人們經常不假思索地註冊網路服務。 這些帳號也許是一個串流媒體服務可觀看人人都在談論的新節目,或是取得喜歡的快餐店折扣。 無論在什麼樣的場景,您都應該考慮現在和以後對個資的影響。
在新的服務申請帳號時,都伴著相關風險。 資料洩露;向第三方披露客戶資訊、員工有不當的權限可以訪問所有資料,在給出您的個資時都必須考慮的接下來可能的狀況。 您需要確信足夠信任該服務,這就是為什麼我們建議把重要資料儲放在最成熟且通過測試的產品。 這通常意味著提供 E2EE 並經過加密審計的服務。 審計增加了產品設計的保證,減低因開發人員缺乏經驗所導致的安全問題。
某些網路服務並不容易刪除帳號 有時可能會 覆寫與帳戶相關聯的資料 ,但在其他情況下,該服務將保留帳戶變更的完整記錄。
服務條款 & 隱私權政策¶
服務條款是您在使用服務時同意遵守的規則。 隨著更大的服務,這些規則通常由自動化系統強制執行。 有時這些自動化系統可能會出錯。 例如,您的帳號可能會因為使用 VPN 或 VOIP 號碼而被禁止或無法使用某些服務。 對這種禁令提出上訴通常很困難,而且通常都由系統自動處理而不是人工審核,造成了上訴的困難度。 這也是我們不建議使用 Gmail 作為電子郵件的原因之一。 電子郵件對於訪問您已註冊的其他服務至關重要。
隱私權政策是該服務表示他們將如何使用您的數據,因此值得閱讀,以便您了解如何使用您的數據。 公司或組織可能沒有法律義務遵守政策中包含的所有內容(取決於司法管轄區)。 我們建議您了解當地法律以及這些法律允許供應商收集哪些資訊。
我們建議您尋找特定的術語,例如「資料收集」、「資料分析」、「Cookie」、「廣告」或「第三方」服務。 有時您可以選擇退出資料收集或拒絕分享資料,但最好從一開始就選擇尊重您隱私權的服務。
請記住,您把信任託付給該公司或組織,冀望其真的遵守自己的隱私政策。
身份驗證方式¶
通常有多種註冊帳戶的方式,每種都有各自的好處和缺點。
電子郵件和密碼¶
建立新帳戶的最常見方式是使用電子郵件地址和密碼。 使用此方法時,您應該使用密碼管理器,並遵循 關於密碼的最佳做法 。
溫馨提示
您也可以使用密碼管理器來管理其他驗證方式! 只要新增一則條目並填寫相關欄位資訊,您也可註記安全問題或備份密鑰等事項。
您自己負責管理您的登入憑證。 為了增加安全性,您可以在帳戶上設置 MFA 。
電子郵件別名¶
如果您不想將您的真實電子郵件地址提供給服務,您可以選擇使用別名。 我們在電子郵件服務推薦頁面上更詳細地描述了它們。 基本上,別名服務允許您生成新的電子郵件地址,將所有電子郵件轉發到您的主地址。 這可以幫助防止跨服務跟蹤,並幫助您管理有時會隨註冊過程而來的營銷電子郵件。 這些可以根據它們被發送到的別名自動過濾。
如果服務遭到黑客攻擊,您用於註冊的電子郵件可能會收到網絡釣魚或垃圾郵件。 為每個服務使用獨特的別名可以幫助確定哪些服務被駭。
"登入方式:" (OAuth)¶
OAuth 是一種驗證協定可在註冊服務時無須對供應商分享註冊資訊,而是利用在其它服務已有的註冊帳號來登入。 每當您在註冊表單上看到「登入方式: 使用 提供商名稱登入」時,它就是 OAuth。
當您透由 OAuth 登入,它會開啟您所選的供應商登入頁面而您的帳戶即會與新帳戶連接。 我們不會分享你的密碼,但會分享一些基本資訊(你可以在登入期間要求查看)。 每次您想要登入同一個帳戶時,都需要進行此程序。
主要優勢是:
- 安全性: 在儲存登入憑證時,無須信任所登入服務的安全實踐,因為它們是儲存在外部OAuth 提供者。使用 Apple 和 Google 等服務時,通常會遵循最佳安全實踐,持續審核其身份驗證系統,妥當儲存憑證(例如不會以純文字形式)。
- 易用性:多個帳戶由單一登入管理。
但也有一些缺陷:
- 隱私: OAuth 讓您利用已註冊的服務作登入新服務。
- 集中化: 如果您使用的 OAuth 帳戶被駭或是無法利用它登入,與之連結的其它帳戶也會受到影響。
OAuth 在那些服務之間深度整合情況下,可以特別有用。 我們建議將 OAuth 限制在需要的地方,用 MFA來保護主帳戶。
所有使用 OAuth 的服務都將與您的基礎提供商帳戶一樣安全。 例如,想用硬體密鑰保護某個帳戶,但該服務不支持硬體密鑰,則可用硬體密鑰保護您的 OAuth 帳戶,現在您所有帳戶基本上都有硬體 MFA。 但值得注意的是,OAuth 帳戶的弱認證意味著與該登入方式相關的其它帳戶也會很弱。
使用 Google 登入、Facebook 或其他服務時還有額外的危險,通常是OAuth 流程允許雙向資料共享。 例如,使用 Twitter 帳戶登入論壇可授予該論壇存取權限,以便在您的 Twitter 帳戶上執行操作,例如發佈、閱讀您的訊息或存取其他個人資料。 OAuth 提供者通常會向您提供要授予外部服務存取權限的內容列表,應確保仔細閱讀該列表,不會無意中授予外部服務存取不需要的任何內容的權限。
惡意應用程式(特別是行動裝置,它們可以用來存取登入OAuth 提供者的WebView 會話)也可以透過劫持與 OAuth 提供者的會話來取得對 OAuth 帳戶的存取權限。 使用任何提供者的登入方式選項通常是為了方便,最好只用於相信不會主動惡意的服務。
電話號碼¶
我們建議您避免使用需要電話號碼才能註冊的服務。 電話號碼可以在多個服務中識別您的身份,並且根據數據共享協議,這將使您的使用更容易跟蹤,特別是當其中一個服務被洩漏時,因為電話號碼通常是 不是 加密的。
如果可以的話,你應該避免透露你的真實電話號碼。 某些服務將允許使用 VOIP 號碼,但這些通常會觸發欺詐偵測系統,導致帳戶被鎖定,因此我們不建議重要帳戶使用此系統。
在許多情況下,您需要提供可以接收短信或電話的號碼,特別是在國際購物時,以防您在邊境審查時的訂單出現問題。 服務通常會使用您的號碼作為驗證方式;不要自作聰明使用假的電話號碼,最後讓自己重要的帳戶被鎖定!
使用者名稱與密碼¶
某些服務允許您在不使用電子郵件地址的情況下註冊,並且只需要您設置用戶名稱和密碼。 當與 VPN 或 Tor 結合時,這些服務可能會提供更高的匿名性。 請記住,對於這類型的帳號,如果你忘記了你的用戶名或密碼,很可能會有沒有辦法恢復你的帳號。