全方位的安全指南

通过一些简单的方法，我们可以在不损失舒适性和性能的情况下增强设备的安全性，尽可能地避免泄漏敏感数据。

希望窃取我们数据的黑客或攻击者通常会有针对性地利用系统或者应用软件漏洞尝试突破设备的安全保护措施，获取系统的控制权，或者通过截取传输的数据等方式达到他们的目的。因而，我们很难能够百分之百地杜绝类似的攻击，但是我们可以通过一些简单的技巧，使用一些适当的工具，增强系统的安全性。而且，我们并不需要为此牺牲舒适性，相反，聪明的工具能够让我们更安全地登录和使用Web服务，更轻松地加密敏感的数据。

保护账户

账户是系统的门户，是存取数据的凭证，如果大门是敞开着的，那么任何人都可以窥探我们的数据。下面，CHIP将告诉大家如何完美地设置Windows和Web服务，确保我们的账户安全无忧。

Windows账户安全

在Windows 7中，登录账户的数据存储在电脑本地，微软无法访问它，但是在Windows 8和Windows 10中情况出现了变化：对于使用在线账户登录操作系统的用户来说，如果黑客破解了网上账户，那么他也能够访问我们的电脑，而大面积的网上账户泄漏在互联网上并不罕见。因此，使用本地账户登录Windows 8和Windows10是有必要的。要做到这一点，打开“设置”窗口，选择“帐户|你的电子邮件和帐户”，然后单击“本地帐户”，切换到本地账户操作。

但是，使用本地账户我们同样需要注意安全，首先，我们需要为账户设置一个安全的密码，避免可以物理访问系统的人访问我们的账户。其次，我们应该加密敏感度数据，在“数据加密”部分我们将告诉大家如何使用数据加密系统来保护自己的数据。

使用密码管理器

如何创建一个安全的密码呢？一般情况下，它应该超过8个字符，并且在系统允许的情况下，它应该包含字母、数字和特殊字符。

当然，更重要的是每一个账户都应该有一个单独的密码，但是安全的密码比较复杂，每一个账户设置一个足够安全的密码并记住实在不是一件容易的事情。解决这一问题我们有两种方法：其一是通过一个只有自己知道的格式为每一个账户创建不一样的密码，例如根据一个特定的规律将一组数字或者字符嵌入登录服务的名称，或者根据特定的规律替换网站的名称再加上一组数字和字符，总地来说就是让自己总能够想出账户的密码，但是每一个账户的密码却又完全不同；其二则是使用密码管理器，对于大部分用户来说，使用密码管理器是比较简单有效的方法，我们将只需要记住密码管理器的主密码，而将记忆其他密码的任务交给密码管理器。

理论上，密码管理器不应该是存储在本地的，并不是担心物理攻击泄密，而是本地存储介质很可能会出现问题而使得所有的密码有可能丢失，所以我们需要一个包含在线存储密码数据库的方案，例如使用LastPass（lastpass.com）。虽然数据存储在LastPass的服务器上，但是它是通过多层加密方案加密的，只有我们自己能够解密数据，即使LastPass公司也无法访问它们，因为软件在本地对数据库进行加密和解密。

清空记忆密码

在通过密码管理器管理之后，我们需要将以往使用其他应用软件记住的账户密码清除，例如许多浏览器会保存我们登录Web服务的密码和其他信息在一个单独的数据库中，虽然这些数据库通常也是加密保护的，但是仍是一个安全隐患。不希望将密码存储在危险的地方，最好删除已存储在数据库中的数据。不同的浏览器删除的方法不同，以Google公司的浏览器和Web服务为例，我们不必到浏览器和Google站点寻找相关管理，可以使用GoogleClean（www.abelssoft.net）进行清理，该工具的完整版本除了能够自动删除保存的密码之外，还可以自动搜索所有常用浏览器的Google服务，例如YouTube和Picasa的Cookie。此外，GoogleClean还能够删除所有网络公司的跟踪Cookie。

