成的破壞* ,最好能落實安全劃分方案。 例如,用不同電腦作不同的事、利用虛擬器來分組不同的相關應用程式,或者使用一個高集中的應用程式沙盒和強制訪問控制的安全操作系統。
!!! 提示
行動作業系統通常具有比桌面作業系統具備更好的應用程式沙盒:應用程式沒有根存取權限,且需要存取系統資源的權限。
桌面操作系統通常在適當的沙盒化上落後。 ChromeOS 具備與 Android 相似的沙盒功能, macOS 具有完整的系統權限控制(開發人員可以選擇為應用程式加入沙盒)。 然而,這些作業系統確實會將識別資料傳回給各自的原始設備製造商。 Linux 傾向於不對系統供應商提交資料,但它在漏洞和惡意應用程式的保護很差。 這可以通過專門的發行版來緩解,這些發行版大量使用虛擬器或容器,例如 [Qubes OS] ../../desktop/# qubes-os )。
<span class="pg-red">:material-target-account: 目標攻擊</span>
針對特定人士的針對性攻擊更難處理。 常見的攻擊包括通過電子郵件發送惡意文件、利用(瀏覽器和操作系統的)漏洞以及物理攻擊。 如果這是您擔心這點,應該採用更先進的威脅減輕策略。
!!! 提示
在設計上, * *網頁瀏覽器* ** *電子郵件用戶端* ** *辦公室應用程式* *常常運行第三方發送無法信任的代碼。 運行多個虛擬器-將這些應用程序與主機系統相互分開,此技術可減少系統遭到應用程序攻擊的機會。 例如, Qubes OS 或 Windows 上的 Microsoft Defender Application Guard 等技術提供了方便的作法。
若您特別擔心 **物理攻擊**,就應選用具安全驗證開機的作業系統,例如 Android, iOS, macOS, 或[Windows (帶 TPM)](https://docs.microsoft.com/en-us/windows/security/information-protection/secure-the-windows-10-boot-process)。 應確保您的驅動器是加密的,並且操作系統使用 TPM或 Secure [Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/1/web/1) 或 [Element](https://developers.google.com/android/security/android-ready-se) 來限制輸入加密密碼的嘗試率。 您應該避免與不信任的人共享您的電腦,因為大多數桌面作業系統不會單獨加密每個用戶的數據。
## 服務供應商的隱私權
<span class="pg-teal">:material-server-network: 服務提供商</span>
我們活在一個幾乎所有東西都連上網際網路的世界。 我們的「私人」訊息、電子郵件和社交互動通常儲存在伺服器的某個地方。 通常,當您向某人發送訊息時,它會儲存在伺服器上,當對方想要閱讀訊息時,伺服器會將其顯示給他們。
顯而易見的問題是,服務提供商(或破壞伺服器的黑客)可以隨時隨地訪問您的對話,而您永遠不會知道。 這適用在許多常見服務,如 SMS 簡訊、Teleram 和 Discord。
慶幸的是, E2EE 可以加密您與收件人之間的通信,甚至在訊息送到伺服器之前,緩解此問題。 假設服務提供商無法訪問任何一方的私鑰,您的訊息保密性得到保證。
!!! 備註 "Web 加密備註"
實際上,不同 E2EE 操作的效力各不相同。 應用程式,例如 [Signal](../real-time-communication.md#signal) ,會在您的裝置上原生執行,且此應用程式在不同設備的安裝上都是如此。 如果服務提供商在他們的應用程序中引入 [後門](https://zh.wikipedia.org/wiki/Backdoor_(computing) ----試圖竊取您的私鑰----它稍後可以通過[逆向工程] (https://zh.wikipedia.org/wiki/Reverse_engineering )檢測。
另一方面,執行網頁 E2EE例如 Proton Mail 的網頁郵件或Bitwarden 的* Web Vault * 依靠伺服器動態地向瀏覽器提供JavaScript 代碼來處理加密。 惡意伺服器可以針對您發送惡意 JavaScript 代碼以竊取您的加密密鑰(這將非常難以察覺)。 因為伺服器可以選擇為不同的人提供不同的網頁用戶端,即使您注意到攻擊也很難證明提供商有罪。
因此,您應該盡可能使用原生軟體程式多於網頁客戶端。
即便使用 E2EE ,服務商仍然可以對 **元數據**進行分析,這通常不受保護。 雖然服務提供商無法讀取您的訊息,但他們仍然可以觀察重要的事情,例如您正在與誰交談、傳送訊息的頻率以及使用活躍時段。 元數據的保護不多,如果它在您的 [威脅模型](threat-modeling.md)中,就應該密切注意使用軟體的技術文檔,看看元數據是否最小化或任何保護。
## 大規模監督計劃
<span class="pg-blue">:material-eye-outline: 大規模監測</span>
大規模監控是對全體 (或其中某一群特定)人群進行錯綜複雜的監視活動。[^1] 它通常是指政府項目,例如由[Edward Snowden 在 2013](https://en.wikipedia.org/wiki/Global_surveillance_disclosures_(2013%E2%80%93present))所揭露的內幕。 然而,它也可以由公司代表政府機構或由他們自己主動進行。
!!! 摘要"監控地圖集"
如果您想進一步了解監控方法及其在您所在城市的實施方式,您也可以查看[電子前鋒基金會 EFF] (https://www.eff.org/)的[監控地圖集] (https://atlasofsurveillance.org/)。
在法國,您可以看看非營利組織 La Quadrature du Net 維護的 [Technolopolice 網站] (https://technopolice.fr/villes/ )。
政府常認為大規模監控計劃是打擊恐怖主義和預防犯罪的必要手段。 然而,少數羣體和政治異見人士最常遭受不成比例地人權侵害。
!!! 美國自由民權聯盟 ACLU [*9/11 的隱私教訓:大規模監控不是前進的道路*](https://www.aclu.org/news/national-security/the-privacy-lesson-of-9-11-mass-surveillance-is-not-the-way-forward)
