Czy potrzebuję osobnych telefonów?

W przypadku scenariuszy o wysokiej stawce tak, w przypadku zwykłej prywatności prawdopodobnie nie. Zaletą jednej komory na urządzenie jest całkowita izolacja; koszt to sprzęt, serwis i bateria. Większość użytkowników czerpie najwięcej korzyści z podzielonych profili przeglądarek i oddzielnych kont.

Czy naprawdę można rozdzielić tożsamości w mediach społecznościowych?

Tak, z dyscypliną, ale to trudne. Inna nazwa, inne zdjęcie profilowe (lub brak zdjęcia), inna sieć znajomych, inna strefa czasowa publikowania, inny styl pisania. Warstwa techniczna jest łatwa; spójność zachowania jest trudna. Analiza wykresów społecznych pozwala na ponowną identyfikację nawet pozornie odrębnych kont.

Czy podział na przedziały jest tym samym, co anonimowość?

Różne, ale powiązane. Podział na segmenty oddziela działania, więc naruszenie jednego nie powoduje ujawnienia pozostałych. Anonimowość stara się całkowicie ukryć tożsamość. Przedziały mogą być pseudonimowe („Jestem tu inną osobą”), ale nie anonimowe („kim jestem, nie można poznać”).

Czy Qubes OS to przesada?

Dla większości użytkowników tak – złożoność operacyjna jest wysoka. Dla dziennikarzy, badaczy bezpieczeństwa i osób znających modele poważnych zagrożeń jest to coś najbliższego standaryzowanemu systemowi operacyjnemu o silnych przedziałach. Tails pasuje do powiązanej niszy dotyczącej przeglądania osób cierpiących na amnezję.

Jak uniknąć łączenia przegródek stylem pisania?

Stylometria jest rzeczywista, ale można ją pokonać poprzez powtarzanie tłumaczenia maszynowego, świadomą modyfikację stylu lub przepisywanie LLM. W przypadku modeli o najwyższym zagrożeniu jest to uznany problem; dla większości użytkowników jest to głównie teoria.

Wyjaśnienie podziału na przedziały: oddzielanie tożsamości, urządzeń i działań w celu zapewnienia prywatności

Jeśli wszystko, co robisz w Internecie, jest powiązane z jedną tożsamością, każdy, kto włamie się na tę tożsamość, otrzyma wszystko. Podział na przedziały to dyscyplina polegająca na oddzielaniu różnych działań, różnych tożsamości i różnych modeli zagrożeń, tak aby naruszenie jednego z nich nie spowodowało kaskadowania skutków w pozostałych. Jest to najskuteczniejsza praktyka dotycząca ochrony prywatności dla każdego, kto jest narażony na znaczne ryzyko.

Poniżej znajduje się pełna treść artykułu w języku angielskim.

Kompartmentalizacja to praktyka polegająca na oddzielaniu działań, tożsamości, urządzeń i kont, tak aby awaria jednego z nich nie miała wpływu na pozostałe. Dyscyplina ta wywodzi się z operacji wywiadowczych, ale dotyczy każdego, kogo model zagrożenia uzasadnia tarcia.

Dlaczego podział na przedziały ma znaczenie

Domyślna nowoczesna konfiguracja to koncentracja: na jednym koncie Google przechowywane są e-maile, dokumenty, kalendarz, zdjęcia, historia lokalizacji, historia wyszukiwania, preferencje YouTube, dane urządzenia z Androidem, dotacje OAuth dla dziesiątek innych usług. Jeśli naruszysz jedno konto, atakujący będzie miał całe Twoje życie online.

Podział zakłóca koncentrację. Różne tożsamości dla różnych działań. Różne urządzenia dla różnych modeli zagrożeń. Różne konta, których nie można połączyć.

