分享| 手机安全设定指南

正如@许明恩在《数位极权统治下，隐私是人民的武器》一文所说，如何保护我们的隐私安全，已经是这个时代每个人都需要思考的问题。

在这次的反送中运动中，也出现了公海总谷的Telegram 组群资料被警察汇出一事。故此，一群网络安全专家编写了一份手机安全置定指南。这份指南由Open Technology Fund （开放科技基金会）支持，一批网络科技专家共同协作并开放共享。

英文版在这里，以下为繁体中文版。

数码安全指引

我们无时无刻都需要保护我们的资料和电子器材。此指引提供一些关键提示，助你保护流动电话器材，免受骇客和其他有可能试图使用你的资料或电子器材的人士，作出对你和你朋友不利的行为。

数码世界日新月异。请注意此文件的最后更新日期为2019年6月15日，而在2019年8月15日后，你应该把此建议当作过时，届时需检查是否有更新版本。

如有仼何疑问或回应，可电邮至digitalsafety@tutanota.com。

安全第一！保护你的电子器材，慎防资料被窃

请确保前往高危环境之前，已参详本指引内容！因​​​​在互联网连接讯号欠佳时，无法下载某些应用程式或读取这些指示已经太迟了。

保障你手机的资料

设定一个强而有效的PIN码或密码

如果​​手机被窃，当骇客试图入侵你的手机时，你可能会失去手机中的敏感资料（如：银行资料或个人聊天记录）。你可以透过设定强而有效的密码、解除生物特征辨识解码，及把你已上锁的手机的资料存取降至最低限度，以预防你的资料被窃。

如果你​​​​​​​使用iPhone，请选用一个强而有效的密码，令骇客无机可乘：使用包含字母和数字、及长度超过7位的密码。你​​​​​​​可以透过设定> Face ID 与密码（或触控ID 与密码） > 更改密码> 密码选项> 自订英数密码来设定你的密码。

如使用安卓手机，请避免使用滑动图案解锁屏幕，因为只需追溯你在屏幕上的指纹，或越过你的肩膊偷窥，便能轻易猜测到你的滑动图案。请使用长度超过7位的PIN码。

浅谈密码长度的重要性

当骇客把你的手机连上他们的电脑设备，他们可以在短时间内破解你的手机密码。根据手机密码长度，骇客破解一部手机需用的平均时间如下﹕

四位数密码﹕约6.5分钟

六位数密码﹕约11.1分钟

八位数密码﹕约46日

十位数密码﹕约4629日

iPhone使用者可以透过USB限制模式阻止骇客以电脑装置破解你的密码﹕设定> Face ID 与密码（或触控ID 与密码） > 将「USB 配件」关闭(Settings > Face ID & Passcode (or Touch ID & Passcode) > turn off USB Accessories)

关闭脸部识辨及指纹识辨功能

其他人可以在你没有意识或不愿意的情况下，以你的脸部或指纹解锁你的手机。你可以关闭这些功能而转用PIN码（个人识别码）或密码。

iPhone设有SOS紧急模式。当你觉得有人可能会偷去或夺去你的手机时，可以暂时关闭手机的脸部识辨及指纹识辨功能。要启动此模式，同时按住侧边按钮（开关按钮）和其中一个音量按钮，维持两秒（不要维持多于五秒，不然你的手机可能会自动致电紧急服务）。不过较安全的做法仍然是预先关闭脸部识辨及指纹识辨功能。

隐藏介面通知内容

如手机被偷去或夺去，你手机的介面通知内容可能会暴露你或你交流对象的私隐。你可以更改你的手机设定，让讯息通知不显示讯息的内容。

• iPhone：设定> 通知> 显示预览> 解锁时Settings > Notifications > Show Previews > When Unlocked
• 安卓：设定> 应用程式和通知> 通知> 在萤幕锁定画面上> 隐藏敏感内容Settings > Apps & notifications > Notifications > On lock screen > Hide sensitive content

