曾經向一位資深政治評論員建議,在紅線處處的審查環境下改以暱稱寫作,對方表示自己行不改名坐不改姓,只會也只能以真名寫作。我敬仰這位前輩的文人風骨,完全尊重他的選擇,不再多言,繼續默默支持光明正大、表裏如一的他。
但是對於真名,我持不同看法。
光明正大不代表要裸奔
過往我花過大量筆墨討論金錢,甚至出版了一整本書;在日常語境中,「真錢」指的其實是「法定貨幣」,而大部分人的理解被體制困死,意識不到法定貨幣以外的各種可能性。
「真名」也是一樣,一般人透過這個詞表達的意思,其實應該稱為「法定名字」,即一個人在其所屬司法管轄區的數據庫中的名字。我們說「金庸」的「真名」是「查良鏞」,但金庸才是他為自己取的名字,最能代表這個人,關連著他的作品,承載著他的靈魂;當他自稱金庸,相信沒有人會認為他在欺騙,只是在法律和行政體系中,他叫作查良鏞,僅此而已。
2019 年有個畫面,一直在我腦海中揮之不去。有全副 black bloc 的示威者接受媒體訪問,表示自己光明正大;電視畫面被截圖,加上冷言冷語,藍絲鄙視恥笑辱罵兼而有之。
「光明正大就唔 L 使蒙面啦!」
這種說法很為人受落。我徹底反對這個論述,不是因為站在這位示威者的一邊,純粹是認為這個概念笨死了,跟「半夜敲門也不驚」一個級數。拜託,這個世界有賊的好不好,得悉你的身分就把握機會傷害你的人可多著。
光明正大不代表就要裸奔,同樣需要保護自己。況且,不保護好私隱,首先往往不是自己吃虧,而是連累身邊的人,想想被盜取 WhatsApp 帳號後被騙的是事主本人還是他的聯絡人就知道。當子女嘲笑家中長者受欺詐電話所騙,誤信騙徒偽裝成自己,首先得弄清楚,很可能先是自己的通訊錄等個人資料漏出,才讓騙徒掌握背景資料去有效偽裝。
以下讓我們聊聊怎樣註冊網上服務而不洩露常用電郵地址,透過身分管理,保護自己。
電郵地址比手機號碼好用得多
很多互聯網服務都會同時提供以電郵地址或者手機號碼註冊兩個選項。從用戶的角度,但凡有得選,應一律選擇用電郵地址代表自己的身分,優點有很多。
先不談理念,純粹考慮如果服務供應商往後向你濫發宣傳,甚至把你的個資出售給更多人,收垃圾郵件煩一點,還是垃圾來電、短訊更討厭,答案就很清楚了。
電郵服務商都會替用戶自動篩選垃圾郵件,最多人使用的 Gmail 還會做基本分類,比如把宣傳郵件歸到一類。雖然個人不依賴這些功能,免得它錯判害我錯過郵件,也不喜歡自動分類,嫌它常把我給讀者發的郵件歸類為宣傳因此被忽略,但當使用得宜,AI 篩選電郵無疑能為用家節省大量時間。
電郵地址的另一個好處是可以免費、自由地註冊多組,而過程中不必披露個資(別忘了 IP 地址就是最基本的網上個資,所以註冊和使用時應打開 VPN),更重要的是,可以選擇海外的電郵供應商。這對小國人民來說似乎是廢話,要找個本地的電郵服務才難吧,但請不要忘記在某些集權國家,連註冊海外的電郵地址都很難,本地電郵服務都需要高度配合政府,處理的每封郵件就像明信片,政府喜歡就能隨便看光光;而且,在這種集權國家,註冊所有互聯網服務都得用手機號碼,而獲得手機號碼又需要提供身分證。換言之,無論你用甚麼方法註冊,最終都能追溯到你的法定身分。如果這是中國香港的未來,我不會很意外;如果有人在這種未來還沒來到,還有部分自由可以守護之際,不去珍惜並自願放棄,那是沒有人可以幫忙的。
另外,有個很普遍的小技巧,雖然無助加強私隱,也順道推薦給大家。註冊不同的服務時,即使你只有一個郵件地址,如果是 Gmail、Protonmail 等,可以在用戶名後加上 +tag,去產生一個針對特定供應商或使用場景的郵件地址。
舉例說,Alice 註冊不同旅遊服務時,可分別使用 [email protected]、[email protected]、[email protected] 等,對方的來郵一律會到達 [email protected]。雖然這樣不會減少垃圾郵件,但因為電郵地址與服務商一一對應,Alice 可以精準地按照來源過濾郵件,並預設適當的流程處理。退一步說,如果某特定地址收到陌生供應商的垃圾推廣,Alice 會知道是誰出賣自己的個資。
我從後台看到,有訂戶使用類似 [email protected] 的地址訂閱《區塊鏈社會學》,這是聰明的做法,方便預設指令處理週報類郵件,比如自動跳過 inbox,加上 must-read 的 tag(臭美 🤮),有空時才慢慢細讀。
孫悟空的法外分身
在原有郵件地址加 tag 有助判斷來源但沒法加強私隱,不斷註冊電郵地址又太麻煩,有沒有兩全其美的辦法?