除此之外，它也可以为Chrome浏览器提供额外的安全设置，例如它可以让浏览器停止向Google发送报告。如果我们使用其他浏览器，那么我们可以使用AntiBrowserSpy（www.abelssoft.de），该工具适用于Firefox和Internet Explorer等常用的浏览器。

加密数据

在对账户进行必要的保护之后，接下来，我们需要考虑如何保护其他的数据，而加密将是最简单而有效的措施。

保护本地数据

可以的话使用VeraCrypt（veracrypt.codeplex.com）加密所有存储在本地硬盘上的数据是最佳的选择，VeraCrypt是一个基于此前著名的加密工具TrueCrypt开发的加密工具，它比它的前身提供更多的功能。

使用外部数据载体，我们可以使用VeraCrypt在驱动器上创建一个加密数据的容器。这些容器可以被加载到系统中作为一个虚拟的磁盘分区，而实际存储在数据载体上的只是一个单一的文件，加密容器中仅可以使用VeraCrypt通过正确的密码加载后访问。要创建一个容器，可以在VeraCrypt的主菜单中选择“Create an encrypted file container”，然后根据程序的说明和提示操作。

我们可以完全加密安装在电脑上的硬盘驱动器（包括Windows系统），这样做的优势在于，即使攻击者获得了对系统的物理访问权，他们也无法更改Windows密码并访问我们的数据。要做到这一点，在VeraCrypt中选择“Encrypt the system partition or entire system drive”选项即可。

保护移动设备

我们也应该在Android和iOS系统上加密整个系统来保护我们的数据，对于苹果的设备来说，默认采用该措施保护系统，就连美国联邦调查局都未能破解这种方式加密的数据。在一个广为传播的事件中，美国联邦调查局试图让苹果公司解密一个iPhone以获取证据而遭到拒绝。据安全专家介绍，美国联邦调查局调查人员确实无法直接破解这些加密的数据，但是据说他们可以通过暴力攻击法重建密码。为此，我们需要为自己的苹果设备创建一个相对复杂的密码，而不是使用简单的几个数字作为密码。只要密码足够复杂，在现有的设备条件下，美国联邦调查局将需要几十年才可能成功破解密码。不过，他们可以有另外一个选择，就是获取用户的iCloud备份数据，如果这些数据存在的话。因此，我们建议大家只使用iTunes桌面客户端创建本地备份，而iCloud可以关闭或者只同步一些无关痛痒的数据，并通过“设置”功能设置iCloud的备份数据。

Android设备这方面的情况有些复杂，大部分Android设备出厂时并不加密系统的数据，要激活Android的系统加密功能，我们需要通过“设置|安全|加密电话”进行激活。在加密保护系统安全之后，一定要注意记住密码，否则有可能因为丢失密码而无法访问所有的数据。

加密云数据

如果数据存储于云服务提供商（例如Dropbox）中，不排除有人可以查看这些数据，所以我们需要加密存储到云端的数据，例如使用Boxcryptor（www.boxcryptor.com）软件来保护存储在各种热门云服务商的数据。通过该软件来加密保护数据，我们只需要记住一个密码，即可通过软件访问加密的数据。安装Boxcryptor软件和移动应用程序到我们的所有设备中，它们将被集成到系统中，并在背景中自动加密和解密数据。此外，该公司说明，软件并不保存加密密钥。这意味着我们需要记住自己使用的加密密码，否则，所有的数据都将无法访问。

安全通信

在保护好账户并加密数据之后，我们唯一需要担心的就是在线冲浪的安全问题了。下面，CHIP将告诉大家如何隐藏自己以及如何避免黑客和其他窥探者窃取我们的在线数据。

匿名上网

要真正实现匿名上网，我们需要从网络连接开始着手。首先，我们可以使用虚拟专用网络（Virtual Private Network，简称VPN），不过，由于国内部分地区无法访问一些国外的站点，所以对于国内用户来说情况有点复杂。

