​ 有这么多的公司和网站提供帮助个人提高数字安全的工具,你如何选择适合自己的工具?我们并没有一个万无一失的工具列表来保护您(尽管您可以在我们的工具指南中看到一些常见的选择)。但是,如果您很清楚要保护的是什么,以及要保护的对象是谁,那么本指南可以帮助您使用一些基本的指导原则来选择适当的工具。

请记住,安全性与您使用的工具或您下载的软件无关。 首先要了解您面临的独特威胁以及如何应对这些威胁。 查看我们的评估您的风险指南以获取更多信息。

安全是一个过程,而不是购买

密码意味着被记忆或以其他方式受到保护并保密,并且意味着限制对某些内容的访问,以便只有知道密码的人才能获得访问权限。 它可能会限制对在线帐户,设备或其他内容的访问。 基于多个单词的长密码也可称为“密码短语”,以提醒我们它不仅仅是一个“单词”。 主密码是用于在密码管理器或密码安全应用程序中解锁其他密码的主密码。

​ 在改变你使用的软件或购买新工具之前,首先要记住的是,任何工具或软件都不会给你绝对的保护,使你在任何情况下都不会受到监视。因此,从整体上考虑您的数字安全实践非常重要。例如,如果你在手机上使用安全工具,但不在电脑上输入密码,手机上的工具可能对你没有多大帮助。如果有人想了解你的信息,他们会选择最简单的方式来获取信息,而不是最难的方式。

​ 其次,不可能防范各种技巧或攻击者,所以你应该专注于哪些人可能想要你的数据,他们可能想要什么,以及他们如何获得它。 如果您最大的威胁来自私人调查员无法访问互联网监控工具的物理监控,您无需购买一些声称“NSA-proof”的昂贵加密电话系统。 或者,如果你因为使用加密工具而面对一个经常监禁持不同政见者的政府,那么使用更简单的策略可能是有意义的 - 比如安排一套无害的,预先安排的代码来传达信息 - 而不是冒险留下你的证据 在笔记本电脑上使用加密软件。 计划防范的一组可能的攻击称为威胁建模。

综上所述,在下载、购买或使用某个工具之前,您可以询问一些关于该工具的问题。

它有多透明?

安全研究人员坚信开放性和透明度会带来更安全的工具。

数字安全社区使用和推荐的大部分软件都是开源的。 这意味着定义其工作方式的代码可供其他人公开查看,修改和共享。 通过对其程序的工作方式保持透明,这些工具的创建者邀请其他人查找安全漏洞并帮助改进程序。

开源软件提供了更好的安全性的机会,但不保证一定安全。 开源优势部分依赖于技术人员实际检查代码的社区,对于小型项目(甚至是流行的,复杂的项目),可能很难实现。

在考虑一个工具时,查看其源代码是否可用,以及是否有独立的安全审计来确认其安全性的质量。至少,软件或硬件应该有详细的技术说明,说明它是如何工作的,供其他专家检查。

它的创造者对它的优点和缺点有多清楚?

没有软件或硬件是完全安全的。与那些对产品的局限性诚实的创造者或销售者一起寻找工具。

表示代码为“军用级”或“NSA证明”的一些声明是危险信号。 这些陈述表明创作者过于自信或不愿意考虑其产品中可能存在的缺陷。

因为攻击者总是试图发现新的方法来破坏工具的安全性,所以需要更新软件和硬件来修复漏洞。如果创作者不愿意这样做,这可能是一个严重的问题,要么是因为他们害怕负面宣传,要么是因为他们没有为此建立基础设施。寻找愿意做这些更新的创作者,并且诚实和清楚他们为什么这样做。

衡量工具制造商未来行为的一个好指标是他们过去的活动。如果该工具的网站列出了以前的问题和定期更新的链接,以及从软件上次更新到现在的具体时间等信息,那么您可以更有信心,他们将在未来继续提供这项服务。

如果创作者受到威胁,会发生什么?

当安全工具制造者构建软件和硬件时,他们(就像您一样)必须有一个明确的威胁模型。最好的创造者在他们的文档中明确地描述了他们可以保护你不受什么样的敌人的伤害。

但有一个攻击者,许多制造商不想考虑:他们自己! 如果他们受到攻击或决定攻击他们自己的用户怎么办? 例如,法院或政府可能会强迫公司移交个人数据或创建一个“后门”,以取消其工具提供的所有保护。 因此,请考虑创作者所在的司法管辖区。 例如,如果你担心保护自己免受伊朗政府的侵害,一家总部位于美国的公司将能够抵制伊朗法院的命令,即使它必须遵守美国的命令。

即使创作者能够抵制政府的压力,攻击者也可能会试图闯入工具制造者自己的系统以攻击其客户。

最有弹性的工具是那些认为这可能是攻击的工具,并且是为了防御这种攻击而设计的。寻找断定创建者不能访问私有数据的语言,而不是承诺创建者不会访问私有数据的语言。寻找那些以反对法院个人数据命令而闻名的机构。

是否在网上被召回或批评

销售产品和热衷于宣传他们最新软件的公司可能会被误导,原本安全的产品在未来可能会有可怕的缺陷。确保你对你使用的工具的最新消息保持了解。

一个人要跟上工具的最新消息需要做大量的工作。如果你有同事使用某一特定的产品或服务,请与他们一起工作,随时了解情况。

我应该买哪种手机? 哪台电脑?

安全培训师经常被问到:“我应该购买Android还是iPhone?”或“我应该使用PC还是Mac?”或“我应该使用什么操作系统?”这些问题没有简单的答案。 随着新漏洞的发现和旧漏洞的修复,软件和设备的相对安全性不断变化。 公司可以相互竞争,为您提供更好的安全保障,或者他们可能都受到政府的压力,以削弱这种安全性。

然而,一些一般性的建议几乎总是正确的。当你购买设备或操作系统时,用软件更新来更新它。更新通常会修复攻击可以利用的旧代码中的安全问题。请注意,一些旧手机和操作系统可能不再受支持,即使是安全更新。特别是,微软已经明确表示,Windows Vista、XP和更低版本将不会收到对甚至严重安全问题的修复。这意味着,如果你使用这些,你就不能指望它们会受到攻击者的攻击。10.11或El Capitan之前的OS X也是如此。

既然您已经考虑过所面临的威胁,并且知道在数字安全工具中寻找什么,那么您可以更自信地选择最适合您的独特情况的工具

监视自卫中提到的产品

我们尝试确保SSD中提到的软件和硬件符合上面列出的标准。 我们一直致力于仅列出以下产品:

  • 在我们目前对数字安全的了解方面有扎实的基础,
  • 通常对他们的操作(及其失败)是透明的,
  • 防止创作者自己受到损害的可能性,以及目前正在维护,拥有庞大且技术知识丰富的用户群。

​ 我们认为,在撰写本文时,他们已经有广泛的受众正在审查他们的缺陷,并会迅速引起公众的关注。 请理解我们没有资源来检查或独立保证其安全性。 我们不认可这些产品,也不能保证完全的安全性。

翻译自:https://ssd.eff.org/en/module/choosing-your-tools#1