一个很多人没做但很简单的事去搜索一下自己的真实姓名、手机号、家庭住址看看哪些信息已经公开在网上。知道自己的暴露面才知道要重点保护什么。haveibeenpwned是免费、靠谱、隐私友好的数据泄露查询工具。安全防护不追求完美追求的是让攻击者的成本高于你的价值让他们去找更容易的目标。一、账号密码密码最高优先级绝大多数泄露从这里开始 每个账号使用唯一密码绝不复用一个平台泄露 → 攻击者用同样的密码自动撞库所有平台撞库攻击。重复密码是最常见的账号失陷原因。 使用密码管理器不要用浏览器自带的记住密码推荐Bitwarden开源免费、1Password、KeePassXC本地离线。密码管理器可生成 20 位以上随机密码你只需记住一个主密码。推荐密码格式随机字母数字符号≥16位⚠️ 查询自己的邮箱是否已在泄露数据库中访问 haveibeenpwned.com 输入邮箱立即知道你的账号是否已在历史数据泄露中出现并查看涉及哪些平台立即更换那些平台的密码。 安全问题“你妈妈的名字”是密码的后门。用密码管理器生成随机答案并存入其中不要用真实信息回答。双重验证2FA密码泄露后的最后防线 使用 TOTP 验证器不要用短信验证码短信验证码可被 SIM 卡劫持换卡攻击截获。推荐AegisAndroid开源、RaivoiOS、Google Authenticator。为所有重要账号开启。 条件允许时使用硬件密钥YubiKey物理密钥是目前最强的 2FA 方式无法被网络钓鱼截获。适合高价值账号主邮箱、GitHub、云平台管理账号。 备份 2FA 恢复码离线保存开启 2FA 时平台会给恢复码打印出来存放在安全地方不要截图存在手机相册。丢失手机后可用恢复码找回账号。邮箱所有账号的主根重中之重 主邮箱使用最强密码 硬件 2FA绝不对外暴露主邮箱是“万能钥匙”——任何平台都可以通过“找回密码”发邮件来重置账号。主邮箱被攻破 所有账号被攻破。二、设备系统操作系统与软件更新这几周 Linux 四大漏洞的教训 开启自动更新不要推迟系统安全补丁补丁公开后攻击者立即开始扫描未更新的设备。从漏洞公开到被大规模利用窗口期有时不足 48 小时。“等过一段时间再更新” 在已知的高速公路上裸奔。 手机系统也必须保持最新不使用已停止更新的老系统Android 和 iOS 每月都有安全补丁。停产设备如 Android 10 以下、iOS 15 以下不再收到安全修复是攻击者的首选目标。️ 删除不用的应用减少攻击面每个安装的应用都是潜在的漏洞入口。定期审计手机和电脑上的应用删除长期未使用的。设备锁定与加密 手机设置强 PIN 码≥6位不用纯数字生日指纹/面容识别方便但可被物理胁迫绕过。出入高风险场合海关、抗议活动等前切换到 PIN 码模式。️ 开启磁盘全盘加密WindowsBitLocker专业版/企业版/ VeraCrypt免费开源。MacFileVault系统偏好设置中开启。iOS/Android新设备默认开启。电脑丢失或被盗时数据不会被直接读取。 物理遮挡摄像头麦克风权限最小化贴摄像头贴纸笔记本。定期检查手机 App 权限设置 → 隐私 → 摄像头/麦克风撤销所有非必要授权。备份与恢复灾备是安全的一部分 遵循 3-2-1 备份原则3份副本 → 2种不同介质本地硬盘 云端 → 1份离线/异地。勒索软件攻击后有备份的人可以直接恢复没有备份的人只能支付赎金或丢失数据。三、网络行为公共 Wi-Fi危险区务必警惕⚠️ 公共 Wi-Fi 下不做任何敏感操作咖啡厅、机场、酒店 Wi-Fi 可能是攻击者架设的“蜜罐”Evil Twin Attack。不要在公共 Wi-Fi 下登录银行、邮箱、公司系统。 公共网络下使用可信 VPN仅作为临时保护VPN 加密本地到服务器之间的流量防止中间人监听。选择有明确无日志政策且经过独立审计的 VPN如 Mullvad、ProtonVPN。注意VPN 不是万能的服务商可以看到你的流量。⚠️ 免费 VPN 的盈利方式通常就是出售你的流量数据。免费 VPN ≈ 换了一个监控你的人。浏览器你的行为数据工厂 安装 uBlock Origin 广告/追踪器屏蔽插件屏蔽跨站追踪器阻止广告平台建立你的行为画像。同时还能阻断部分恶意脚本Malvertising。Firefox uBlock Origin 是目前隐私保护最强的组合之一。 定期清除 Cookie使用隐私模式浏览敏感内容Cookie 是跨网站追踪的主要手段之一。敏感搜索医疗、法律、财务在隐私窗口中进行关闭后不留痕迹。 日常搜索改用隐私搜索引擎Google 记录所有搜索历史并关联到你的账号。