跳转至

威胁模型怎么想

谈匿名与隐私时,最常见的误区是把工具当成答案,跳过厘清「我到底在防什么」这一步。「我用 Tor 就安全吗」、「Signal 跟 Telegram 哪个比较安全」、「我该不该装 VPN」,这类提问背后缺的是一个结构化的判断框架。威胁模型就是那个框架。

威胁模型是一份你愿意定期回头检视的小清单。写得多正式不是重点,能持续回顾才是。它帮你在每次选工具、决定行为、评估风险时,能回答三个基本问题。

三个基本问题

建立威胁模型,本质上就是回答这三题:

  1. 要保护什么?(资产)
  2. 要防谁?他们有什么能力?(对手)
  3. 为了这份保护,你愿意付出多少成本?(取舍)

这三题缺一不可。少了第一题,会买保险买到不重要的东西。少了第二题,会用大炮打蚊子或用蚊香挡大炮。少了第三题,会做出不可持续的安排,撑不了三天就放弃。

第一题:要保护什么

「资产」听起来很企业化,但对个人来说可以很具体:

  • 信息:身份相关(本名、住址、职业、家人位置)、内容相关(私人对话、未公开的相片、研究中的草稿)、凭证相关(登录凭证、银行账户、加密货币密钥)
  • 行为记录:你访问过哪些网站、跟谁通讯、何时何地出现、买了什么
  • 连结关系:你跟谁是朋友、谁是消息来源、谁住在你家、谁跟你共笔协作
  • 能力与资源:你的装置、带宽、时间、社交关系本身

把「保护什么」写具体很重要。「我要保护我的隐私」太抽象,不能拿来判断工具。「我要保护我跟某记者朋友通讯这件事不被第三方知道」就具体得多,可以对应到「需要把谁是收件人这个 metadata 隐藏起来」的需求。

第二题:要防谁?他们有什么能力?

对手不一定是抽象的「黑客」、「政府」。把它具体化:

  • 谁会在意这件事被知道? 亲密关系的另一半?前公司?特定产业的利害关系人?检调?外国情报机关?
  • 这个对手取得信息的能力是什么?
    • 随意路人:能看到你公开贴文,没有更深入的能力
    • 亲密关系:能拿到你的装置、读你的消息、知道你的习惯与口令
    • 雇主或学校:能控管你工作装置上的网络流量、读取公司账号
    • 平台业者:能看到你在他们服务上的所有活动,必要时依法令交出
    • 一国执法:能向业者调阅资料、必要时搜索扣押
    • 国家级情报:能进行大规模流量监控、能对特定目标投入锁定攻击资源

这个分级的目的,是让工具选择对应到实际能力范围。对手是亲密关系的人,你不需要 Tor,你需要把装置锁好、把云端账号的密码换掉、把 Find My 关掉。对手是大规模平台收集,你不需要 air-gap 电脑,你需要选择默认不收集 metadata 的通讯工具。

第三题:你愿意付出多少成本

成本不只是钱。它包含:

  • 时间:学新工具、设定新流程、定期维护
  • 便利性:每次发消息要多按三个键、每天开机要输入长密码、不能用最方便的云端同步
  • 社交成本:朋友抱怨找不到你、家人觉得你夸张、工作流程要跟同事重新对焦
  • 金钱:硬件投资(YubiKey、新装置)、付费服务(VPN、密码管理器)

如果你的方案需要每天投入两小时维护、每次跟朋友联系都要解释为什么用奇怪的软件,几周后你会放弃。一个你撑不到三个月的方案,等于没有方案。

威胁模型的设计目标是「在你能维持的范围内,尽可能对应威胁」,不是「最大化保护」。

一个操作流程:把三题写成一份小清单

拿一张纸或开个共笔,依序回答:

  1. 列出 3–5 项你最想保护的资产(具体、可指认)
  2. 对每项资产,写出 1–2 个最可能的对手与他们的能力
  3. 对每个资产×对手组合,列出你愿意付出的成本上限(时间、不便、金钱)
  4. 对应现有的工具或流程,看哪些对应到了、哪些还缺、哪些其实是过度防护

这份清单不需要写得完美,重点是写下来、定期回头看。生活情境会变(换工作、结束一段关系、开始参与敏感议题),威胁模型也会变。

几个常见角色的威胁模型范例

下面是粗略示意,不能直接套用到你身上,但可以当成思考起点。

一般用户(没有特别敏感工作)

  • 资产:日常通讯内容、相片、云端账号、银行账户
  • 对手:诈骗集团、平台资料外泄、广告追踪
  • 取舍:低时间投入、沿用熟悉的工具、不能影响日常便利
  • 对应:用密码管理器、开两步验证、每年清一次相片库的 Metadata、不点不熟的链接

记者(保护消息来源)

  • 资产:消息来源的真实身份、跟来源往返的内容、访谈记录、未刊出的草稿
  • 对手:被报导对象的内部反查、相关产业的法务、必要时的执法调阅
  • 取舍:可投入时间学工具、可接受相对不便、有预算
  • 对应:用 SecureDrop 或类似机制接触来源、Tails 处理文件、访谈记录离线加密、发稿后清理痕迹

社运参与者

  • 资产:行动计划、参与者名单、现场照片、跟律师的通讯
  • 对手:对立阵营的肉搜、被临检时的装置盘查、社群媒体的算法降低能见度
  • 取舍:行动当下需求、可以动员伙伴一起设定
  • 对应:行动前账号清理、现场用 Signal 群组、敏感资料不放装置上、被临检时的应对 SOP

家暴幸存者(在离开前后)

  • 资产:你目前的位置、新申请的联络方式、求助过程的记录
  • 对手:加害者,他可能拥有你装置的密码、家庭方案的云端权限、共用社交圈
  • 取舍:要避免「打草惊蛇」,行为上要看起来如常
  • 对应:在加害者不知情的装置上联系支援机构、共用云端账号的存取要小心切换、必要时寻求 113 与在地组织协助

更详细可参考 场景层 的对应文章(撰写中)。

威胁模型不是「设定一次就完成」

它是一份活清单。建议每隔一段时间回头看:

  • 换工作、换伴侣、换城市时
  • 开始参与新的敏感议题时
  • 出现一次信息安全事件(你的或别人的)时
  • 重要的工具更新(例如 Signal 加入新功能、Tor 出现重大更新)时

每次回看不需要重写,只要问:「上次写的还准确吗?有没有新的对手出现?我愿意付出的成本变了吗?」

接下来