不是名人你也不安全

　　关于数字安全一个常见的论调是，“我又不反动，有什么好怕的”。

　　的确，“天马”太贵了，不是重点目标，大概不会有人花十几万来获取你手机上的信息。（如果你还担心，可以用这个应用查一下）

　　但没人知道下一个系统漏洞会被什么人发现，下一个互联网公司的服务器会被什么人攻破。

　　不是每个黑客都像 NSO 公司有能力把武器高价卖给政府。要是下一个高危漏洞被一个急着换钱的黑客找到，可能就会变成一个大批量攻击的工具。

　　被人看短信、丢一个社交网络的密码或者邮箱密码，听上去可能不是特别大的事。但通过这些信息，攻击者有可能获得你的身份证号码、人际关系、出行计划，并将它们卖给诈骗者。

　　极少有人会相信中奖打 10 万过去的随机诈骗短信。但当骗子知道足够多的信息，而你又恰好在压力很大的时候，被骗的可能性就会大大增加。

　　比如“网购订单支付出现问题”、“你乘坐的航班被取消，请联络 xxx”的诈骗短信都屡屡成功。

　　这么做你的信息会安全一点

　　不要为省几块钱越狱。

　　收到提示后，及时升级操作系统。厂商的安全人员再努力也架不住你不升级系统。

　　不回复任何类似验证码的信息，有用户被人利用验证码的回复攻破了手机号码，偷走了所有存款。

　　不要使用相同的密码。近期 Dropbox 重置了一大批用户的密码，这些用户是 2012 年以后就没改过密码的人群，Dropbox 认为他们的账号有被撞库侵入的风险。

　　至少保住最关键的账号。很少有人能记得几十个复杂密码，你可以给特别不重要的服务都用相同的简单密码。但确保最关键的账号，比如支付宝、微信、Gmail、苹果账号用上不同的密码。

　　用 1Password 之类不上传到服务器的工具管理多密码，或者使用一种黑客永远也没法攻破的工具——拿笔写在本子上。

　　使用两步验证或者授权验证登陆。尽管通过短信的两步验证也有被攻破的风险，但有它远比没有安全。使用苹果设备的要开启 two-factor 双重验证。

　　付款尽可能使用跳转到支付宝和微信的应用支付、少填银行卡号。今年一月，凯悦酒店集团的系统被黑客攻破，数百万客户的信用卡卡号和 CVV 码泄露——足以制卡盗刷，不需要支付密码。

　　海淘或为海外互联网服务付费的时候，尽量用 Paypal、Stripe、亚马逊之类的渠道支付，减少信用卡信息泄露的可能。

　　对于不常用的海外互联网服务，可以考虑买充值卡消费——同样是为了减少信用卡信息泄露。

　　注册互联网服务的时候尽量用邮箱，而不是更方便的手机号登录。当手机号和其它个人信息一同泄露，有可能帮助诈骗者编出更好的故事。大多数公司的短信验证都调用第三方服务，即便你相信自己注册的服务品牌，也没理由相信提供短信验证的公司。

　　如果实在不想用邮箱注册，微信也能提高安全性，它的登陆系统只授权名字和头像，对方能获得的信息比较少。

　　总之，填个人信息的时候不要那么实诚。在非绝对必要的情况外，少填真实个人信息，信息越多越容易被社会工程学利用。