我一直给人说,信息安全方面最忌讳的就是 whataboutism ,你不能因为在某个地方存在短板就不去做另一件事,就像是你不能因为政府把控着所有的个人信息并且经常有泄露就完全放弃使用强密码、不同账号不同密码、使用假名等方式来增加密码安全性(也许这个例子不是很恰当)。注重安全不意味着必须要追求百分百的安全,而是意味着在可以承受的代价范围内尽可能地追求安全。————这是针对你的“但是实际上也没啥卵用。”和帖子里觉得注重安全没意义的回复。
其次是对于隐私保护的整体概念。东一锤子西一榔头地光凭想象来保护自己的隐私是一种很低效又很内耗的行为,甚至可能造成付出大量成本却牺牲了便利性的结果。隐私保护是一个宗旨,但不是最终目标,你最好构建好可以量化的你希望达到的目标。比如说你希望尽量减轻被盗用账号的风险,那么你就能快速开始评估资产、脆弱性、威胁。在这个案例里资产是你的密码,威胁来自于密码泄露、撞库、爆破等,体现出的脆弱性就是密码存放于哪些位置、密码复用程度、密码复杂度等。然后你就可以有针对性地通过使用 1password 等密码保护工具来实现 0 密码复用度,强密码等安全措施,最后判断下残余风险是否可接受。
风险评估是我觉得整个信息安全体系里最重要的一部分,同时对于个人来说也非常有借鉴意义。 |