面對[愛德華·斯諾登( Edward Snowden )披露的 [PRISM] https://en.wikipedia.org/wiki/PRISM )和 [Upstream] https://en.wikipedia.org/wiki/Upstream_collection ]等政府計劃,情報官員承認,國家安全局多年來一直祕密地收集每個美國人電話的記錄—誰在打電話,何時打電話,以及通話時間多久。 當 NSA 日復一日地收集這類資訊時,就可以揭示人們生活相關聯的敏感細節,例如他們是否打電話給牧師、墮胎提供者、成癮顧問或自殺熱線。
儘管在美國有越來越多的大規模監控,政府卻發現像依 215 條採取的監控計畫在阻卻犯案與恐怖陰謀上沒有實用價值,它們幾乎只是重複著 FBI 所做的特定監控計畫而已。[^2]
在網上,您可以通過各種方法進行追蹤:
- 您的 IP 地址
- 瀏覽器 cookie
- 您提交到網站的資料
- 您的瀏覽器或裝置指紋
- 付款方式關聯
\ [此列表並非詳盡無缺]。
如果您擔心大規模監控計劃,您可以隨時隨地策略性避免提供識別個資,例如劃分您的網路身份,與其他用戶混合。
<span class="pg-brown">:material-account-cash: 監控資本主義</span>
> 監控資本主義的核心是獲取個人資料並將之商品化,以謀求最大利潤的經濟體系。[^3]
對於許多人來說,私人公司的追蹤和監視是一個越來越令人擔憂的問題。 無處不在的廣告網絡,例如 Google 和 Facebook 運營的廣告網絡,跨越網際網路遠超過他們控制的網站,在跟蹤您的行為。 使用內容攔截工具來限制對伺服器的請求、閱讀了解所用服務的隱私政策,都有助於避開許多基本對手 (雖然這不能完全防止跟蹤)。[^4]
此外,即使是 *AdTech* 或追蹤行業以外的公司,也可以與 [資料掮客](https://en.wikipedia.org/wiki/Information_broker) 如Cambridge Analytica、Experian 或 Datalogix )或其他方共享您的資料。 您無法自行假設您的資料是安全的,因為您使用的服務不屬於典型的 AdTech 或跟蹤商業模式。 對抗企業資料收集最好的保護是盡可能加密或混淆您的數據,讓不同的供應商難以將資料相互關聯去建立您的個人剖繪。
## 限制公共資訊
<span class="pg-green">:material-account-search: 公共曝露</span>
保持資料私密性的最佳方法是根本不要公開它。 刪除網路上有關您現已不用的資訊是恢復隱私的最佳第一步。
- [查看帳戶刪除指南 :material-arrow-right-drop-circle:](account-deletion.md)
對於您分享資訊的網站,檢查帳戶的隱私設定以限制資料傳播的範圍非常重要。 例如,如果提供選項,請在您的帳戶上啟用「私人模式」:這可確保您的帳戶不會被搜尋引擎編入索引,而且在未經您的許可下無法查看。
如果您已經將真實資訊提交給不應該擁有該資訊的網站,請考慮使用虛假策略,例如提交該網路身份的虛構資訊。 這使得您的真實資訊無法與虛假資訊作區分。
## 避免審查
<span class="pg-blue-gray">:material-close-outline: 審查</span>
網口審查包括由極權主義政府、網路管理員和服務提供商等所進行的行為(在不同程度上)。 這些試圖控制通訊與限縮資料取用的作為,往往不見容於意見自由的基本人權。[^5]
對企業平臺的審查越來越普遍如Twitter 和 Facebook 等平臺屈服於公眾需求、市場和政府機構的壓力。 政府對企業的施壓可能是隱蔽的,例如白宮私下 [要求拿掉](https://www.nytimes.com/2012/09/17/technology/on-the-web-a-fine-line-on-free-speech-across-globe.html) 某個勯動的 Youtube 影片,或是公開者如中國政府命令企業要遵循嚴厲的審查制度。
關注審查威脅的人可以使用像 [Tor](../advanced/tor-overview.md) 這樣的技術來規避它,並支持像 [Matrix](../real-time-communication.md#element)這樣的抗審查通信平臺,該平臺沒有可以任意關閉帳戶的集中帳戶權限。
!!! 提示
雖然很容易避掉審查,但隱藏您正在做的事可就沒那麼簡單了。
您應該考慮可讓對手觀察哪些網路行為,以及能否對這些行為有合理的否認說辭。 例如,使用[加密 DNS ] (../advanced/dns-overview.md#what-is-encrypted-dns)可以幫助您繞過對 DNS 基本審查系統,但它無法對 ISP 隱藏您正在訪問的內容。 VPN 或 Tor 有助於向網路管理員隱藏您正在訪問的內容,但無法隱藏您正在使用 VPN 或 Tor 。 可插拔傳輸(例如 Obfs4proxy、Meek 或 Shadowsocks 可以幫助您避開阻擋常見VPN 協議或 Tor 的防火牆,但仍然可以通過探測或[深度封包檢查] (https://en.wikipedia.org/wiki/Deep_packet_inspection)等方法檢測您嘗圖作的規避。
您必須考慮試圖繞過網路審查的風險、潛在的後果以及您的對手可能很經驗老道。 您應該謹慎選擇軟件,並制定備份計劃以防被抓住。
[^1]: 維基百科: [*大型監控*](https://en.wikipedia.org/wiki/Mass_surveillance) 與 [*監控*](https://en.wikipedia.org/wiki/Surveillance).
[^2]: 美國隱私和公民自由監督委員會: [*根據第 215 條進行的電話記錄計劃的報告*](https://documents.pclob.gov/prod/Documents/OversightReport/ec542143-1079-424a-84b3-acc354698560/215-Report_on_the_Telephone_Records_Program.pdf)
[^3]: 維基百科: [*監控資本主義*](https://en.wikipedia.org/wiki/Surveillance_capitalism)
[^4]: “[枚舉壞處](https://www.ranum.com/security/computer_security/editorials/dumb/)” (或“列出所知的全部壞事” ),未能充分保護您免受新的和未知的威脅,因為許多廣告攔截程式和防病毒程式尚未被添加到過濾器列表。 您還應採用其他緩解技術。
[^5]: 聯合國: [*《世界人權宣言》*](https://www.un.org/en/about-us/universal-declaration-of-human-rights).