（你亦可以选择只隐藏较敏感的手机应用程式的介面通知内容，例如通讯程式）

决定要否使用「寻找我的手机」功能

如决定使用，请练习使用该功能。如不，请把功能关掉。

• iPhone： https://support.apple.com/zh-hk/HT201472 https://support.apple.com/en-hk/HT201472
• 安卓： https://support.google.com/accounts/answer/6160491?hl=zh-Hant https://support.google.com/accounts/answer/6160491?hl=en

练习遥距清除电话资料

（先开启「寻找我的手机」功能，才能遥距清除电话资料）。请下载更多手机应用程式之前先练习，好让自己不用重覆这些步骤。

• iPhone： https://support.apple.com/kb/PH2701?locale=zh_TW https://support.apple.com/kb/ph2701?locale=en_US
• 安卓： https://support.google.com/accounts/answer/6160491?hl=zh-Hant https://support.google.com/accounts/answer/6160491?hl=en

考虑备份手机资料，让你不会在失去或被夺去手机时失去手机数据，但请记得安全收藏你的备份。

• 安卓用户可以使用手机制造商提供的备份程式。如果你的手机制造商并没有提供备份程式，你可以手动将档案备份。
• iOS用户请不要使用iCloud备份，而是使用iTunes把档案备份到你的电脑上。

使用双重认证以确保应用程式安全

双重认证有助减低其他人在没有你授权下登入你的手机应用程式及帐号，例如你的电邮或Facebook。这个网站( https://authy.com/ )为一系列较多人用的手机应用程式提供设立双重认证的指引。相对于SMS，使用双重认证应用程式（例如Google Authenticator）来作出双重认证较为安全。 SMS并无加密技术保护，容易被第三方入侵。

保障电话的实体安全

• 使用贴萤幕防窥片，其他人便不能看到你在打什么字，包括你在输入什么密码。
• 在你的电话背面使用环型支架，防止路过的贼人从你的手中抢走电话。
• 用贴纸遮盖电话前置镜头能保障你不被被恶意软件监控。

给需要高度安全保障的人

如果你需要非常高度的个人及资讯安全，可以考虑以下措施：

iPhone：你可设置手机在多次输入错误密码后自动清除所有资料。设定> Face ID与密码（或触控ID与密码）> 将「清除资料」开启

如果资源许可的话，可考虑使用在特定情况使用的手机。这种手机是一个没有载有任何联系到你个人资料的手机。这个手机只用作重要及紧急的通讯（例如求助）。这个手机不应该有任何个人帐户、联络电话或其他个人资料。这个电话应该使用以现金购买的SIM卡，也就是说在购买SIM卡的过程中毋须出示身分证。可以的话，也应该使用现金购买这个在特定情况使用的手机。

如无法拥有一个在特定情况使用的手机，使用家中的旧电话算是这个情况下最安全的方法。如你选择这个方法，请确定你在进入一个有危险的情况前更新旧手机的作业系统。更新作业系统需要连接无线网络，但请不要连接你家里的无线网络。

如果你打算用自己平常使用的手机，而亦身处在一个非常有机会被夺走手机的环境，可考虑卸载或移除手机上任何敏感的应用程式、照片、影片、短讯和资料。如果你必须使用这些应用程式，可以考虑开设一个和你个人帐户分开的新帐户（请参考「建设一个安全身分」的部分）。

• iPhone： https://support.apple.com/zh-hk/HT204204 https://support.apple.com/en-hk/HT204204
• 安卓： https://support.google.com/android/answer/7680439?hl=zh-Hant https://support.google.com/android/answer/7680439?hl=en​​​​​​​

不要连到私人的无线网络，并移除任何连接你家或你朋友无线网络的私人网络连结。

• iPhone： https://support.apple.com/zh-hk/HT208941 https://support.apple.com/en-hk/HT208941​​​​​​​
• 安卓： https://support.google.com/android/answer/9075847?hl=zh-Hant#remove_wifi https://support.google.com/android/answer/9075847?hl=en#remove_wifi​​​​​​​

