虽然有电邮地址的人越来越多,真正使用电邮的人却越来越少,近一年越来越多人使用Signal,以下介绍三个Signal的使用技巧,读者可自我测试一下。
不会这3 招,别说自己懂得用Signal
在这个全民社交的年代,我表面上入时,在所有主流apps 都有帐号,骨子里守旧,在用的只有Signal 和Proton Mail。借这个机会,向那些在Facebook、Instagram 等平台来信而被我忽略的人致歉;不过,会读到本文章的,多数知道找我就该、也只需发邮件到kin@ckxpress.com 吧。
虽然有电邮地址的人越来越多,真正使用电邮的人却越来越少;至于即时通讯软件,香港人都用WhatsApp、中国台湾人都用LINE 和Messenger、大陆人都用微信,以致很好找的我常被吐糟很隐世。可幸的是,近一年越来越多人使用Signal,由DHK 道友Pro、羽V 神同行到美国副总统都在用,让我渐渐变得像个正常人。
以下介绍三个Signal 的使用技巧,读者可自我测试一下,只知当中的一两项的,资安意识还得加强;假如全都不知道,恐怕只是在用Signal 的表皮而已。
用户名:私隐的另一道防线
有别于WhatsApp 使用电话号码作为身份识辨,Signal 用户可自定用户名( username )。
你或许会觉得这没什么特别,毕竟Telegram、LINE、甚至微信早就有用户名了;的确如此,但Signal 用户名的细节跟主流工具有别,处处以私隐为先,设定时预设不会让其他人看到你的电话号码,还可进一步关闭「透过电话号码搜寻自己」的选项,让电话号码跟用户名彻底脱钩。
举例,Alice 的电话号码为+852 9876 5432,设定Signal 用户名为alice.852,并关闭显示及以该号码搜寻自己后,即使已在对话的朋友也看不到Alice 的电话号码,而其他人就算知道这个号码,也只能以alice.852 、对应的QR code 或链结跟Alice 开展对话。透过这项功能,DHK 道友在百多人的Signal 讨论群中都能保有私隐,既不用公开电话号码,也没法看到其他人的号码,除非对方选择公开。
留意显示名跟用户名是两回事,前者的格式是firstname lastname,如Alice Bee,是显示予通话对方看的名字或昵称,对方可另设一个以兹识别;后者的格式是username.两位或以上数字,如alice.852,只用于开展新对话,成为联系人后双方再看不见对方的用户名,重视私隐的Alice 大可不断更改用户名,不会影响跟已建立的联系人沟通。
要设定用户名,可在Signal app 点选个人头像进Settings,再点选头像修改个人资料。这里也能看到已设定的用户名、对应的QR code 和连结,方便对方扫码或直接发送。
安全码:「那个人」真的是那个人?
Alice 以用户名为身份的标识,跟好友Bob 开展了对话,并持续透过Signal 沟通。有一天,Bob 的帐号被盗,骇客以Bob 的身份向Alice 埋手,Alice 要如何识破?
Signal 里的每一组对话,都对应安全码( safety number ),这串长达60 位的数字,只有对话双方知道。当骇客利用「中间人攻击」( man-in-the- middle attacks )假冒Bob,由于设备变更,Alice 会在跟Bob 的对话收到「Your safety number with Bob has changed」讯息,这时候,着重资讯安全的Alice 会以另一个方法联络Bob,甚至在物理世界见面,以扫QR code 或核对数字等方式互相比对安全码,确保对话双方的身份。
如果你曾经在某个对话框见到「Your safety number with xxx has changed」的讯息,不明所以而选择忽略,就是在给予机会Bob 的冒牌货乘虚而入。高阶骇客懂得放长线钓大鱼,未必马上行动,所以即使过去忽略过安全码更新,也应补回比对,然后按「Mark as verified」,标识对方身份已确认,尤其若你是公司高管、社运人士或记者(副总统就更不用说了),就更需加倍谨慎。
虽然安全码能有效防御帐号被盗用,但若对方的手机被盗被破解,或被没收被胁迫解锁,就只能靠资安意识补完,如遇上如借钱、转帐、兑换、套口风等可疑讯息,别怕尴尬,应要求视像通话,聊一些AI 难以假冒的话题,以确认对方身份。
以群组转介:传递信任关系
Alice 跟Bob 善用安全码,在互信的基础上透过Signal 对话。过了一段时间,Bob 想要向Alice 转介朋友Carol,应该把Carol 的联系方法给Alice 还是反过来?应该使用电话号码还是用户名?
都不是。正确做法是,Bob 分别取得Alice 和Carol 同意后,建立三人群组,清楚交代背景,才让二人直接对话。
如前所述,Signal 容许电话号码跟用户名脱钩,为两人人牵线,没必要披露双方的电话号码。再说,在Signal 的关系网,Bob 不一定有二人的电话号码,即使有,也不见得就关联了Signal 的身份。至于用户名,只用于开展对话,那之后Bob 再看不到Alice 和Carol 的用户名,即使有事前记录,也可能已经更新,甚至用户名已被另一用户领用,不先跟Alice 和Carol 确认就给出他们的用户名,搞不好会介绍错其他人。
最后也是最重要的一点,信任关系是一张网,群组转介可串连Alice 和Bob、Bob 和Carol 之间的信任,让Alice 与Carol 都能信任对方。注意这里的信任是指「那个人真的是那个人」,而不是指双方的诚信等。反过来说,试想像当Alice 收到陌生人要求开展对话,要怎么判断是否接受?即使Bob 事前已告会Carol 将来信,Alice 又怎知道来信的陌生人就是Bob 所说的Carol,Carol 自我证明身份?
你或许会说,这么巧合在差不多时间有第四者冒充Carol 的机会很微,嫌我考虑多多,过份担忧。在此我不辩解,但鼓励有这种想法的人考虑另一个层面,相对于让互不相识的二人自行对话,建立群组介绍新朋友,更符合社交礼仪。
It's not a bug, it's a feature
Signal 是以私隐和资安为先的通讯工具,我听过不少评价指Signal 的某些设计麻烦,不及某些主流工具便捷等等,其实都权衡之后刻意为之,若能深刻理解Signal「最少资料、 最大私隐」的设计理念,便会明白在大部份情况,「it's not a bug, it's a feature」。
我从七年多前删掉WhatsApp 帐号,一直依赖Signal;关于它,我还有很多可以分享,既可写得比本文更深入,亦可写些较初阶的小技巧,有兴趣的话请不吝留言,让我知道值得继续写下去。
本文链接地址:https://www.wwsww.cn/btbruanjian/32038.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