41
i18n/zh-Hant/basics/email-security.md Normal file
View File

@@ -0,0 +1,41 @@
---
title: 電子郵件安全
icon: material/email
description: 從許多方面來看電子郵件本質上是不安全的,這也是它並非安全通信首選的原因。
---
電子郵件本身即非安全的通訊形式。 您可以使用 OpenPGP 等工具提高電子郵件安全性,這些工具為您的消息添加端到端加密,但與其他消息傳遞應用程序中的加密相比, OpenPGP 仍然存在許多缺點,而且由於電子郵件的設計方式,某些電子郵件數據永遠不會加密。
因此,電子郵件最適合用於從您在線註冊的服務接收交易性電子郵件(如通知、驗證電子郵件、密碼重置等),而不是用於與他人溝通。
## 郵件是如何加密的
將 E2EE 添加到不同電子郵件提供商之間的電子郵件的標準方法是使用 OpenPGP。 OpenPGP 標準有不同的實現,最常見的是 [GnuPG](https://en.wikipedia.org/wiki/GNU_Privacy_Guard) 和 [OpenPGP.js](https://openpgpjs.org)。
還有另一種標準被稱為 [S/MIME](https://en.wikipedia.org/wiki/S/MIME),但它需要由 [憑證機構](https://en.wikipedia.org/wiki/Certificate_authority) 頒發的憑證並非所有憑證都發行S/MIME憑證。 它支持 [Google Workplace](https://support.google.com/a/topic/9061730?hl=en&ref_topic=9061731) 和 [Outlook for Web或Exchange Server 2016 2019](https://support.office.com/en-us/article/encrypt-messages-by-using-s-mime-in-outlook-on-the-web-878c79fc-7088-4b39-966f-14512658f480)。
即使您使用OpenPGP ,它也不支持 [向前保密](https://en.wikipedia.org/wiki/Forward_secrecy),這意味著如果您或收件人的私鑰被盜,所有先前加密的消息都將被曝光。 這就是為什麼我們建議 [即時通訊](../real-time-communication.md) ,只要有可能,就實現電子郵件的前向保密性,以進行個人對個人的通信。
### 哪些郵件客戶端支持 E2EE
電子郵件服務供應商讓您能使用標準訪問協議如 IMAP 與SMTP以便應用[我們推薦的電子郵件客戶端軟體](../email-clients.md)。 根據驗證方法的不同如果提供者或電子郵件用戶端不支持OAT或橋接應用程序這可能會導致安全性降低因為 [多因素驗證](multi-factor-authentication.md) 在純密碼驗證中是不可能的。
### 我要怎樣保護自己的私密鑰匙?
安全鑰卡 (例如 [Yubikey](https://support.yubico.com/hc/en-us/articles/360013790259-Using-Your-YubiKey-with-OpenPGP) 或 [Nitrokey](https://www.nitrokey.com)) 可在設備 (手機、平板或桌機等 ) 的電子郵件軟體或網頁電郵上收取加密的郵件訊息。 安全鑰卡會解密該訊息再把解開的內容傳到設備。
在智能卡上進行解密是有利的,以避免可能將您的私鑰暴露在受損的設備上。
## 電子郵件元資料概覽
電子郵件中繼資料儲存在電子郵件的 [個訊息標題](https://en. wikipedia. org/wiki/Email#Message_header) 中,並包含您可能已經看到的一些可見標題,例如: `To``From``Cc``Date``Subject`。 許多電子郵件客戶端和提供商還包含一些隱藏的標題,可以揭示有關您的帳戶的信息。
客戶端軟體可能會使用電子郵件中繼資料來顯示來自誰以及收到訊息的時間。 服務器可以使用它來確定電子郵件消息必須發送的位置,其中 [個其他目的](https://en.wikipedia.org/wiki/Email#Message_header) 並不總是透明的。
### 誰可以查看電子郵件中繼資料?
電子郵件元數據受到外部觀察者的保護, [Opportunistic TLS](https://en.wikipedia.org/wiki/Opportunistic_TLS) 保護它免受外部觀察者的影響,但它仍然能夠被您的電子郵件客戶端軟件(或網絡郵件)和任何伺服器看到,將您的消息轉發給任何收件人,包括您的電子郵件提供商。 有時,電子郵件伺服器也會使用第三方服務來防範垃圾郵件,垃圾郵件通常也可以訪問您的郵件。
### 爲什麼元數據不能是E2EE
電子郵件元數據對於電子郵件最基本的功能(它來自何處,以及它必須去向何處)至關重要。 E2EE 最初並未內建於電子郵件協議中,而是需要像 OpenPGP 這樣的附加軟件。 由於 OpenPGP 訊息仍必須與傳統的電子郵件供應商合作,因此它無法加密電子郵件元數據,只能加密訊息正文本身。 這意味著即使在使用 OpenPGP 時,外部觀察者也可以看到關於您的消息的大量信息,例如您正在發送電子郵件的人,主題行,當您發送電子郵件時等。

165
i18n/zh-Hant/basics/multi-factor-authentication.md Normal file
View File

@@ -0,0 +1,165 @@
---
title: "多重身分驗證"
icon: 'material/two-factor-authentication'
description: MFA是保護您線上帳戶的關鍵安全機制但有些方法比其他方法更強大。
---
**多因素認證****MFA**)是一種安全機制,除了輸入用戶名(或電子郵件)和密碼之外,還需要其他步驟。 最常見的方法是您會從簡訊或應用程式收到的有時間限制的代碼。
通常情況下,如果駭客(或任何想要盜取您帳號的人)能夠找出您的密碼,那麼他們將獲得密碼屬於的帳戶的存取權。 MFA 的帳戶迫使駭客同時擁有密碼(您 *知道*的東西)和您擁有的設備(您 *擁有*的東西),例如您的手機。
不同 MFA 方式的安全性各不相同,但整體來說,讓攻擊者越難訪問您的 MFA 方法越好。 MFA 方式(從最弱到最強)的例子包括簡訊,電子郵件代碼,應用推送通知, TOTP Yubico OTP 和 FIDO。
## MFA 方式的比較
### 簡訊或 Email 多重身分驗證
透過簡訊或電子郵件接收 OTP 代碼是透過 MFA 保護帳戶安全的最弱方法之一。 通過電子郵件或簡訊接收驗證碼動搖了*"持有安心*”的概念,因為駭客根本不需要實際拿到您的設備,就可透過多種方式 [接管電話號碼](https://en.wikipedia.org/wiki/SIM_swap_scam) 或讀取電子郵件。 如果未經授權的人獲得了您的電子郵件訪問權限,他們將能夠使用該訪問權限重設您的密碼並收到驗證碼,使他們能夠完全訪問您的帳戶。
### 推送通知
推送通知多重身份認證的形式是將訊息發送到手機上的應用程式,要求您確認新的帳戶登入。 這種方法比短信或電子郵件要好得多,因為攻擊者通常無法在沒有已經登錄的設備的情況下獲得這些推送通知,這意味著他們需要首先破壞您的其他設備之一。
我們都會犯錯誤,您可能不小心接受登錄嘗試。 推送通知登入授權通常一次發送到 *所有* 您的設備,如果您有多個設備,則可擴大 MFA 代碼的可用性。