你一定看過西遊記中,孫悟空拔一把毛,扔到空中吹一口氣,變出一大堆分身,去應付強大的敵人,但你不一定知道,那個法術叫作法外分身。中國古籍用上「法外」的說法,非常有趣。以下介紹的,正是電郵的「法外分身術」。
上週提過 ProtonVPN,該公司 Proton 專注資訊安全、私隱保護,除 VPN 外還提供 Mail、Calendar 和 Drive 服務,跟 Google 早期的產品線類似,但差之毫釐,繆以千里,Google 把用戶資料看光光,因此能給出相關的廣告,從而提供免費服務;Proton 則強調全線產品點對點加密,即服務商都無法看到用戶的資料,但也因此只提供有限度免費服務,進階功能都需要收費。
月前,Proton 推出了第五款產品 ProtonPass,是個密碼管理器。一般密碼管理器提供生成密碼、記錄密碼和自動填寫三大功能,當然密碼管理器本身也有密碼,但只要記著這組主密碼,其他所有密碼也能透過密碼管理器去處理。
ProtonPass 作為市場的後來者,除了把產品開源和提供第三方資安審計報告,還加入「法外分身」這項獨有功能,讓用戶不怕分身乏術。這項功能的正式名稱為 hide-my-email aliases,允許用戶註冊各種帳號時隨機生成郵件地址別名,並且把收到的郵件轉發到自己的 Proton 郵箱。ProtonPass 這個「密碼+身分管理器」的定位十分聰明,我因此從 Bitwarden 轉會,暫時用得相當滿意。
當用戶在任何網站註冊帳號,ProtonPass 瀏覽器插件會在電郵一欄的右方顯示小圖標,假如我不希望服務商掌握我的身分,點選小圖標,ProtonPass 會自動幫我生成了一個電郵別名,一按就能填上。從服務商的角度,你的郵箱就是這個別名,無從得知那只是你的眾多分身之一,只要不洩露其他線索如 IP 地址、姓名、信用卡等,該網站便難以關連到你的身分。這項功能,對於要在來歷不明的網站註冊帳號,或者還不確定會否長期使用一個網站的情況,特別有用。
你可能會覺得,針對所有不想披露自己身分的網站使用同一個郵件地址別名不就好了。這樣做當然會比「行不改名坐不改姓」、一個郵件地址闖天涯好一些,但就無助判斷垃圾郵件的源頭,也不能有效避免集團式經營的法外分身,把你的各個分身關連到一起,掌握更完整的個人資料。
ProtonPass 免費版讓用戶生成 10 個 hide-my-email aliases,要求不高的話已經足以應付需要特別招呼的網站,收費版每月 5 鎂,則提供無限 hide-my-email aliases、整合 2FA 等功能,不便宜,但如果跟其他 Proton 服務打包購買,加上年付,則會便宜很多。
終極名牌:DYOR
特別提醒一下,以上的點對點技術沒有用到區塊鏈,也跟 web3 沒甚麼關係,相反,絕大部分區塊鏈和其記錄的交易都沒有用上點對點加密,也因此我不太用「加密貨幣」這個說法;從結構而言,ProtonPass、ProtonVPN 等都是中心化服務,而 Proton 是這一連串服務的中心。
我雖然一直推坑分散式服務,但不認為必須完全避免中心化服務,反過來,不可靠的服務去中心了,也不會自動變成可靠。web2 也好,web3 也好,不要盲目信賴名牌,值得我們義無反顧地信賴的唯有 DIOR DYOR,do your own research。
發佈留言