当不使用数据或无线上网时，请关掉手机或开启飞行模式，因为这些连结能让你不小心透露自己的位置记录。

• 了解有关手机定位和三角网如何追踪你的位置： https://www.youtube.com/watch?v=55zwQsEK1g4
• 了解无线上网追踪如何运作： https://www.youtube.com/watch?v=u0w0JsG4iVA

减少被追踪的风险

使用虚拟私人网路（VPN）

当在使用公共无线上网时，可使用虚拟私人网路防止你的网上活动被监控。一些安全及免费的VPN包括Lantern及Psiphon。你应该把虚拟私人网路设定为断线后自动再连线。

变更手机器材的名称

你的手机的默认设置是以你的名字命名。罪犯或跟踪者可以透过蓝芽或AirDrop 看到你的名字，从而得知你的身份和与他们的距离。请把手机的名字改掉以保护自己。

• iPhone：设定> 一般> 关于本机> 名称Settings > General > About > Name
• 安卓：设定> 关于手机> 手机名称Settings > About phone > Device name

关掉位置记录

你的手机以及地图应用程式可能在记录你的定位。把记录关掉以减少被跟踪的风险。

• iPhone：设定> 私隐 > 定位服务> 系统服务（在清单下方）> 重要位置> 将「重要位置」关闭Settings > Privacy > Location Services > System Services (located at the bottom) > Significant Locations > turn off Significant Locations
• 安卓：设定> Google > Google 帐户> 资料和个人化> 定位记录> 将「使用定位记录」关闭Settings > Google > Google Account > Data & personalization > Location History > Manage setting > Your account & all your devices > turn off Use Location History
• Google地图：设定> 地图记录> 将「网路和应用程式活动」关闭Settings > Maps history > turn off Web & app activity

删除过往的定位记录

• iPhone：设定> 私隐 > 定位服务> 系统服务（在清单下方）> 重要位置> 清除记录
• 安卓： https://support.google.com/accounts/answer/3118687?hl=zh-Hant#delete https://support.google.com/accounts/answer/3118687?hl=en#delete​​​​​​​
• Google 地图： https://support.google.com/maps/answer/3137804?hl=zh-Hant https://support.google.com/maps/answer/3137804?hl=en​​​​​​​

安全沟通及协作

当使用通讯应用程式，例如WhatsApp、Signal、 或电报（Telegram）是，请记住你的帐户是跟你的手机号码连载一起的。如果你想跟新的朋友通讯而不希望他们能辨识到你的身分，请使用一张不需要出示身分证明文件并以现金购买的SIM卡。

端到端加密（End-to-end encryption）能防止其他人监控你的信息。 WhatsApp和Signal默认开启端到端加密，但电报（Telegram）则须使用Secret Chat才会开启。

如果像使用安全且不需要使用你电话号码的通讯人用程式， 请使用Wire： https://app.wire.com/auth/#createaccount

请不要在你跟陌生人交流的社交平台上用自己的照片作头像。

令敏感消息消失：

你可能想某些敏感的讯息在某段时间后消失（就像IG story 一样）

• Signal: 在对话视窗里，点选顶部的人名或群组名称以进入对话设置，开启「Disappearing Messages​​​​​​​」（让讯息消失）, 然后设置信息时限。
• Telegram（电报）: 在秘密对话（Secret Chat）的视窗里，点选计时器/ 时钟图标（iPhone的图标在输入信息栏旁的； 安卓的在人名旁），然后设置信息时限。
• Wire: 在对话视窗中，点选在输入信息栏旁的时器/ 时钟图标，然后设置信息时限。

关掉备份

如果你的通讯应用程式（例如WhatsApp）有备份功能， 记住备份是骇客或想取得你资料的人的其中一个目标。你可以在WhatsApp中关掉备份功能:

