跳轉到

威脅模型怎麼想

談匿名與隱私時,最常見的誤區是把工具當成答案,跳過釐清「我到底在防什麼」這一步。「我用 Tor 就安全嗎」、「Signal 跟 Telegram 哪個比較安全」、「我該不該裝 VPN」,這類提問背後缺的是一個結構化的判斷框架。威脅模型就是那個框架。

威脅模型是一份你願意定期回頭檢視的小清單。寫得多正式不是重點,能持續回顧才是。它幫你在每次選工具、決定行為、評估風險時,能回答三個基本問題。

三個基本問題

建立威脅模型,本質上就是回答這三題:

  1. 要保護什麼?(資產)
  2. 要防誰?他們有什麼能力?(對手)
  3. 為了這份保護,你願意付出多少成本?(取捨)

這三題缺一不可。少了第一題,會買保險買到不重要的東西。少了第二題,會用大砲打蚊子或用蚊香擋大砲。少了第三題,會做出不可持續的安排,撐不了三天就放棄。

第一題:要保護什麼

「資產」聽起來很企業化,但對個人來說可以很具體:

  • 資訊:身分相關(本名、住址、職業、家人位置)、內容相關(私人對話、未公開的相片、研究中的草稿)、憑證相關(登入憑證、銀行帳戶、加密貨幣金鑰)
  • 行為記錄:你訪問過哪些網站、跟誰通訊、何時何地出現、買了什麼
  • 連結關係:你跟誰是朋友、誰是消息來源、誰住在你家、誰跟你共筆協作
  • 能力與資源:你的裝置、頻寬、時間、社交關係本身

把「保護什麼」寫具體很重要。「我要保護我的隱私」太抽象,不能拿來判斷工具。「我要保護我跟某記者朋友通訊這件事不被第三方知道」就具體得多,可以對應到「需要把誰是收件人這個 metadata 隱藏起來」的需求。

第二題:要防誰?他們有什麼能力?

對手不一定是抽象的「駭客」、「政府」。把它具體化:

  • 誰會在意這件事被知道? 親密關係的另一半?前公司?特定產業的利害關係人?檢調?外國情報機關?
  • 這個對手取得資訊的能力是什麼?
    • 隨意路人:能看到你公開貼文,沒有更深入的能力
    • 親密關係:能拿到你的裝置、讀你的訊息、知道你的習慣與口令
    • 雇主或學校:能控管你工作裝置上的網路流量、讀取公司帳號
    • 平台業者:能看到你在他們服務上的所有活動,必要時依法令交出
    • 一國執法:能向業者調閱資料、必要時搜索扣押
    • 國家級情報:能進行大規模流量監控、能對特定目標投入鎖定攻擊資源

這個分級的目的,是讓工具選擇對應到實際能力範圍。對手是親密關係的人,你不需要 Tor,你需要把裝置鎖好、把雲端帳號的密碼換掉、把 Find My 關掉。對手是大規模平台收集,你不需要 air-gap 電腦,你需要選擇預設不蒐集 metadata 的通訊工具。

第三題:你願意付出多少成本

成本不只是錢。它包含:

  • 時間:學新工具、設定新流程、定期維護
  • 便利性:每次發訊息要多按三個鍵、每天開機要輸入長密碼、不能用最方便的雲端同步
  • 社交成本:朋友抱怨找不到你、家人覺得你誇張、工作流程要跟同事重新對焦
  • 金錢:硬體投資(YubiKey、新裝置)、付費服務(VPN、密碼管理器)

如果你的方案需要每天投入兩小時維護、每次跟朋友聯絡都要解釋為什麼用奇怪的軟體,幾週後你會放棄。一個你撐不到三個月的方案,等於沒有方案。

威脅模型的設計目標是「在你能維持的範圍內,盡可能對應威脅」,不是「最大化保護」。

一個操作流程:把三題寫成一份小清單

拿一張紙或開個共筆,依序回答:

  1. 列出 3–5 項你最想保護的資產(具體、可指認)
  2. 對每項資產,寫出 1–2 個最可能的對手與他們的能力
  3. 對每個資產×對手組合,列出你願意付出的成本上限(時間、不便、金錢)
  4. 對應現有的工具或流程,看哪些對應到了、哪些還缺、哪些其實是過度防護

這份清單不需要寫得完美,重點是寫下來、定期回頭看。生活情境會變(換工作、結束一段關係、開始參與敏感議題),威脅模型也會變。

幾個常見角色的威脅模型範例

下面是粗略示意,不能直接套用到你身上,但可以當成思考起點。

一般使用者(沒有特別敏感工作)

  • 資產:日常通訊內容、相片、雲端帳號、銀行帳戶
  • 對手:詐騙集團、平台資料外洩、廣告追蹤
  • 取捨:低時間投入、沿用熟悉的工具、不能影響日常便利
  • 對應:用密碼管理器、開兩步驟驗證、每年清一次相片庫的 Metadata、不點不熟的連結

記者(保護消息來源)

  • 資產:消息來源的真實身分、跟來源往返的內容、訪談紀錄、未刊出的草稿
  • 對手:被報導對象的內部反查、相關產業的法務、必要時的執法調閱
  • 取捨:可投入時間學工具、可接受相對不便、有預算
  • 對應:用 SecureDrop 或類似機制接觸來源、Tails 處理檔案、訪談紀錄離線加密、發稿後清理痕跡

社運參與者

  • 資產:行動計畫、參與者名單、現場照片、跟律師的通訊
  • 對手:對立陣營的肉搜、被臨檢時的裝置盤查、社群媒體的演算法降低能見度
  • 取捨:行動當下需求、可以動員夥伴一起設定
  • 對應:行動前帳號清理、現場用 Signal 群組、敏感資料不放裝置上、被臨檢時的應對 SOP

家暴倖存者(在離開前後)

  • 資產:你目前的位置、新申請的聯絡方式、求助過程的紀錄
  • 對手:加害者,他可能擁有你裝置的密碼、家庭方案的雲端權限、共用社交圈
  • 取捨:要避免「打草驚蛇」,行為上要看起來如常
  • 對應:在加害者不知情的裝置上聯繫支援機構、共用雲端帳號的存取要小心切換、必要時尋求 113 與在地組織協助

更詳細可參考 場景層 的對應文章(撰寫中)。

威脅模型不是「設定一次就完成」

它是一份活清單。建議每隔一段時間回頭看:

  • 換工作、換伴侶、換城市時
  • 開始參與新的敏感議題時
  • 出現一次資安事件(你的或別人的)時
  • 重要的工具更新(例如 Signal 加入新功能、Tor 出現重大更新)時

每次回看不需要重寫,只要問:「上次寫的還準確嗎?有沒有新的對手出現?我願意付出的成本變了嗎?」

接下來