支付宝又成了热点
因为产品流程设计的漏洞,用户的好友可以比较容易地重设密码登入用户本人的账号。虽然还有支付密码一道关卡,但登入支付宝账号本身也已经很骇人了。就我所见,这个漏洞相当容易被利用,而且我和身边不少朋友确实因此瞬间删光了所有的支付宝好友。
“辛辛苦苦好几年,一夜回到解放前”,这一刻非常适合形容支付宝在社交上的努力。
支付宝可以辩解说,出现这样的问题实属偶然,但它也有必然之处。因为支付宝原本的定位是支付工具,是与金钱相关的,即便放下身段做社交,其基本设定和用户认知,仍然脱不开支付和金钱的影子。
做社交的产品经理,在设计每项功能、每套流程时,都要背负着“支付和资金安全”的责任,难免不堪重负,百密一疏(甚至远不止一疏)。微信支付则是在“不那么要紧的大环境里圈出一块保护严密的地盘”,明显容易很多。即便用户微信账号被盗,只要没有朋友被骗,一般人也只要求找回来就可以。
这个问题之前我在盛大创新院遇到过,当时盛大希望把游戏账号用作互联网服务的公共通行证时,同样感觉举步维艰,因为技术复杂度远远超过互联网服务的通行水平。然而,游戏账号又承载着无数用于成千上万真金白银的投入,必须足够复杂安全,不许有任何闪失……
当然,今天文章的主题不是支付宝,而是:谈谈数字时代如何保护个人隐私
去年有一本书我很喜欢,名字是《火的礼物》,讲述了计算机带来的一系列伦理问题。我印象最深的观点是,在计算机的世界里,信息的低成本复制和高速流动带来了巨大的便利,也造成了巨大的风险——你无法控制信息被谁复制,也无法控制信息流向何方。但是,我们的生活分明又要求控制信息的复制和流动,来保护自己的隐私。
下面我介绍一些简单的保护隐私的实践技巧,供大家参考
记密码规则,而不是密码内容
已经有无数文章提醒我们,不要把所有密码设成一样的。但还是有无数人“勇敢”地把密码设成相同的,理由是“怕忘记”。看来,我们需要一种容易记忆,又能造成差异化密码的做法。一个不错的办法是记住规则,每次临场“算出”密码。
假设我们需要分别记住建设银行、招商银行的密码,可以这样做:“建设”的拼音是jianshe,拿出你的手机,切换到拨号键盘,除了1,2-9的按钮上都有对应的字母,取前6个字母jiansh对应的数字,得到的就是密码542674。同样的,招商银行的密码就是zhaosh对应的942674。如果还嫌不够复杂,可以混杂卡片的尾数。如果尾数是31,则542674可以变为354261,942674可以变为394261。
这样做,第一保证了密码的不同,第二保证了容易推导(几乎不需要记忆)。除非有人处心积虑要破解你的各种账号,否则即便知道你的某个密码,也无法用撞库法进入其它账号。能做到这一点,你的账号安全等级就已经强于绝大多数人了。
重要密码写在纸上
对,你没有看错,重要密码写在纸上,不要记在电脑里,哪怕拍成照片也不要。
如果不是刻意转换,写纸上的信息和数字化的信息,还是互相绝缘的两个世界。把重要密码写在纸上,就杜绝了密码信息在数字世界里被复制和传输的可能。而且你最好写得隐秘一点,收得隐秘一点,这样即便家里被盗,贼也不会把你的密码纸和数字世界里的隐私、财富关联起来。
使用两个手机号
在这个时代,手机号已经承载了越来越多的职能,广泛的用途之一就是用作账号。可惜的是,传统的账号并不会像今天的手机号那么公开,那么容易获得,那么容易和地域关联,那么容易和人对应。如果用手机号做账号,破解的复杂度立刻就降低了很多。
所以我的建议是使用两个手机号。一个用来与人联系,一个专门留给银行等重要服务,坚决不要对其它人公开号码,也不要图省事让其它人转账时以这个手机号为账号。
如果你嫌麻烦,没有双卡双待的手机,或者不愿意带两台手机,也可以在运营商那里设定短信和电话的自动转发功能。
对银行账号做区分
我知道有很多人图省事,只有少数几张银行卡,既用它们来收款,也用它们来管理自己的主要财富。风险就是,既然公开了这个银行卡号来收款,其它人只要定向破解这个银行卡号,就掌握了你的大笔财富。
所以我的建议是设定专门的收款账号,形成单向资金流。它们只用于对外收款,并且可以作为第三方被自己的其它银行账号收款。款收到以后,就利用自己的其它银行账号做第三方资金归集,把钱转账到自己的主账户。这样即便收款账号被破解,里面也没有多少钱,而且因为资金流出不是主动转账,所以在这个账号里钱的去向是看不详细的,也就避免了被顺藤摸瓜的可能。
另一方面,最主要、存放钱最多的主账号,不要和微信、支付宝等等第三方绑定,甚至不要开启手机网银,也不要开启身份证号登录,只能使用专业版网银来操作。要在最重要的账号上操作,坚持回到安全的网络环境下用自己的电脑——这个要求并不过分。
创建自己的邮箱和别名
已经有很多人说过,邮箱要做区分,用来注册账号、接收账单的邮箱,不要和对外联系的邮箱混用。但是能做到的人很少,大家总觉得登录多个邮箱太麻烦,管理邮件也很头痛。用别名是个好办法,可惜现在的公共邮箱服务很多都没有提供别名服务,自己搭建邮件服务器又不可行。
有个很简单的办法,就是使用免费的企业邮箱。其前提是去买一个自己的域名。现在域名已经很便宜了,最便宜的每年几块钱,一般的也只要几十块钱。买下来之后,去腾讯或网易或谷歌申请免费企业邮箱,然后就可以随心所欲地享受企业邮箱的各种好处了。
假如你的企业邮箱账号是 tom@myemail.co,你可以设定谈广告的别名 ad@myemail.co,收账单的别名 bill@myemail.co,合同存档的别名 stub@myemail.co…… 这些别名只能用来收邮件,而不能用来登录,公开出去的唯一风险是收到垃圾或者钓鱼邮件,绝对不会有被直接破解的可能。