推送通知 MFA 的安全性取決於應用程序的品質,伺服器組件以及生成它的開發人員的信任。 安裝應用程式可能會要求授予對裝置上其他資料存取的侵入性權限。 不同於好的TOTP 生成器,個別應用程式還要求特定的應用程序,甚至不需要密碼就可開啟服務。
### 暫時性的一次性密碼 (TOTP)
TOTP 是最常見的 MFA 形式之一。 當您設置TOTP時您通常需要掃描 [QR Code](https://en.wikipedia.org/wiki/QR_code) ,該掃描與您打算使用的服務建立“[共享祕密](https://en.wikipedia.org/wiki/Shared_secret)”。 共用祕密在驗證器應用程式的數據中受到保護,有時會受到密碼的保護。
然後,時間限制代碼從共享機密和當前時間衍生出來。 由於代碼僅在短時間內有效,無法訪問共享機密,因此對手無法生成新代碼。
如果您擁有支援 TOTP 的硬體安全金鑰(例如具有 [Yubico Authenticator](https://www.yubico.com/products/yubico-authenticator/)的YubiKey ,我們建議您將「共享機密」儲存在硬體上。 像 YubiKey 這類硬體就是為了讓“共享祕密”難以提取、複製而開發的工具。 YubiKey 也不會連接到網際網路,不像使用 TOTP 應用程式的手機。
與 [WebAuthn](#fido-fast-identity-online)不同, TOTP 無法應對 [網絡釣魚](https://en.wikipedia.org/wiki/Phishing) 或重複使用攻擊。 如果對手從您身上取得有效的登錄碼他們可以隨意多次使用它直到過期通常是60秒
對手可以建立一個網站來模仿官方服務,試圖欺騙你提供你的用戶名,密碼和當前的 TOTP 代碼。 如果對手使用這些記錄的憑證,他們可能能夠登錄到真正的服務並劫持帳戶。
雖然不完美,但 TOTP 對大多數人來說足夠安全,當 [硬件安全金鑰](../multi-factor-authentication.md#hardware-security-keys) 不受支持時, [驗證器應用程序](../multi-factor-authentication.md#authenticator-apps) 仍然是一個不錯的選擇。
### 硬體安全金鑰
YubiKey 將資料存在防纂改的強固晶片, 除非運用先進實驗室等級的取證程序,一般非破壞方式[很難存取](https://security.stackexchange.com/a/245772) 。
這些金鑰通常具多重功能,並提供了許多驗證方法。 下面是最常見的。
#### Yubico OTP
Yubico OTP 的驗證協議通常是執行在硬體安全金鑰上。 當決定使用 Yubico OTP 時,該密鑰將產生公用 ID ,私有 ID 和祕密密鑰,然後密鑰日上傳到 Yubico OTP 伺服器。
在登入網站時,需要做的就是實際觸摸安全金鑰。 安全金鑰將模擬鍵盤並將一次性密碼列印到密碼欄位中。
它會將一次性密碼轉發到 Yubico OTP 伺服器進行驗證。 在密鑰和 Yubico 驗證伺服器上的計數器都會迭加。 OTP 只能使用一次,當成功驗證後,計數器會增加,以防止重複使用 OTP。 Yubico 提供了此過程的 [詳細文件](https://developers.yubico.com/OTP/OTPs_Explained.html) 。
<figure markdown>
![Yubico OTP](../assets/img/multi-factor-authentication/yubico-otp.png)
</figure>
與 TOTP 相比使用Yubico OTP 有一些優缺點。
Yubico 驗證伺服器是雲端服務,您把信任託付給 Yubico 相信他們會安全地儲存資料而不會拿來分析您。 與 Yubico OTP 相關聯的公共 ID 可在每個網站上重複使用,並可能讓第三方可對您進行個人剖繪。 與TOTP 一樣, Yubico OTP 無法對抗網路釣魚。
若您的威脅模型要求在不同網站使用不同身份, **請不要** 在這些網站中使用同一個硬體安全密鑰 Yubico OTP ,因為每個安全密鑰都有相同的公共 ID。
#### FIDO 快速線上身份驗證)
[FIDO ](https://en.wikipedia.org/wiki/FIDO_Alliance) 包含許多標準首先是U2F ,然後是 [FIDO2](https://en.wikipedia.org/wiki/FIDO2_Project) ,其中包括 Web 標準 [WebAuthn](https://en.wikipedia.org/wiki/WebAuthn)。
U2F 和 FIDO2 指的是 [Client to Authenticator Protocol](https://en.wikipedia.org/wiki/Client_to_Authenticator_Protocol),這是安全金鑰和電腦之間的協議,例如筆記本電腦或手機。 它補充了 WebAuthn WebAuthn 為驗證網站登錄( “依賴方” )之組件。
WebAuthn是最安全、最私密的第二要素驗證形式。 雖然驗證體驗與 Yubico OTP 類似,但密鑰不會打印出一次性密碼也不會使用第三方伺服器進行驗證。 相反,它使用 [公鑰加密](https://en.wikipedia.org/wiki/Public-key_cryptography) 進行驗證。
<figure markdown>
![FIDO](../assets/img/multi-factor-authentication/fido.png)
</figure>
當您創建一個帳戶時,公鑰會發送到服務,然後當您登錄時,服務會要求您使用您的私鑰“簽署”一些數據。 這樣做的好處是,服務不會儲存密碼資料,因此對手無從竊取任何東西。
這份簡報探討了密碼驗證的歷史陷阱如密碼重用以及FIDO2 和 [WebAuthn](https://webauthn.guide) 標準等課題。
<div class="yt-embed">
<iframe width="560" height="315" src="https://invidious.privacyguides.net/embed/aMo4ZlWznao?local=true" title="FIDO2 和 WebAuthn 如何防止帳戶接管" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
</div>
相較於其它 MFA方法 FIDO2 和 WebAuthn 具有卓越的安全和隱私特點。
通Web服務通常與 WebAuthn 一起使用, 這是來自 [W3C 的建議](https://en.wikipedia.org/wiki/World_Wide_Web_Consortium#W3C_recommendation_(REC))。 它使用公鑰驗證,並且比在 Yubico OTP 和 TOTP 使用的共享機密更安全,因為它在驗證期間包括原始名稱(通常是域名)。 提供證明以保護您免受網路釣魚攻擊,以幫助您確定使用真實服務而不是假網站服務。
與 Yubico OTP不同WebAuthn不使用任何公共ID ,因此密鑰 **無法** 被不同網站識別。 它也不使用任何第三方雲端伺服器進行驗證。 所有通訊都已在密鑰和所登入的網站之間完成。 FIDO 還使用計數器,該計數器在使用時會增加,以防止期間重用和克隆密鑰。
如果網站或服務支援 WebAuthn 驗證,強烈建議您使用它而不是其他形式的 MFA。
## 一般性建議
我們有這些一般性建議:
### 我應該選擇哪種方法?
設置MFA 方法時,請記住,它的安全程度與您使用的最弱的身份驗證方法一樣。 這意味著您只需使用的最佳MFA方法。 例如如果您已經使用TOTP 您應該禁用電子郵件和SMS MFA。 如果您已經使用 FIDO2/WebAuthn ,則不應該在您的帳戶上使用 Yubico OTP 或TOTP。
### 備份
您應該始終備份您的 MFA 方法。 硬體安全金鑰可能會丟失、被盜或隨著時間的推移而停止運作。 建議您擁有一對具有相同帳戶存取權限的硬體安全金鑰,而不僅僅是一個。
當與驗證器應用程式一起使用TOTP時請務必備份您的恢復密鑰或應用程式本身或將「共享機密」複製到不同手機上的應用程式的另一個實例或加密容器例如 [VeraCrypt](../encryption.md#veracrypt))。
### 初始設定
購買安全金鑰時,請務必變更預設憑證、為金鑰設定密碼保護,並在金鑰支援時啟用觸控確認。 YubiKey 等產品有多重介面,各有其獨立憑證,因此您應該仔細查看每個介面並設置保護。
### 電子郵件和簡訊
如果您必須使用電子郵件進行MFA ,請確保電子郵件帳戶本身具有適當的 MFA 方法。
如果您使用簡訊 MFA 請選擇不會進行未授權的號碼切換的營營商或使用具有類似安全性的專用VoIP 號碼,以避免 [SIM 交換攻擊](https://en.wikipedia.org/wiki/SIM_swap_scam)。
[我們推薦的 MFA 工具](../multi-factor-authentication.md ""){.md-button}
## 更多設定MFA的地方
除了保護您的網站登錄外,多因素身份驗證還可用於保護您的本地設備的登錄、 SSH 密鑰甚至密碼資料庫。
### Windows
Yubico 有專門的 [憑證提供者](https://docs.microsoft.com/en-us/windows/win32/secauthn/credential-providers-in-windows) ,為本地 Windows 帳戶在登錄流程添加了Challenge-Response 驗證。 如果您擁有具 Challenge-Response 驗證支援的 YubiKey ,請查看 [Yubico Login for Windows Configuration Guide](https://support.yubico.com/hc/en-us/articles/360013708460-Yubico-Login-for-Windows-Configuration-Guide),該指南將協助您在 Windows 電腦上設置MFA。
### macOS
macOS 具有 [原生支援](https://support.apple.com/guide/deployment/intro-to-smart-card-integration-depd0b888248/web) 用於使用智慧卡(PIV)進行驗證。 如果您有支援 PIV 介面的智慧卡或硬體安全金鑰(例如 YubiKey) ,建議您遵循智慧卡/硬體安全供應商的文件為您的macOS 電腦設定第二要素驗證。
Yubico 指南 [在macOS](https://support.yubico.com/hc/en-us/articles/360016649059) 中使用 YubiKey 作為智慧卡,可幫助您在 macOS 設置 YubiKey。
設定智慧卡/安全金鑰後,我們建議您在終端機中執行此命令:
```text
sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YES
```
該指令會防止對手在電腦啟動時繞過 MFA。
### Linux
!!! 警告
如果系統主機名稱發生變更(例如由於 DHCP ,您將無法登入。 在遵循本指南之前,為您的電腦設置正確的主機名至關重要。
Linux 上的 `pam_u2f` 模組可以提供雙因素驗證,以便在最流行的 Linux 發行版上登錄。 如果您有支援 U2F 的硬體安全金鑰,可以為您的登入設定 MFA 驗證。 Yubico有一個 [Ubuntu Linux 登錄指南- U2F](https://support.yubico.com/hc/en-us/articles/360016649099-Ubuntu-Linux-Login-Guide-U2F) ,應該適用於任何發行版。 軟體包管理器指令(例如 `apt-get`)和軟體包名稱可能不同。 本指南 **不適用於** Qubes OS.
### Qubes OS
Qubes OS 支援 YubiKeys 進行 Challenge-Response 驗證。 如果您擁有具 Challenge-Response 驗證支援的 YubiKey ,請查看 Qubes OS [YubiKey 文檔](https://www.qubes-os.org/doc/yubikey/) 以在Qubes OS 設置 MFA。
### SSH
#### 硬件安全金鑰
SSH MFA 可以使用多種不同的身份驗證方法進行設置,這些方法在硬體安全金鑰中很受歡迎。 建議您查看 Yubico [文件檔](https://developers.yubico.com/SSH/) ,了解如何設置此功能。
#### 暫時性的一次性密碼 (TOTP)
SSH MFA 也可以使用 TOTP 設定。 DigitalOcean 提供教學 [如何在 Ubuntu 20.04](https://www.digitalocean.com/community/tutorials/how-to-set-up-multi-factor-authentication-for-ssh-on-ubuntu-20-04) 為 SSH 設置多因素身份驗證。 無論是哪一個發行版本,大多數操作方式都相同,但是軟體包管理器命令-例如 `apt-get`-和軟體包名稱可能不同。
### KeePass 和KeePassXC
KeePass 和 KeePassXC 資料庫可以使用 Challenge-Response 或 HOTP 作為第二要素驗證進行密碼保護。 Yubico 提供了一份 KeePass [Using Your YubiKey with KeePass](https://support.yubico.com/hc/en-us/articles/360013779759-Using-Your-YubiKey-with-KeePass) 文件, [KeePassXC](https://keepassxc.org/docs/#faq-yubikey-2fa) 網站上也有一份。

111
i18n/zh-Hant/basics/passwords-overview.md Normal file
View File

@@ -0,0 +1,111 @@
---
title: "密碼介紹"
icon: 'material/form-textbox-password'
description: 以下是關於如何建立最強密碼並確保帳戶安全的一些提示和技巧。
---
密碼是我們日常數位生活的重要組成部分。 我們使用它們來保護自己帳戶、設備和祕密。 儘管密碼常常是我們與挖取我們私人資訊的對手之間僅有的唯一阻隔,但人們並未對密碼有充分的考量,導致人們使用的密碼很容易被猜到或強力破解。
## 最佳實踐
### 每項服務各選用不同的獨特密碼
想像一下,您在各個不同的網路服務註冊時都使用同一組電子郵件和密碼。 如果其中一個服務提供商懷有惡意,或者其服務發生資料洩露,以未加密格式暴露了您的密碼,那麼不良行為者只需嘗試跨多個流行服務的電子郵件和密碼組合,就可輕易得手。 密碼強度已無關緊要,因為對手已經打開它了。
這稱為 [憑證填充](https://en.wikipedia.org/wiki/Credential_stuffing),是最常見帳戶被不良行為者破壞的方式之一。 為了避免這種情況,請確保您永遠不會重複使用密碼。
### 使用隨機生成的密碼
==您 **不應該** 僅靠自己去想出好密碼== ;建議使用充足熵量的[隨機產生密碼randomly generated passwords](#passwords) 或 [diceware 口令密語](#diceware-passphrases) ,以保護裝備和帳戶的安全。
