保护你的敏感信息
目录
...加载目录...如果侵入者设法获得了你的设备,他们或许能够读取和改写你的数据。为了防止这些可能性,我们时刻都需要多几层防范措施。全盘加密你的设备以及加密设备中的文件是其中的重要一环。
加密是一种软件通过数学算法来打乱你信息的方式,只有你自己用解密的钥匙(采取密码或密钥的形式)才能破解读取其中的内容。所以,加密你的设备如同把你的信息放进保险柜里,保险柜的密码只有你自己知道。
按照下列步骤保护你设备上的数据。
请考虑把旧的数据删除
了解我们推荐这样做的理由
保存机密数据可能会增加你和你同事的风险。加密减小了这个风险,但不会令其消失。保护敏感信息的第一步是减少你需要保护的信息量。除非你无论如何也须要保存一个特定文件或一类特性信息,否则你应该将其删除。(参考如何销毁敏感信息了解如何安全地清除数据)。
了解一下在你的国家或地区加密是否被视为非法或可疑的举动
了解我们推荐这样做的理由
加密在一些国家被视为非法。如果你的国家将加密视为非法,下载、安装和使用加密软件也许会被视为犯罪行为。警察、军队,或情报组织也许会以你使用加密软件的行为作为借口来调查你的活动或迫害您的组织。不论你硬盘的加密分区中到底存了什么,也不论其中的内容在当地是否非法,你都有可能因为使用了加密而遭到怀疑。
因此,请查明你所在国家的执法部门如何看待加密,仔细考虑专门用来加密数据的工具是否适用于你的情况。
你可以从Global Partners Digital的世界加密法律法规地图开始查询你所在国家针对加密的法律情况。
如果你所在的国家或者你将要前往的国家没有将加密定为非法,你可以直接跳到想一想是否需要全盘加密你的设备的部分。
如果加密在你所在国家属于违法,请考虑以下替换选项
只保存不敏感的信息
- 阅读不要保存旧数据,而是要将其删除的部分来了解删除你不再需要的数据的好处。
- 阅读销毁敏感信息来了解怎样安全进行这项操作。
将信息保存在加密的云服务账号里
- 根据你的潜在威胁,想一想加密的云服务是否是明智的选择。尽管这些服务加密保护你的数据,并且将你的数据储存在攻击者可能难以侵入的服务器上,然而,一旦攻击者成功侵入这些服务器,由于你无从得知,他们会有更充裕的时间来破解你的数据。
使用密语系统
- 正常保存你的文件,但是请使用密语来标记敏感的名称、地点、活动,等等。
将信息保存在加密的移动硬盘上
你可以不在电脑中保存敏感信息,而是将其保存在U盘或移动硬盘上。有关如何全盘加密你的存储设备的更多内容请阅读考虑加密你的外部存储设备章节。
需注意的是,外部设备通常比电脑更容易丢失或被收缴,所以,将敏感信息保存在外部设备上也有风险。当需要加密存储数据于这些外部设备时,请确保使用难以猜测或攻破的强密码。了解如何创建强密码,请阅读创建与保存强密码章节。
请考虑加密你的整个设备
- 注意,全盘加密(FDE)只有当你的设备完全关机时才管用,在设备的睡眠模式下(又叫做“注销”或“休眠”),全盘加密并不管用。如果你的设备没有完全关机,一旦有人获取了你的设备,他们就会更容易读取或改写你的文件和通信。
安卓设备
大部分安卓10系统及以上的设备要求使用基于文件的加密。
检查的方法是,调出菜单找到系统设置>安全>加密和身份验证信息,选择加密或加密手机。请注意,不同手机的设置选项可能有不同的名字、在菜单的不同位置。
iOS设备
- 启用iOS设备时,当你设置解锁密码后,设备就会默认启用加密。
Linux设备
你只能在安装Linus系统时配置全盘加密,如果你的电脑没有启用FDE,你可能需要重新安装系统。在重新安装之前,请:
- 备份你的所有数据。因为一旦你重新安装操作系统,此前保存的所有数据都会被覆盖。
- 确保你的电脑连接到电源,以防安装过程中电脑关机。
- 安装过程中时刻保持网络连接,这样你才可以获得最新的Linux系统更新。如果你没有连接到网络,安装过程中会询问你连接可用的网络。
如果要安装Ubuntu,请阅读Ubuntu的官方安装教程。
你需要一个启动(bootable)U盘来进行安装。
- 选择适合你设备的Ubuntu指南来创建启动U盘:
macOS设备
Windows设备
你可以使用BitLocker来全盘加密你的Windows电脑。如果你的设备可以运行Windows 10或11的专业版、企业版,或教育版,你可以使用系统内置的设备加密系统。
- 有关BitLocker加密Windows电脑的更多内容,阅读Windows的官方指南
- 如需更多安全支持,阅读启用预启动BitLocker PIN码。
- 为旧型号的Windows设备加密
- 如果你遇到错误消息显示“该设备无法使用受信任的平台模块”,这意味着你的电脑没有进行加密操作需要使用的受信任的平台模块(TPM)芯片。但是,即使缺乏这个模块的芯片,按照下列操作配置BitLocker也可以加密电脑:
