本文已更新。最初发布于2018年5月4日。
你的电脑并不像你想象的那么安全。如果你用它来存储敏感信息——比如税务表格、法律文件和其他文件——你需要采取额外的措施来保护这些数据免遭窥探。
保护电脑上的文件
将敏感文件存放在电脑上比堆积如山的纸质文件放在文件柜里方便得多。但就像你用钥匙锁文件柜一样,你需要锁定这些数字文件,这样小偷和黑客就无法访问它们。尽管你可能认为,一个普通的用户名密码是不够的。如果有人能够访问你的设备,他们就可以很容易地通过免费且易于获得的软件找到并窃取你的文件。
[相关:使用端到端加密保护你的Zoom通话]
为了真正保护敏感文件,你需要加密。这项技术使用复杂的算法来搅乱数据,只有拥有密钥(在这种情况下是密码)的人才能查看未乱码的版本。如果有人偷了你的电脑,他们会看到文件,但没有密码,它的内容看起来就像一堆乱码。
Windows和macOS都有内置工具可以加密你的文件,并将你的用户账户密码视为密钥。这样,你输入密码的方式和你一如既往,但它在后台做了很多工作来锁定你的文件。
在macOS上
Mac用户很方便:从系统偏好设置 > 安全性与隐私 > 文件保险箱中打开FileVault功能。这将加密你的整个硬盘驱动器,防止任何人访问你的文件,除非他们知道你的账户密码。如果你想将信息存储在外部USB驱动器上以便携带,你的Mac也可以加密它:在磁盘工具应用程序中打开该单元,从左侧边栏中选择它,然后按照说明操作。
在Windows上
不幸的是,Windows有点复杂。有些PC默认会自动加密其文件。你可以通过转到设置 > 系统 > 关于并向下滚动到BitLocker来检查。点击它,然后在弹出菜单中,在操作系统驱动器下,你会看到该工具是开启还是关闭。如果它没有启用,点击“启用BitLocker”并按照说明操作。
此功能可以加密你的计算机以及你的外部驱动器。后者功能在你想要在PC之间移动文件,或将数据锁定在物理保险箱中的便携式驱动器下时非常有用。
这里有一个问题:BitLocker要求你的计算机有一个名为Trusted Platform Module(TPM)的特殊芯片,并非所有PC都配备了。如果你的计算机没有TPM并且你使用的是Windows 10或更新版本,你可以启用BitLocker并将加密密钥保存在闪存驱动器上。如果你的计算机运行的是Windows 7或更新版本,你还可以选择在没有TPM或USB驱动器的情况下加密你的本地驱动器。
如果这一切听起来有点复杂,你可以转向第三方选项。VeraCrypt是一个免费程序,适用于Windows、macOS和Linux,可以加密你的计算机的整个驱动器。你还可以使用它来加密其自己的安全“容器”中的特定文件组,尽管我们建议加密所有内容。
如果你加密了你的硬盘(或将任何文件放入加密容器),记住你的密码非常重要。如果你忘记了它,你将无法访问那些文件。
将文件存储在云端
所以你已经掌控了你的电脑,但是如果你想方便地访问你其他设备上的文件呢?或者如果你需要备份以防硬盘故障呢?你可以将它们安全地存储在云端,但首先,你必须了解你的存储服务的安全性。
许多流行的文件共享服务,如Dropbox,会加密你的数据——但这并不能让它们完全私密。
Dropbox的数据安全主管Rajan Kapoor说:“Dropbox服务可以访问文件,以便执行生成预览和允许用户与文件进行交互和协作等操作。”通过使你的数据可供平台访问,它就可以提供便捷的功能——但就你的敏感文件而言,你可能不认为这是值得的权衡。虽然Dropbox“对每个功能都进行威胁建模以探查漏洞”,但它仍然要求你信任其私有安全措施。
一些服务,如SpiderOak One Backup,则放弃了这些便捷功能,转而提供更强的安全性。SpiderOak的首席技术官Jonathan Moore说:“对于其他服务,即使它们使用了一些加密,你仍然将文件的控制权交给了该服务。该服务可以选择谁可以读取文件,甚至可以更改文件。通过SpiderOak的‘信任更少’的方法,我们无法控制我们为你托管的数据。”由于你的数据在离开你的电脑之前就被加密了,SpiderOak服务只能访问一堆乱码的加密信息——而不是你存储的实际文件。
然而,如果某个坏蛋确实获得了你的账户访问权限,这两个服务都无法保护你。如果有人知道了你的Dropbox密码,或者通过安全漏洞(Dropbox过去曾发生过几次类似的事情)侵入了你的账户,你的文件就会变得可以自由访问。(公平地说,SpiderOak过去也曾有过安全漏洞,尽管没有Dropbox的漏洞那么严重。)这就是为什么选择一个强大、随机生成的密码并为所有你使用的云服务开启双重身份验证至关重要。
只要你利用了这些功能,像Dropbox或SpiderOak这样的云服务足以保护大多数文档。但请记住:在使用云服务时,你总是将数据委托给他人。如果你真的想要额外的安全层,你可以将文件存储在VeraCrypt容器中,然后将其同步到云存储。即使有人完全访问了你的Dropbox或SpiderOak账户,坏人还需要你的VeraCrypt容器的密码才能访问文件。Dropbox的帮助中心甚至推荐这种方法来处理特别敏感的文件。
将文件发送给他人
如果你需要与他人共享文件,那么让你的文件保持安全就会变得更加困难。发送这些文件最安全的方式(除了亲自交给对方)是加密它们,共享加密版本,然后让接收者在自己的机器上解密它们。
不幸的是,这并不可行。你的收件人可能不使用VeraCrypt,要求他们安装一个全新的程序来阅读你的文件可能行不通。所以你需要尝试另一条路。
如果你正在将文件发送给一个经常处理敏感文件的专业人士,比如律师或税务 preparer,他们可能在他们的网站上有一个“安全文件箱”,你可以在那里上传数据。你可能需要创建一个账户来使用它,但前提是其开发人员做得很好,这可能是你最安全的选择。(同样,有一个很大的“如果”:你必须信任管理加密云存储的人。)
[相关:使用端到端加密保护你的Zoom通话]
如果没有安全文件箱,你应该转向你选择的云存储服务。上传文件并使用内置的文件共享功能将链接发送给你的收件人。这比将文件作为电子邮件附件发送更安全,因为收件人的电子邮件服务可能没有强大的安全性。通过像Dropbox这样的服务共享文件,你至少知道它通过HTTPS传输,所以网络上的其他人看不到它,并且在收件人下载文件后,你就可以从你的云存储中删除该文件。这种方法并不完美(因为,再说一次,Dropbox可以看到你的文件),但它几乎肯定比使用电子邮件附件更好。
当然,无论交接过程有多安全,你都必须信任收件人:一旦文件到了他们手中,你就无法控制他们有多小心。所以也许最好不要过度担心。毕竟,他们可能会在没有密码的情况下离开他们的电脑,或者把纸质文件随处可见。这是现代世界令人遗憾的现实。但你至少可以尽自己的一份力量来保持敏感信息的适度安全——并希望别人也能做到。