我們所推薦的 [密碼管理器](../passwords.md) 都內建密碼生成器。
### 輪換密碼
應避免經常更改必須記住的密碼(例如密碼管理器的主密碼) ,除非有理由相信它已被破壞,否則頻繁更改它往往會使您面臨忘記密碼的風險。
對於無需記住的密碼(例如存儲在密碼管理器中的密碼)時,如果您的 [威脅模型](threat-modeling.md) 需要它,建議每隔幾個月查看一次重要帳戶(特別是沒使用多因素身份驗證的帳戶)並更改其密碼,以防它們在尚未公開的資料洩露中遭到破壞。 大多數密碼管理器可為密碼設定到期日期,以便更容易管理。
!!! 提示“檢查數據洩露”
如果您的密碼管理器可以檢查密碼是否已被破壞,請務必檢查並立即更改可能已暴露在資料外洩的密碼。 或者,您可以在[news aggregator] (../news-aggregators.md)的幫助下關注[Have I Been Pwned 最新資料外洩情報] (https://feeds.feedburner.com/HaveIBeenPwnedLatestBreaches)。
## 建立強密碼
### 密碼
許多服務對密碼施加了某些標準,包括最小或最大長度,以及可以使用哪些特殊字符(如果有的話)。 您應該利用密碼管理器內建的密碼生成器來創建夠長、複雜的密碼,只要服務允許,最好是混合大寫和小寫字母、數字和特殊字符搭配。
若需要一個記得住的密碼,建議採用 [diceware 口令密語](#diceware-passphrases)。
### Diceware 口令密語
Diceware 是一種創建密碼短語的方法,這些密短口令易於記憶,但很難猜測。
當您需要記憶或手動輸入憑證時,例如密碼管理員的主密碼或設備的加密密碼, Diceware 口令密語是個好選擇。
舉一個 Diceware 口令密語的例子 `viewable fastness reluctant squishy seventeen shown pencil`
使用骰子來產生一組 diceware 口令密語,請按照以下步驟:
!!! 備註
這裏的說明假設您正使用[ EFF的大型單詞清單] (https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt)來生成密語,每個單詞需要骰子滾動五次。 其他單詞列表的單詞其骰子滾動次數不一,且可能需要不同單詞數量來達成相同的熵。
1. 將1~6 骰子滾動五次,記下每次出現的數字。
2. 例如,假設您滾動了 `2-5-2-6-6`。 查看 [EFF 的大型單詞清單](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) ,找出對應於 `25266` 的單詞。
3. 你會得到單詞 `encrypt`。 把這個詞寫下來。
4. 重複相同手續,直到您的口令密語達到足夠的單詞,請用空格分隔單詞。
!!! 警告“重要”
你* *不應* *重新滾動單詞,以取得自己喜好的單詞組合。 這個過程應該是完全隨機的。
如果您手邊沒有或不想使用真正的骰子,可利用密碼管理器內建密碼生成器,因為大多數密碼生成器除了普通密碼之外還可以選擇生成 diceware 口令密語。
我們建議使用 [EFF 的大型單詞清單](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) 來生成您的diceware 口令密語,因為它提供與原始列表完全相同的安全性,同時更容易記憶的單詞。 如果不想要使用英文密語,也有 [其他語言的單詞清單](https://theworld.com/~reinhold/diceware.html#Diceware%20in%20Other%20Languages|outline)。
??? 附註「diceware 口令密語的熵和強度的說明」
為了證明 diceware 密語的強度,我們將使用前面提到的七個單詞密語(`viewable fastness reluctant squishy seventeen shown pencil` )和 [EFF 的大型單詞列表] (https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt)作例子。
判斷 diceware 口令密語強度的衡量標準是確定它有多少熵。 diceware 口令密語中的個別單詞的熵為 $\text{log}_2(\text{WordsInList})$ 而整組密語的熵總量為 $\text{log}_2(\text{WordsInList}^\text{WordsInPhrase})$.
因此,上述列表中的每個單詞都會產生~ 12.9 位熵(($\text{log}_2 (7776) $) ,而其中取得七個單詞組成的口令密語就具有~ 90.47位熵 ($\text{log}_2 (7776 ^ 7) $ )。
[EFF 的大型單詞清單] (https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt)包含 7776 個獨特單詞。 要計算可能的口令密語數量,所要做的就是 $\text{WordsInList}^\text{WordsInPhrase}$ ,或者依我們的情況, $ 7776 ^ 7 $。
讓我們從這個角度來看:使用 [EFF 的大型單詞列表] (https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt)的七個單詞的口令密短約有1,719,070,799,748,422,500,000,000 種組合。
平均而言,至少要嘗試所有可能組合的一半來猜測您的密語。 考慮到這一點,即使對手每秒能夠猜測~ 1,000,000,000,000 次,他們仍然需要~ 27,255,689 年來猜出您的密語。 即使以下情況屬實,也是如此:
- 對手知道您使用 diceware 方法。
- 對手知道您所使用的具體單詞清單。
- 對手知道您的密語包含多少個單詞。
總而言之, diceware 口令密語是最佳選擇,當您需要既容易記住 ** 非常強大的東西。
## 儲存密碼
### 密碼管理器。
儲存密碼的最佳方式是使用密碼管理器。 可將密碼存儲在檔案或雲端,使用單個主密碼保護與開啟它們。 這樣,您只需要記住一個強大的密碼,就可以訪問其餘密碼。
有許多好的選項可參考,不管是雲端和本地設備安裝。 選擇任一推薦的密碼管理器,利用它為所有帳戶建立強密碼。 建議利用至少七個單詞的 [diceware 口令密語](#diceware-passphrases) 來保護密碼管理器的安全。
[推薦的密碼管理員列表](../passwords.md ""){.md-button}
!!! 警告: “不要將密碼和 TOTP 令牌放在同一個密碼管理器中”
當使用 TOTP 代碼作為[多因素驗證] (../multifactor-authentication.md)時,最好的安全措施是將 TOTP 代碼保存在[分開的應用程序] (../multifactor-authentication.md#authenticator-apps)中。
將您的 TOTP 令牌存儲在與密碼相同的位置,雖然方便,但假若對手可以存取密碼管理器,則帳戶安全驗證則減少為單一因素。
此外,我們不建議把一次性修復代碼存在密碼管理器。 它們應分開儲存,例如放在離線儲存設備的加密容器中。
### 備份
您應該將密碼備份 [加密](../encryption.md) 在 數個儲存裝置或雲端儲存服務。 如果您主要裝置或正在使用的服務出問題,這可以幫助您存得密碼。

110
i18n/zh-Hant/basics/threat-modeling.md Normal file
View File

@@ -0,0 +1,110 @@
---
title: "建立威脅模型"
icon: 'material/target-account'
description: 平衡安全性、隱私權和可用性是您在隱私權之旅中將面臨的首要和最困難的任務之一。
---
平衡安全性、隱私權和可用性是您在隱私權之旅中將面臨的首要和最困難的任務之一。 一切都要各方權衡:越安全的東西,它通常越受限制或越不方便。 通常,人們發現那些被推薦的工具的問題是它們太難開始使用了!