- 启动电脑。输入【gpedit.msc】,然后点击回车键。在新窗口中,双击操作系统驱动。
- 在这个窗口右手边的菜单栏里双击启动时要求额外的身份验证,一个新的窗口会弹出来。(注意:还有一个选项是“启动时要求额外的身份验证(Windows Server 2008和Windows Vista)”,_不要_选择这个选项。)
- 选择启用。请确保允许BitLocker不使用兼容的TPM(需要密码或实体U盘密钥)是开启的状态,然后点击【确定】。
- 关闭本地组策略编辑器窗口。
- 最后,你可以开启设备加密。
- 如果你遇到错误消息显示“该设备无法使用受信任的平台模块”,这意味着你的电脑没有进行加密操作需要使用的受信任的平台模块(TPM)芯片。但是,即使缺乏这个模块的芯片,按照下列操作配置BitLocker也可以加密电脑:
了解我们推荐这样做的理由
如果你的设备遗失、被盗,或被收缴检查其上的文件和通信,你需要采取措施保护你的数据。使用强密码或口令来全盘加密你的设备可以提供这种保护。
如果你的电脑不支持全盘加密,或者你倾向于使用免费开源工具来进行全盘加密,你可以使用VeraCrypt来加密你的整个设备。
请考虑加密你的整个外部存储设备
- 将敏感信息存储在U盘或移动硬盘等设备上也可以保护你最重要的数据不被搜查你电脑的攻击者获得。
- 注意,外部设备通常比电脑更容易丢失或被收缴,所以,请确保使用难以被猜测或破解的强密码来进行加密。阅读创建与保存强密码了解如何创建强密码。
- On desktops and laptops, your device may have built-in encryption options for external storage devices. Alternatively, you can use VeraCrypt to encrypt external storage devices.
Linux设备、macOS设备,和Windows设备
不管你使用的是哪种操作系统,你都可以使用VeraCrypt来加密外部存储设备保护敏感文件。你可以选择加密外部设备硬盘的某一分区或整个硬盘。
- 下载VeraCrypt
- 如何使用VeraCrypt
- 想要了解如何使用VeraCrypt全盘加密你的外部存储设备,请参考Lifewire的文章《如何加密闪存盘》
- 请考虑在移动模式下使用VeraCrypt,这样以来,任何搜查你电脑的人都无法发现你在使用VeraCrypt。
macOS设备
在macOS系统中,你可以使用内置的磁盘工具来加密你的外部存储设备。需注意的是,如果你选择了这一方案,加密后的设备只能通过macOS访问。
Windows设备
在Windows系统中,你可以使用内置的Bitlocker(仅限Windows10或11的专业版、企业版,以及教育版)来加密你的外部存储设备。需注意的是,如果你选择了这一方案,加密后的设备只能通过Windows系统访问。
Tails系统
Tails是一个通过U盘运行的操作系统,你可以将U盘连接在你的电脑上运行Tails。它时刻使用Tor来保护你的网络连接,并且关机后自动删除所有历史记录,不会在你的电脑上留下任何痕迹。此外,你还可以在U盘中创建一个加密分区来存储敏感信息,即使你遗失了这个U盘,或被收缴,任何人也无法获得加密分区中的信息。
- 了解更多有关Tails的内容。
- 了解更多有关Tails持久性存储的内容。
请考虑只加密特定的敏感文件
你的台式或笔记本电脑上也许有内置的加密工具对特定文件提供额外保护。或者,你可以在操作系统中使用Cryptomator来启用这层额外的保护,包括移动设备。你也可以使用VeraCrypt来加密电脑上的敏感信息,VereCrypt还可以隐藏你的加密文件夹。
了解我们推荐这样做的理由
有时候,设备上不敏感的信息不加密反而有用,这样一来,如果你的设备被搜查,因为可以看到上面保存了日常的文件和通信,就不会显得可疑。在这种情况下,只需加密特定的文件。
Microsoft Windows, Mac OS, GNU/Linux, Android 和 iOS 兼容程序
不管你是否需要加密电脑或移动设备上的文件,你都可以使用免费的开源应用程序Cryptomator,它是专门被开发用以保护你上传到在线存储平台的文件的,但也可以用来加密你设备上的文件。
阅读Cryptomator的官方使用说明,特别是电脑版入门指南。
Windows设备
macOS设备
- 在macOS系统中,你可以通过内置的“磁盘工具”创建安全磁盘映像来存储保护单个文件。