设定> 对话> 对话备份> 自动备份> 关闭

电报（Telegram）贴士

如果你在电报跟很多人通讯，使用频道（Channel）会比较安全， 因为你发放的信息是以频道的名字和头像发出，而不是你帐户的名字和像。另外，群组有人数上限，频道则没有。

防止陌生人在电报上得知你的身份：

• Settings > Privacy and Security > Data Settings > 关掉Sync Contacts
• Settings > Privacy and Security > Phone Number > 调至Nobody
• Settings > Privacy and Security > Forwarded Messages > 调至Nobody

图片及影片

如果你想分享照片及影片，请先删除它们的元数据。照片及影片的元数据（Metadata） 通常包括拍摄手机的型号、地点、以及在你拍摄照片及影片自动记录下来的其他数据。

删除照片的元数据：

• 安卓系统：有一个应用程式能简单的在你分享照片前删除照片的元数据https://play.google.com/store/apps/details?id=com.jarsilio.android.scrambledeggsif
• iOS：下载免费应用程式Shortcuts，然后使用这个捷径： https://www.icloud.com/shortcuts/d2fae86ea9ed401291078a01b9a61ee9

影片可上载到Vimeo，它会删除影片的元数据，并防止你在手机被盗是失去影片。你可以把Vimeo上的影片设为私人或以密码保护。

如要直播影片，请使用Twitch。

如果想进行加密的视像通话，你应该下载JitsiMeet。你可以不需要开设任何帐户就能进行视像通话。

为通讯软件、社交应用程式和其他网上帐户创建一个安全的身分。

如果你有理由担心有跟踪者或其他人正在监控你，你可能要创建一个网上身分保护私隐。

你通常需要电话号码及电邮地址开设网上帐户。使用你平常用的电话和电邮能令其他人容易跟踪到你。你可以以新的电话号码及电邮创建新的网上身分，让其他人有困难（但不是不可能）追踪到你。

如何会你的Whatsapp及Telegram等的帐户取得新的电话号码:

• 选择1：买一张新的SIM Card
• 去实体店铺，在不需要你出示身分证明文件的情况下以现金购买一张新的SIM 卡，并只使用这张SIM 卡开设网上帐户。
• 选择2：使用Twilio.com 创建一个新的电话号码https://medium.com/p/deb4cd8c7f46/

如何为你的帐户（例如Twitter, Twitch等）开设新的电邮地址？

Tutanota 是一个安全的电邮服务： https://tutanota.com

记得要给你自己一个新的身分（例如把自己命名为你最爱的球队或名人，如你喜欢的话，用DeniseHo@tutanota.com 也没问题）。

不要跟任何人分享你的新电话号码及电邮。当你登记这些新电话号码及电邮时，请使用虚拟私人网路（VPN），以防止服务供应商得知你的位置。

参与需保密的活动后

确保你在所有器材及帐户上删除了自己的行动记录，例如搜寻记录、聊天记录、发帖记录、你拍的照片及图片等。

如果你有重要的照片，请以安全的方法备份（例如备份到一个加密并且有密码保护的硬碟）。

需要更多协助？

如果你是公民记者、人权捍卫者或NGO工作者，而你需要个人化的器材保安意见，你可以联系Access Now的数码安全救助热线(help@accessnow.org)。这热线为全世界的民间社运人士提供全天候的免费直接技术支援。这个热线能在你失去手机权限时帮你保持社交帐户的安全。

注意： 热线有审批程序，你可能需要提供自己的资料， 例如你的名称、工作及过往的人权工作。热线只提供给超过18岁的人。热线提供英语、西班牙语、法语、德语、葡语、俄语、菲律宾语、亚拉伯语及义大利语服务。

如果你正在面对数码攻击或紧急情况，你可以向Open Technology Fund Rapid Response Fund 寻求财政及技术上的服务支援。详见https://www.opentech.fund/funds/rapid-response-fund/