如果要使用**最安全**的工具,就必須犠牲許多*可用性*。 就算如此,也沒有什麼是完全安全的。有 **高** 安全,但從來沒有 **完整** 安全。 這就是為什麼威脅模型很重要。
**那麼,這些威脅模型究竟是什麼呢?**
==威脅模型,列出對您的安全與隱私可能造成的威脅。== 既然無法完全防範**每一次** 攻擊(者),請將精力放在 **最可能發生的** 威脅。 在電腦安全上,威脅指可能破壞您保持私密和安全努力的事件。
專注在對您認為重要的威脅,可縮小對所需保護的考慮,以讓您選擇出適合的工具。
## 建立您的威脅模型
為了分辨所重視的事物會發生什麼,保護它們必須避開哪些人,請回答以下五個問題:
1. 我想保護什麼?
2. 我想要保護它免受誰的侵害?
3. 我需要保護它的可能性有多大?
4. 若不幸失敗將帶來多嚴重的後果?
5. 我願意承受多少麻煩來防止潛在的後果?
### 我想保護什麼?
“資產”是你重視和想要保護的東西。 在討論數位安全時,資產通常是某種資訊。例如,您的電子郵件、聯繫人列表、即時消息、位置和檔案等都是可能的資產。 你的設備本身也可能是資產。
*列出您的資產:您保存的資料、保存的地方、誰可以取用它,以及阻止其他人使用它的原因。*
### 我想要保護它免受誰的侵害?
要回答這個問題,重要的是要找出誰可能會針對您或您的資訊。 對您的資產構成威脅的個人或實體即是“敵人”。潛在對手可能為:您的老闆、前任情人、商業競爭對手、政府或公共網路上的黑客。
*列出對手或那些可能想要獲取您的資產的敵人。 您的名單可能包括個人、政府機構或公司。*
根據對手是誰,在某些情況下,這份清單可能是在完成安全計劃後必須鎖毀的東西。
### 它需要被保護的可能性有多大?
==風險是指某個資產發生特定威脅實際的可能性。= =它與能力密切相關。 雖然您的手機供應商有能力訪問您的資料,但他們將私人數據散佈在網路以損您聲譽的這種風險發生機率很低。
重要的是要能區分可能發生什麼事和事情發生的概率。 例如,您的建築物可能會倒塌,但很常有地震的舊金山發生這種情況的風險遠遠大於地震並不常見的斯德哥爾摩。
評估風險既是私人的,也是主觀的過程。 許多人認為某些威脅是不可接受的,無關乎其發生的可能性,而是因它們根本不值得。 在其他情況下,人們忽視高風險,因為他們不認為威脅是問題。
*寫下你認真看待哪些威脅,哪些可能太罕見或無害(或太難以對抗)。*
### 若不幸失敗將帶來多嚴重的後果?
對手有很多方法可以取用您的資料。 例如,他們通過網路讀取您的私人通訊,或是刪除或破壞您的資料。
== 對手的動機差異很大,他們的戰術也是如此。==政府試圖阻止警察暴力影片傳播,簡單地刪除或減少該影片的可用性大概就可以。 相比之下,政治對手可能希望在您不知情的情況下,獲得您的祕密內容並發布。
安全規劃涉及了解若對手成功地取用您的資產後,會帶來多嚴重的後果。 要確定這一點,應該考慮對手的能力。 例如,您的手機供應商可以存取您所有的電話記錄。 公共 Wi-Fi 網路上的駭客可以訪問您未加密的通訊。 政府往往有更強的能力。
*寫下對手可能想用您的私人資料做什麼。*
### 我願意承受多少麻煩來防止潛在的後果?
==沒有完美的安全保障。==不是每個人都有相同的優先事項、關切點或可用資源。 您的風險評估能為您規劃正確的策略,平衡便利性、成本和隱私。
例如,在國家安全案件中代表客戶的律師可能願意全力保護該案件的相關通信,例如使用加密電子郵件,而常向女兒發送有趣貓咪短片的母親就不會想要加密。
*寫下您可用的選項,以幫助減輕您的獨特威脅。 ,如果您有任何財務、技術或社會上的限制,請予備註。*
### 自己試試:保護好您的財產
這些問題可以適用於線上和線下的各種情況。 示範這些問題如何運作,我們來制定一個保護您房屋和財產安全的計畫。
**您想保護什麼? ( 或者*)您有什麼值得保護的? (*)**
:
您的資產可能包括珠寶、電子產品、重要文件或照片。
**你想保護它免受誰的侵害?**
:
你的對手可能包括竊賊、室友或客人。
**您需要保護它的可能性有多大?**
:
您的社區發生過入室盜竊的案件嗎? 你的室友或客人可信任的程度? 你的對手有哪些能力? 應該考慮哪些風險?
**失敗的後果有多嚴重?**
:
你家裡有什麼東西是你無法取代的嗎? 您有時間或金錢來取代這些東西嗎? 是否已為家裏物品投保失竊險?
**你願意承受多少麻煩來防止這些後果?**
:
您是否願意為敏感文件購買保險箱? 你能買到高品質的鎖嗎? 您有時間在當地銀租用保險箱並將貴重物品存放在那裡嗎?
只有真正自問這些問題後,才能評估該採取哪些措施。 如果您的財產具有價值,但被入侵的可能性很低,那麼可能不想在防鎖上投資太多。 但是,如果被入侵的可能性很高,您會希望取得市場上最好的鎖並考慮添加安全系統。
制定安全計劃有助於了解您獨有的威脅、評估自己的資產、對手與其能力,以及您面臨風險的可能性。
## 延伸閱讀
針對希望提高線上隱私和安全性者,我們編制了一份本站訪客面臨的常見威脅或目標清單,為您提供一些靈感並展示我們建議的基礎。
- [共同目標與威脅 :material-arrow-right-drop-circle:](common-threats.md)
## 來源
- [EFF監控自衛您的安全計劃](https://ssd.eff.org/en/module/your-security-plan)

80
i18n/zh-Hant/basics/vpn-overview.md Normal file
View File

@@ -0,0 +1,80 @@
---
title: VPN 簡介
icon: material/vpn
description: 虛擬私用網路將風險從您的ISP 轉移到您信任的第三方。 你應該記住這些事情。
---
虛擬專用網路是將您的網路末端延伸到世界其它地方的一種方式。 ISP 可以看到網路終端設備(例如數據機)的網際網路進出流量。
HTTPS 等加密協議通常應用在網際網路,因此雖無法確切地知道您發布或閱讀的內容,但還是可以了解您所請求訪問的 [網域名](../advanced/dns-overview.md#why-shouldnt-i-use-encrypted-dns)。
