想成为网络透明人 顶级黑客杨卿：难但有绝招防隐私被偷窥

杨卿，1986年出生在北京，是中国顶级白帽黑客，360无线电安全&黑客研究院、“独角兽”安全团队（UnicornTeam）创立者。

杨卿擅长无线局域网、RFID、射频通信、4G移动网络、卫星导航安全等研究，曾多次登上Blackhat & DEFCON等国际顶尖的黑客安全峰会，著有《无线电安全攻防大揭秘》、《Inside Radio: An Attack and Defense Guide》等中英文著作。

图为杨卿。

在2017年全球黑帽大会上，凭借一项4G网络漏洞研究，杨卿及团队拿到美国Blackhat黑帽大会“黑客奥斯卡”最具创新研究奖提名，成为GSMA（全球移动通信系统协会）设立安全研究名人堂历史以来的首位入选者。

他曾两次登上央视315晚会，揭示Wi-Fi和手机充电桩的安全风险。近日，在接受隐私护卫队专访时，杨卿分享了一些隐私保护的小诀窍及其对网络安全的看法。

谈隐私保护：与钱财相关的密码必须复杂

隐私护卫队：当下越来越多的个人数据、信息被放到网上并进行关联，有人说个人隐私正在裸奔。在网络世界里，普通人有可能成为透明人吗？

杨卿：便捷体验与安全隐私一直是天平的两端，从我们个人账号密码、WiFi密码的设定就能发现，我们其实并不想被很长很难记的密码桎梏，但又迫于安全的需要不得不设置复杂的密码。

我们拥抱科技带来的便利，同时也就意味着我们要贡献出更多的个人数据来支撑这种生活方式。比如你网购可以留公司地址用假名，但你在家想叫个外卖就必须要登记你的真实居住地址。买东西可以不用真名，但你网上买保险不用真名那是不行的。不难看到，我们的个人数据信息，其实早就充斥在了各种互联网系统内。所以普通人成为网络世界的隐形人，我觉得这种可能性已经不高了。

隐私护卫队：现在有很多人喜欢“一码走天下”，对于密码设置有何建议？

杨卿：一方面，按复杂度设定密码组合。结合自己独有的个性知识积累，设置一些方便自己记忆且复杂的密码组合方式，有别于我们常见的姓名，生日，姓名加生日等这些组合，比如小说人物的名字，你喜欢的文学名言或影视台词组成的带有数字符号的短语。

另一方面，制定信息数据分级策略。不同的网络平台账号，用不一样的密码策略，与钱财相关的密码设定能多复杂就多复杂，且绝对要精用。信息浏览类或和钱财关系不大的网站设置次一级的密码，这样当某些安全防护能力不足的网站出现安全事件时，你的密码因为采取了分级，所以不会殃及池鱼，全部信息都被泄露。

隐私护卫队：有什么保护个人隐私的窍门？

杨卿：平时注册一些账号时，会做到不是必须输入的信息不输入，在有地址身份信息的地方，能不留真名就尽量留代名，尽可能缩减真实信息暴露在各种互联网平台上的次数。时刻要有一种“这个网站如果有一天被入侵了，我在上面存放的信息被泄露会影响我什么”的“零信任”思考，建议可以使用知名度高体量大的企业产品。

谈网络安全：没有绝对安全的系统

南都：“大厂家”与“小厂家”在安全防护上有什么明显区别吗？

杨卿：主要有两方面，即安全防护能力与持续安全服务。拥有知名的网站或产品的厂商，在安全防护能力建设、应急响应更新能力等方面都会投入更多，所以这样的企业出现安全事件的频率会很低，产品出现漏洞，也能在小时级甚至更短的时间内发布更新修复。

反之，体量小的企业往往因为安全投入不多或使用外包安全服务的方式，安全无法做的更面面俱到，出现安全事件的概率更高。比如，网上很多卖的很便宜的摄像头，很多不是厂家自主研发的，而是使用公开方案。

所以这种方案一旦出现安全问题，作为“加工商”的他们，也无能力推出安全补丁给用户。如果用了这种一直存在漏洞的摄像头，基本也就确实没什么隐私了。

南都：万联网时代，如何理解看待无处不在的网络攻击？

杨卿：现在我们很多的IoT设备被曝出了漏洞，厂商也因设备不联互联网等问题无法对有漏洞的设备进行升级。

未来IoT时代的智能设备的安防设计，我认为重点应从软硬件安全应用架构、通信数据安全、云端数据与用户隐私安全、漏洞应急响应等多方面入手，打造多维度安全体系的顶层设计，持续优化攻防技术，将漏洞的危害影响降到最低，及时推出升级更新弥补漏洞。

其中顶层多维度安全体系设计，是为了保证基础的稳固。我们现在很多系统之所以总是发现漏洞，就是因为基础体系不够健壮，从而需要反复的修修补补。

而持续优化攻防技术，是指比如当区块链、人工智能等通用型技术不断出现时，也要与时俱进，将安全防护的技术拿进来，把漏洞的危害影响降到最低。因为没有绝对安全的系统和体系。

更多报道：黑客杨卿：高颜值无线电安全大牛，当过“鉴黄师”拍过微电影

采写：南都记者 李玲（受访者供图）