为什么匿名性无法保证
学习匿名性时,人很容易想寻找“只要这样做就安全”的答案。
使用 就安全吗。 使用 就足够了吗。 删除 就不会被跟踪了吗。 删除元数据就能隐藏身份吗。
答案是,任何一个单独来看都不够。
匿名性不是靠一个设置就能保证的东西。 它由通信、设备、浏览器、账号、发帖内容、时间、过去信息、对方能力组合起来决定。
本文会整理为什么无法完全保证匿名性。
匿名性不是由状态决定,而是由关系决定
匿名性不是“进入匿名模式后就完成”的状态。
想从谁那里隐藏。 想隐藏什么。 想保护多长时间。 对方拥有多强的调查能力。
这些都会改变所需的对策。
| 角度 | 例 | 对匿名性的影响 |
|---|---|---|
| 对象 | 普通用户、网站运营者、职场、国家机构 | 所需对策会因对象的调查能力而改变 |
| 保护对象 | IP、身份、地点、信源、家人 | 要隐藏的信息不同,应查看的线索也不同 |
| 期间 | 一次发帖、几个月的活动、长期运营 | 时间越长,失误和关联越会增加 |
| 行动范围 | 只是浏览、发帖、联系、文件共享 | 行动越多,线索也越多 |
匿名性不只由技术决定,也由状况决定。 因此,无法制定适用于所有人的“完全安全步骤”。
工具只能保护一部分
匿名性工具各自有保护范围。
VPN 会改变连接目标看到的 IP 地址。 Tor 让连接来源和连接目标不容易直接连接起来。 元数据删除工具会减少文件中残留的制作信息。 浏览器分离会减少 Cookie 和登录状态的混用。
但是,没有任何工具能保护一切。
| 工具或对策 | 较容易保护的东西 | 仍会残留的东西 |
|---|---|---|
| VPN | 连接目标看到的家庭 IP | 对 VPN 服务商的信任、Cookie、登录状态 |
| Tor | 连接来源和连接目标的直接结合 | 实名登录、发帖内容、Tor 外通信 |
| 元数据删除 | 文件内部的制作信息 | 图片背景、正文、文件名 |
| 浏览器分离 | Cookie 和历史记录的混用 | 、发帖时间、内容关联 |
| 加密 | 通信内容被偷看 | 连接目标服务器、通信量、时序 |
工具很重要。 不过,工具只支撑匿名性的一部分。
关联会在事后发生
匿名性之所以困难,原因之一是关联会在事后发生。
发布当下看起来没有问题的信息,半年后可能与另一篇发帖或另一场泄露连接起来。
例如,假设在匿名账号上写了过去职场的事情。 在那个时间点,也许不知道说的是谁。
但是之后,如果找到相同文体的实名博客、同一时期的社交媒体发帖、同一张图片、相同专业领域,候选范围就会缩小。
匿名性不能只凭当下判断。 需要把过去信息和未来信息也纳入思考。
关联会在事后发生,这意味着“现在没人看,所以没问题”的判断很危险。
今天的发帖,可能会与将来的个人资料、泄露数据、搜索结果、另一个账号、照片、新闻、公开资料连接起来。 一旦公开的信息,会与未来的信息组合。
| 现在给出的信息 | 之后连接起来的东西 |
|---|---|
| 职场经历 | 转职后的个人资料或过去履历 |
| 地区照片 | 之后的日常活动范围发帖 |
| 独特文体 | 实名博客或其他名义的文章 |
| 发帖时间 | 登录历史或通信日志 |
| 文件的一部分信息 | 之后出现的原件或内部资料 |
无法把人为失误降到零
破坏匿名性的不只是技术弱点。
人为失误也是重大原因。
- 在匿名用浏览器中登录实名账号
- 用实名邮箱地址注册
- 重复使用同一张图片
- 匆忙发帖而忘记确认元数据
- 用实名账号搜索匿名活动相关内容
- 在回复中透露日常活动范围
在长期运营中,一次失误就会成为很大的线索。
匿名性无法保证的原因,也在这里。 人会疲劳。 会着急。 会习惯。 然后,在习惯的时候省略确认。
对方的能力会变化
匿名性也受对方能力左右。
普通读者不知道的事情,网站运营者可能能从日志中看到。 网站运营者不知道的事情,通信运营商可能能从连接记录中看到。 个人难以完成的调查,组织或国家可能能与其他数据对照。
| 对象 | 能看到的事 | 注意点 |
|---|---|---|
| 普通浏览者 | 发帖内容、图片、文体、公开个人资料 | 从内容缩小候选范围 |
| 网站运营者 | IP、Cookie、登录信息、访问日志 | 把技术信息和账号连接起来 |
| 通信运营商 | 连接目标 IP、通信时间、通信量 | 拥有通信内容之外的元数据 |
| 职场或学校 | 设备、网络、使用时间、内部信息 | 能与组织内部记录对照 |
| 高能力对象 | 多种数据的对照 | 可能瞄准长期关联 |
思考匿名性时,需要先决定“想对谁保持匿名”。
把匿名性作为风险降低,而不是保证
匿名性应作为风险降低来思考,而不是保证。
不是让自己完全不可见,而是减少会被关联的线索。 通过分离,避免一次失败破坏整体。 在做高风险行为前进行确认。 不使用不符合自己威胁模型的工具。
这种思路更现实。
| 思路 | 问题点 | 现实的思路 |
|---|---|---|
| 保证完全匿名 | 前提崩塌时会破产 | 分阶段降低风险 |
| 因为工具名称而安心 | 误解保护范围 | 查看谁能看到什么 |
| 设置一次就结束 | 长期运营会出现失误 | 定期重新检查 |
| 只看单一信息 | 漏看关联 | 综合查看多个线索 |
匿名性不是完美的墙。 它是一种减少线索、使连接变难、缩小失败范围的设计。
采用这种思路后,也更容易决定对策优先级。
首先,减少最强的识别符。 接着,减少账号和浏览器的混用。 在此基础上,确认发帖内容、时间、文件、过去信息。
比起寻找保证,一个一个减少线索更现实。
总结
匿名性不是能够完全保证的东西。
原因在于,匿名性会根据状况、对象、行动、期间、技术、运营而改变。
VPN、Tor、元数据删除、浏览器分离、加密都很重要。 但是,它们各自保护的范围不同。 Cookie、登录状态、发帖内容、文体、时间、过去信息、共享路径,会作为其他问题留下。
此外,关联会在事后发生。 今天看起来很小的信息,将来可能会与其他信息连接起来。
匿名性需要作为“风险降低”而不是“保证”来思考。 决定想从谁那里保护什么,减少线索,分离环境,并持续确认,这一点很重要。