VPN 可以提供幫助,將信任轉移到世界其他地方的伺服器。 因此, ISP只會看到您已連接到VPN ,而不會看到您正在傳遞的活動。
## 我應該使用 VPN 嗎?
**是**除非你已經在使用Tor。 VPN可以做兩件事將風險從網際網路服務提供商轉移到 VPN並將向第三方服務隱藏您的 IP 地址。
VPN 無法加密裝置與 VPN 伺服器之間連線以外的資料。 VPN 提供商可以像 ISP 一樣查看和修改您的流量。 而且沒有方式可以驗證 VPN 提供商的“無記錄”政策是否貫徹。
VPN 確實可向第三方服務隱藏您的實際 IP 但前提是IP 沒被洩漏。 它們有助您混在他人之中,以減輕基於 IP 的追蹤。
## 什麼時候不該使用 VPN
在 [身份已可辨識](common-threats.md#common-misconceptions) 的情況下VPN 就沒效用了。
這樣做可能會觸發垃圾郵件和欺詐偵測系統,例如您正試圖登入銀行網站。
## 那加密呢?
VPN供應商提供的加密僅發生在您的裝置與伺服器之間。 它保證此特定連結是安全的。 這比用未加密代理的更進一步,因為對手可以攔截您的設備和前述未加密代理之間的通訊並加以修改。 然而軟體或瀏覽器與服務供應商之間的加密並不是依此加密處理。
為了保持所瀏覽網站活動的私密和安全,您必須使用 HTTPS。 這將確保您的密碼、會話令牌和查詢對VPN提供商是安全的。 請考慮在瀏覽器中啟用「HTTPS everywhere」以減輕 [SSL Strip](https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf)等攻擊。
## 我應該將加密 DNS 與 VPN 一起使用嗎?
除非您的 VPN 服務商自行託管加密的 DNS 伺服器, **不要**. 使用 DOH/DOT (或其它任何 DNS 加密) 與第三方伺服器只有需信任更多實體,在安全隱私則**一點幫助也沒有** 。 您的 VPN 提供商仍可以根據 IP 地址和其他方法查看您訪問的網站。 您現在除了信任 VPN 供應商外,還得同時信任 VPN 供應商和DNS 供應商。
推薦加密 DNS 的常見理由是有助於防止 DNS 欺騙。 您的瀏覽器應該已經檢查了 [TLS 憑證](https://en.wikipedia.org/wiki/Transport_Layer_Security#Digital_certificates) 和 **HTTPS** ,並警告您。 如果沒用 **HTTPS**,則對手可以修改您的 DNS 查詢之外的任何東西,最終結果將沒太大差異。
**您不應把加密 DNS 與Tor**一起使用。 這將把您所有 DNS 請求引至某單一迴路,這會讓加密 DNS 提供商可對您消除匿名性。
## 我應該*同時* 使用 Tor 與 VPN 嗎?
撔 Tor 與 VPN 一起使用 ,您基本上創建了一個永久的入口節點,這類節點通常帶有與金錢相關追蹤痕跡。 這樣根本沒增加額外好處,反而明顯地擴大了連接時的攻擊面。 如果您希望向 ISP 或政府隱藏您的Tor 使用, Tor 內建一個解決方案Tor 橋接。 [閱讀更多關於Tor橋接以及為什麼沒必要使用 VPN](../advanced/tor-overview.md)。
## 如果我需要匿名怎麼辦?
VPN無法提供匿名性。 您的VPN提供商可知道您真實 IP 地址,並且通常有一個可以直接與您連結的金錢線索。 您不能依靠 VPN「無記錄」政策來保護您的資料。 請用 [Tor](https://www.torproject.org/) 代替。
## 提供Tor 節點的 VPN 提供商好不好呢?
不要使用此功能。 使用 Tor 的重點是不信任您的 VPN 提供商。 目前 Tor 只支援 [TCP](https://en.wikipedia.org/wiki/Transmission_Control_Protocol) 通訊協議。 [UDP](https://en.wikipedia.org/wiki/User_Datagram_Protocol) (在 [WebRTC](https://en.wikipedia.org/wiki/WebRTC) 中用於語音和影片分享,新的 [HTTP3/QUIC](https://en.wikipedia.org/wiki/HTTP/3) 協議等) [ICMP](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol) 和其他封包將被丟棄。 為了彌補這一點, VPN 提供商通常會引導全部的non-TCP 封包通過他們的 VPN 伺服器(您的第一個跳)。 [ProtonVPN ](https://protonvpn.com/support/tor-vpn/)的情況就是如此。 此外,使用此 Tor over VPN 設定時,您無法控制 Tor 其他重要的功能,例如 [隔離目標位址](https://www.whonix.org/wiki/Stream_Isolation) 為您訪問不同網域使用不同的Tor 迴路)。
該功能應被視為方便訪問 Tor 網絡的方式,而不是為了保持匿名。 為保持適當的匿名性,請使用 Tor 瀏覽器、TorSocks 或 Tor 閘道。
## VPN 何時有用?
VPN在各種情況下仍可能對您有用例如
1. **僅需**對網路連線服務商隱藏您的流量 。
1. 對 ISP 和反盜版組織隱藏您的下載(如 torrents
1. 從第三方網站和服務中隱藏您的IP 防止基於IP的追蹤。
類似這些情況或者如果您有其他令人信服的理由,可考慮使用我們所列出認為最值得信賴的 VPN 提供商。 使用 VPN 意謂著您 *方便* 這些服務供應者。 任何情況下,最好使用以安全為**設計理念** 的工具,例如 Tor。
## 資料來源和進一步閱讀
1. [VPN - a Very Precarious Narrative](https://schub.io/blog/2019/04/08/very-precarious-narrative.html) by Dennis Schubert
1. [Tor Network概述](../advanced/tor-overview.md)
1. [IVPN隱私指南](https://www.ivpn.net/privacy-guides)
1. [「我需要 VPN 嗎?」"Do I need a VPN?" ](https://www.doineedavpn.com)
IVPN 開發的工具,幫助個人決定 VPN 是否適合他們,以因應各式 VPN 營銷。</li> </ol>
## VPN 相關資訊
- [VPN 問題和隱私評論網站](https://blog.privacyguides.org/2019/11/20/the-trouble-with-vpn-and-privacy-review-sites/)
- [免費 VPN 應用程式調查](https://www.top10vpn.com/free-vpn-app-investigation/)
- [揭露隱身的 VPN 擁有者:由 23 家公司運營101款 VPN 產品](https://vpnpro.com/blog/hidden-vpn-owners-unveiled-97-vpns-23-companies/)
- [這家中國公司祕密支持24個尋求危險權限的流行應用程序](https://vpnpro.com/blog/chinese-company-secretly-behind-popular-apps-seeking-dangerous-permissions/)