替代品DuckDuckGo、Brave Search、SearXNG可自建。不会建立你的搜索画像。DNS被忽视的追踪入口 改用加密 DNS防止运营商记录你访问的域名默认 DNS 是明文的运营商可以看到你访问了哪些网站即使用了 HTTPS。替代方案Cloudflare 1.1.1.1加密 DNS、Mullvad DNS、NextDNS可过滤追踪域名。系统设置 → 网络 → DNS → 改为 1.1.1.1 或 9.9.9.9四、社交隐私钓鱼攻击识别目前最主要的攻击手段 收到任何“点击链接/扫码/提供验证码”的消息先停下来验证钓鱼邮件/短信通常伪装成银行、快递、税务、微信客服、平台封号警告。核心识别方法① 链接域名是否正确看仔细如alipay.comvsalipaypay.com② 是否制造紧迫感“立即操作否则封号”③ 是否索要验证码任何人都不应该要你的验证码 不随意扫来历不明的二维码二维码可指向恶意网站、触发自动下载、或直接发起支付请求。公共场所餐厅、停车场的二维码可能被替换过。️ AI 语音克隆已经出现不要只凭声音相信“熟人”2026 年 AI 可用不到 3 秒的音频样本克隆任何人的声音。接到“家人出事急需转账”的电话挂断后用另一个方式主动联系核实不要在同一通话中转账。社交媒体你暴露的比你想象的多 定期审查社交账号的隐私设置微信朋友圈设置为“仅三天可见”或“仅好友”关闭“附近的人”关闭“通过手机号/QQ 号找到我”。微博/抖音关闭精确位置设置账号为半公开或私密。 不在照片/视频中暴露精确位置照片的 EXIF 元数据包含 GPS 坐标。发送图片前用工具去除 EXIFiOS 默认去除Android 需手动。不要晒实时位置、家门口、车牌号、门牌号。 不同平台使用不同昵称防止跨平台画像关联使用同一个昵称注册所有平台攻击者可以搜索该名称关联出你的真实信息、工作单位、日常行踪。通讯加密聊天内容不落入第三方✉️ 敏感通讯使用端对端加密应用Signal最高安全级别开源默认端对端加密是目前公认最安全的即时通讯工具被安全研究员、记者、律师广泛使用。注意Telegram 默认聊天不加密只有“秘密聊天”才是端对端加密。五、AI时代特有AI 生成的攻击更逼真、更精准、更难识别 AI 可以生成完美无错别字的钓鱼邮件过去钓鱼邮件可以靠“语法错误”识别。现在 AI 可以生成流畅自然、个性化的诈骗内容甚至能模仿你上司的写作风格。判断标准变了不再是“写得好不好”而是“索要的行动合不合理”。 Deepfake 视频/语音建立家庭暗语和家人约定一个只有你们知道的“安全词”用于电话/视频中验证身份真实性。任何紧急情况下要求转账时必须先验证安全词。 不要向 AI 工具输入真实的敏感个人信息向 ChatGPT、Claude 等 AI 输入的内容可能用于训练或被存储。不要输入真实姓名证件号组合、完整银行卡信息、私密医疗记录、商业机密。需要处理时用占位符替换敏感字段后再输入。 定期“谷歌自己”了解自己的网络暴露面搜索你的真实姓名、手机号、邮箱、家庭住址看看哪些信息已经公开。发现不应公开的信息时向平台申请删除欧盟用户有 GDPR“被遗忘权”国内可向平台投诉。 数据经纪人Data Broker收集并出售个人信息。可以使用 DeleteMe付费或手动向各平台发送删除请求来减少自己的公开信息足迹。数据最小化原则少给少暴露 注册时只填必填项用假信息填写非必要字段一个购物 App 不需要知道你的真实生日。用假生日、假地址填写非关键字段减少数据泄露时的损失。六、自检清单安全防护分当前得分0 / 134需要立即改善基础层每项 10 分共 60 分- [ ] 所有重要账号密码已唯一化没有重复密码 - [ ] 正在使用密码管理器 - [ ] 主邮箱已开启 2FATOTP 验证器非短信 - [ ] 手机、电脑系统已是最新版本 - [ ] 电脑已开启全盘加密BitLocker / FileVault - [ ] 已在 haveibeenpwned.com 查询邮箱并处理了泄露账号进阶层每项 8 分共 40 分- [ ] 浏览器安装了 uBlock Origin - [ ] 社交账号隐私设置已审查并收紧 - [ ] 已告知家人 AI 语音/视频诈骗的识别方法 - [ ] 有 3-2-1 备份方案 - [ ] DNS 已改为加密 DNS高阶层每项 6 分共 24 分- [ ] 使用 Signal 或同等端对端加密通讯工具 - [ ] 和家人约定了“安全验证词” - [ ] 已“谷歌自己”并清理了不必要的公开信息 - [ ] 不向 AI 工具输入真实敏感信息