登录状态破坏匿名性的原因
思考匿名性时,人们容易关注 IP 地址和 。
但是,登录状态有时会成为比它们更强的线索。
使用 。 使用 VPN。 删除了 。 使用了另一个浏览器。
即便如此,只要登录实名账号,该行为就会与账号关联。
登录状态会一下子削弱匿名性。
登录是表明本人的状态
登录是指,从服务侧来看,“这个使用者就是这个账号本人”的状态。
账号会关联很多信息。
邮箱地址。 电话号码。 过去发帖。 支付信息。 配送地址。 联系人。 登录历史。 终端信息。
即使账号没有显示本名,背后也可能有与本人连接的信息。
| 信息 | 对匿名性的影响 |
|---|---|
| 邮箱地址 | 与实名或其他服务连接 |
| 电话号码 | 成为强本人确认信息 |
| 支付信息 | 与本人信息连接 |
| 过去使用历史 | 行为模式可见 |
| 联系人 | 人际关系可见 |
| 登录历史 | 与 IP 和时间连接 |
登录不是单纯的便利功能。 它是本人确认的状态。
已登录的服务并不只看画面上显示的名字。 它会处理账号 ID、注册邮箱、电话号码、登录历史、终端、Cookie、会话、支付、过去的使用历史。 即使自认为是在匿名浏览,只要已经登录,该行为就会作为账号行为记录下来。
尤其是搜索、浏览、点赞、保存、关注、咨询、购买、表单发送,都会与账号连接。 即使不写本名,登录状态本身也是强识别信息。
VPN 和 Tor 无法消除它
VPN 和 Tor 会改变连接来源 IP 的可见方式。
但是,已登录的账号不会消失。
例如,假设在 Tor Browser 中登录实名 SNS。 连接目标看到的是 Tor 出口节点的 IP。 但是,服务侧知道“这个账号登录了”。
VPN 也一样。 即使连接来源 IP 变成 VPN 服务器,登录目标服务仍然能看到账号信息。
隐藏 IP 和消除与本人的连接是两回事。
这是匿名性中非常重要的区别。 VPN 和 Tor 会改变通信路径的可见方式。 但是,如果你主动向连接目标服务出示账号,该服务就会识别账号。
例如,如果用 Tor Browser 登录平时的邮箱,邮箱服务会把它作为该账号的登录处理。 如果用 VPN 登录 SNS,SNS 侧也会留下账号行为。 隐藏通信路径和切断服务上的本人性,是不同的对策。
在同一个浏览器中切换很危险
在同一个浏览器中切换使用实名账号和匿名账号很危险。
Cookie、、历史记录、保存的密码、扩展功能、浏览器设置会混在一起。
同时,也会发生操作失误。
用实名账号发了帖。 用实名账号进行了匿名用搜索。 在匿名用浏览器中打开了实名邮箱。
匿名性失败会由这类日常错误造成。
在同一个浏览器中,技术层面的混杂和操作失误都会发生。 技术上,Cookie、localStorage、缓存、扩展功能、保存的登录、通知许可、下载历史会留下。 操作上,会发生发错账号、搜错账号、在共享菜单中选择实名账号等失败。
在匿名性重要的活动中,只分开浏览器标签页是不够的。 至少要分开浏览器配置文件。 高风险时,还要分开 OS 用户、终端、网络和使用时间。 根据风险决定分离的深度。
只登出有时不够
登出并不一定意味着安全。
登出后,Cookie、localStorage、浏览器历史记录、缓存、扩展功能保存的信息仍可能留下。
有些服务即使在登出后,也可能使用一部分识别信息来识别同一个浏览器。
需要匿名性时,不要依赖登出,而要分开实名用和匿名用环境。
登出是结束当前会话的操作。 但它不一定会删除浏览器中残留的全部识别信息和历史记录。 此外,登出后如果在同一个浏览器中进行匿名活动,保存的密码、自动填充、扩展功能、通知可能暴露实名侧信息。
匿名活动中,要看的不是“是否登出”,而是“是否本来就没有在同一环境中处理”。 不混用环境,是最基本的防御。
应避免的操作
匿名活动中,应避免以下操作。
- 在匿名用浏览器中打开实名邮箱
- 在匿名用浏览器中登录平时的 SNS
- 在实名用浏览器中登录匿名账号
- 在同一终端上一直显示通知
- 在同一浏览器中切换多个人格
- 用实名账号搜索匿名活动的信息
登录状态是匿名性的核心风险。
分离的基本规则
要减少由登录状态造成的失败,就要明确实名用和匿名用的边界。
| 要分开的东西 | 理由 |
|---|---|
| 浏览器 | 不混合 Cookie、历史记录、保存登录 |
| 邮箱地址 | 不通过恢复和通知与实名连接 |
| 电话号码 | 不共享强本人确认信息 |
| 云端 | 不混合文件、照片、共享历史 |
| 通知 | 不让实名侧通知出现在匿名画面中 |
| 搜索行为 | 不连接实名侧历史和匿名活动 |
如果要运营与实名侧切离的匿名账号,只改账号名是不够的。 登录的服务、恢复手段、通知、文件保存、浏览器、终端使用方式都要分开。 要分到什么程度取决于威胁模型,但不把实名登录和匿名活动放在同一流程中,是最低限度的前提。
登录前停一下的习惯
匿名活动中出现登录画面时,需要养成不要立刻输入的习惯。 这个账号属于实名侧,还是匿名侧。 恢复邮箱或电话号码连接到哪里。 登录后,浏览和发帖是否可以留在账号上。
很多失败发生在赶时间时。 想看资料、确认 DM、从云端取文件、在 SNS 上回应。 如果当场登录平时的账号,匿名活动和实名侧就会连接起来。
| 要确认的事 | 理由 |
|---|---|
| 当前是哪种环境 | 不混用实名用浏览器和匿名用浏览器 |
| 当前是哪个账号 | 确认是否会作为实名侧行为记录 |
| 恢复目标 | 查看是否通过邮箱或电话与实名连接 |
| 通知 | 确认实名侧通知是否会出现在匿名画面中 |
| 保存位置 | 查看文件和历史是否会留在实名云端 |
登录是便利操作,但在匿名性中是跨越边界的操作。 登录前停一下,就能防止很多混线。
总结
登录状态会大幅削弱匿名性。
即使用 VPN 或 Tor 改变连接来源 IP,只要登录实名账号,行为就会与账号关联。
账号会关联邮箱地址、电话号码、支付信息、过去历史、联系人、登录历史等。
要保护匿名性,重要的是不要把实名账号和匿名活动混在同一个浏览器、同一个终端、同一个时间段中。
不要只依赖登出,而需要分开环境本身。
相关工具
BrowserLeaks WebRTC
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
BrowserLeaks Fingerprint
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
EFF Cover Your Tracks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。