幸好，VPN不是我们匿名上网的唯一途径，我们还可以有其他的选择，例如许多用户使用的免费匿名工具Tor。以Windows为例，我们可以使用Tor Browser套件（https：//www.torproject.org/projects/torbrowser.html.en）帮助我们直接通过Tor网络访问互联网。在下载页面单击“简体字（zh-CN）”可以下载中文版本，如果无法访问Tor网站，则可以尝试在互联网搜索其他的下载链接。Tor可以通过加密隧道连接几个不断变化的节点，通过级联式的代理使用户的IP地址基本上无法辨认。我们可以使用“http：//check.torproject.org”来检查自己使用Tor冲浪的状态，确定是否已经处于匿名状态。

安全地发送电子邮件

在情报机构要求的情况下，Gmail和雅虎这些美国的互联网服务商将允许他们访问用户的账户，而美国情报机构的监控范围是非常大的，与被监控人员有联系的人所联系的其他人也可能被纳入监控的范围，这意味着很可能有人可以轻松地访问我们的电子邮箱。因而，如果希望避免这些情况的发生，我们需要一个可以加密的电子邮箱，例如瑞士提供商Protonmail（protonmail.com）提供的邮件服务。使用该服务我们需要两个密码，第一个密码被用于保护账户本身，而第二个密码用于解密邮箱中的内容。通过两层的加密，Protonmail可以最大限度地保护电子邮箱的安全，但是需要注意，如果我们忘记了密码，那么所有的数据都将无法访问。即使瑞士服务提供商愿意将我们的数据交给我们，我们也无法解密数据。Protonmail的另一个优点是，它可以加密我们与其他人的通讯信息。对于其他Protonmail用户来说，这是一件简单的事情，不过，如果收件人不是Protonmail用户，那么Protonmail将发送一个链接。然后，用户可以通过这个链接建立与Protonmail服务器的加密连接，并安装提示获取加密的电子邮件。

避免拦截

除了电子邮件之外，即时通讯软件是另一个特别容易泄漏敏感信息的应用，因为即时通讯程序大部分采用明文来发送信息。为此，我们应该绝对避免在即时通讯应用中发送敏感信息，特别是在与其他人使用同一个无线网络或者局域网的情况下，登录到相同网络的用户可以很轻松地拦截我们的信息。如果确实有必要，那么我们可以使用WhatsApp之类的即时通讯工具，该软件的最新版本提供了一个终端到终端的加密功能。而对于我们常用的QQ之类的即时通讯工具，如果不希望自己的QQ聊天记录被传输到腾讯公司的服务器上，那么可以取消“登录QQ时同步最近聊天记录”的选项，还可以进一步地选择“退出QQ时自动删除所有消息记录”，又或者选择“启用消息记录加密”，避免本地聊天记录泄密。

交换数据

如果不希望其他人截取自己的通信，那么我们可以有各种的变化措施，例如我们可以使用LinkCrypt.ws加密链接地址，提交链接地址等信息，LinkCrypt服务器能够加密它们，只有使用正确的密码才可以看到真正的链接。不过，使用该服务有一个问题，那就是我们必须能够通过一个安全的通道（例如通过加密电子邮件）与接收人交换密码。

使用LinkCrypt我们需要用一个电子邮件地址进行注册，要添加链接，只需打开Web界面，然后通过“Create folder”输入链接数据和密码，即可获得一个加密链接，我们可以将该链接提供给需要它的朋友。

如果我们使用上面这些技巧，可以确信，黑客和情报机构将很难窥探我们的数据。而如果我们干脆停止在智能手机和个人电脑上使用互联网，那么可以获得更大程度的保护。当然，这已经影响到了我们的舒适性，但是我们也可以考虑在处理敏感信息的电脑上停止使用互联网。