Linux设备、macOS设备,和Windows设备
你可以使用VeraCrypt建立加密文件保管箱来存储保护单个文件。
请考虑是否建立一个隐藏分区存储文件
了解我们推荐这样做的理由
当你的信息加密后,的确,其他人无法读取,但还是有人有可能看到这些加密信息的位置,并且会想方设法破解这些信息。对你不利的人也许会通过威胁、敲诈、审问,或是酷刑来让你就范,解锁你的加密信息。
VeraCrypt使你能够创建“隐藏分区”来规避这种风险。你可以创建一个与标准分区加密密码不同的密码,通过这个密码来打开隐藏分区。这样一来,即使入侵者对你的加密文件起了疑心,他们也无法发现隐藏文件的存在。
VeraCrypt将你的加密信息伪装成不那么敏感的隐藏数据(如音乐文件或普通文档),使之不受注意。基本上,通过分析是无法鉴别一个加密分区是否包含了隐藏分区的。如果一个入侵者与你对簿公堂,又或是威胁你交出你的密码,你可以把你标准分区的加密密码交给他们,这样他们就只会得到“诱饵”文件,而不会看到你想要保护的信息。
加密分区就如同是一个上锁保险箱里的暗格,而只有你知道你的保险箱有一个暗格。这使你的攻击者除了已经掌握的信息以外,无法从你这里获取机密,即使你不得不交出一个密码,这样做你也可以保护自己。所以加密分区给了你一个规避潜在危险的机会。但是切记,如果你所在的国家不允许合法使用加密,或者任何加密行为都会引起怀疑,那么这项措施对你的处境帮助并不大。
需要警惕的是,即使很多VeraCrypt的用户都不会使用隐藏分区,但调查你信息的人也许知道VeraCrypt隐藏信息的方式。就算你交出诱饵密码,他们也可能继续刨根问底。
你还必须确保你不会在隐藏分区打开的状态下离开你的设备,或者注意不要允许其他应用程序为隐藏分区内的文件创建了快捷方式,这些都会意外泄露你的隐藏分区。
保护你的加密文件夹或分区
卸载并断开加密文件夹或分区的连接
- 当你的VeraCrypt文件夹或分区处于“挂载”状态(这时你可以随时访问硬盘里的内容),你的数据有可能易受风险。当你不需要读取或修改文件夹或分区内的文件时,请将该文件夹或分区卸载。
- 如果你的加密分区或文件夹在U盘或外置硬盘上,请记住,单只是断开外部存储设备的连接并不能让加密分区立刻在系统里消失。不按程序断开连接还可能损坏存储设备中的数据。你需要先卸载分区或文件夹,然后在操作系统中选择弹出硬盘驱动,最后再将设备从电脑上拔出。注意,卸载分区之前,需要关闭这个分区内的所有文件。如果你正在编辑一个文档或图片,请先关闭文件或使用文件的程序,再卸载分区。反复练习几次直至熟练,以应对紧急情况的发生。
在以下所有情况中,确保卸载加密文件夹或分区并断开连接:
- 在你离开自己设备之前(不论你需要离开多久)。这可以确保在你离开期间,物理或远程入侵无法获得你的敏感文件。
- 在你将电脑调整到睡眠模式(又叫做“注销”或“休眠”)之前,不管你是要选择休眠的选项,还是要合上笔记本电脑。
- 在你允许他人接触你的电脑之前。当你带着笔记本电脑过安检或出入境时,请务必断开所有加密分区的连接,将电脑彻底关机。
- 在你往电脑上插入不受信的U盘或外接存储设备之前,哪怕是来自同事或朋友的设备。
保护你的设备不受恶意软件攻击
加密只有在无人监视的情况下才能保护你的文件。比如说,你输入解密密码时要确保不被监视。像间谍软件一类的恶意软件可以削弱你对文件和通信采取的任何保护措施。所以,你还需要按照盒中安全手册的如何防范恶意软件部分中的指导来提升设备的健康度。
不要在不受信的设备上访问你的加密文件夹或分区
- 对你不利的人也许会在你无法掌握的设备上(如网咖的电脑)安装恶意代码进行窃听,他们会用恶意代码窃取你的密码,入侵你的加密硬盘或设备上其它敏感信息。
了解我们推荐这样做的理由
还是参照“上锁的保险箱”的比喻,不管你的保险箱多么坚固,如果你的门忘了关,或者有人通过监控获得了你的保险箱密码,你的安保还是会大打折扣。
使用你信任的供货商和维修商
- 如果你购买的是二手设备,请你信任的专家彻底清除上面的数据并检查是否有恶意代码。
- 如果你认为有人具有一定资源和动机针对你,能够在你想要购买的设备上提前安装部署恶意代码,请谨慎考虑换到另一家你可以信任的卖家。
- 如果你的设备需要维修,请务必找你信任的维修商店或个人。
了解我们推荐这样做的理由
购买二手设备或将设备送修会给人机会窃取你的文件。二手设备可能会不幸带有恶意软件或间谍软件,所以如果条件允许,最好还是购买全新的设备。有些维修商因窃听设备和拷贝贩卖设备上的信息而臭名昭著。选择维修商时一定要选择你信任的。
如果你是个知名的公众人士,最好还是不要直接与维修方对话,请选择你信任的人与维修方联络,这样可以降低维修方对设备上的数据的好奇心。