Spektrum podziału na przedziały

Od minimalnego do ekstremalnego:

Pojedyncza tożsamość, osobne konta — e-mail służbowy a e-mail prywatny, ale oba powiązane z Twoim prawdziwym imieniem i nazwiskiem. Baseline.
Separacja oparta na osobie — jedna tożsamość dla sieci zawodowych, druga dla społeczności hobbystycznej, bez łączenia krzyżowego. Typowe dla dziennikarzy piszących pod pseudonimem innym niż społecznościowe.
Separacja na poziomie urządzenia — telefon do pracy, inny telefon do użytku osobistego. Lub osobne urządzenie do jednej konkretnej działalności o wysokiej stawce.
Separacja na poziomie sieci — VPN A dla jednej aktywności, VPN B dla innej, prawdziwy adres IP dla trzeciej.
Separacja na poziomie OS — różne maszyny wirtualne, różne uruchamianie w różnych systemach operacyjnych, system operacyjny Qubes zapewniający wysoką dyscyplinę separacja.
Pełna separacja tożsamości — osobna dokumentacja prawna, osobne finanse, osobne adresy. Poziom formalnych tożsamości wykorzystywanych w szpiegostwie i ochronie świadków.

Większość ludzi siedzi przy 1 lub 2; niektóre na poziomie 3. Wszystko powyżej 4 wymaga znacznej, ciągłej dyscypliny.

Typowe wzorce podziału na przedziały

Osobiste a profesjonalne. Inny adres e-mail, inny LinkedIn a Facebook, różne urządzenia służbowe i osobiste.
Pseudonimowe tożsamości. A nazwa użytkownika dla społeczności, w której nie chcesz podawać swojego prawdziwego imienia. Skuteczne tylko wtedy, gdy nigdy nie łączysz się krzyżowo.
Tożsamości związane z konkretną działalnością. Zgłaszanie nieprawidłowości pod pseudonimem (z SecureDrop i Tor), randkowanie online z nazwiskiem trudnym do OSINT, aktywizm polityczny w autorytarnym kraju za pomocą osobnego urządzenia.
Rodzina przegródki. Współdzielone konta do usług przesyłania strumieniowego, które mogą widzieć członkowie rodziny, osobne konta do indywidualnych zakupów i treści prywatnych.

Błędy łączące przegródki

Przedziały zawodzą, gdy zostaną przypadkowo połączone. Klasyczne błędy:

Ponowne użycie nazw użytkowników. Ten sam uchwyt w różnych usługach pozwala agregatorom w trywialny sposób łączyć.
Ponowne wykorzystanie zdjęć profilowych. Odwrotne wyszukiwanie obrazów umożliwia ponowną identyfikację nawet przy różnych nazwach.
Same metoda płatności. Karta kredytowa lub konto PayPal powiązane z obiema tożsamościami je ujawnia.
Ten sam numer telefonu. 2FA na obu tożsamościach z tym samym numerem; operatorzy mogą być ze sobą powiązani.
To samo urządzenie. Obie tożsamości zalogowane na jednym urządzeniu generują identyczne odciski palców przeglądarki, sygnały sieciowe i konfiguracje stref czasowych.
Ten sam styl pisania. Stylometria może ponownie zidentyfikować pseudonimowe pisma na forach. Prawdziwa troska o dziennikarzy i aktywistów.
Ten sam wykres społecznościowy. Znajomi tożsamości A nakładanie się na znajomych tożsamości B ujawnia tożsamość B.
Cross-posting. Udostępnianie tej samej treści z obu tożsamości — przypadkowo lub nie — linki nich.

Infrastruktura techniczna

W przypadku nietrywialnego podziału na przedziały technologia pomaga:

Profile przeglądarek lub osobne przeglądarki dla różnych tożsamości. Różne pliki cookie, historia, zalogowane konta.
Aplikacje kontenerowe w przeglądarce Firefox (kontenery wielokontowe) do izolacji w przeglądarce.
Maszyny wirtualne zapewniające silniejszą separację niż profile przeglądarki. Qubes OS przenosi to na poziom systemu operacyjnego.
Oddzielne urządzenia fizyczne dla prawdziwej izolacji.
Tails OS dla działań amnezyjnych — nie pozostawia śladów między sesjami.
Różni dostawcy VPN dla różnych ruchu sieciowego tożsamości.
Privacy.com lub podobne karty wirtualne do płatności, które muszą być niemożliwe do zidentyfikowania z innymi tożsamościami.

Budżet podziału

Podział ma koszty:

Obciążenie poznawcze. Zapamiętywanie, która tożsamość jest odpowiednia dla danej czynności, a nie ich mieszanie.
Koszt konfiguracji. Każda nowa tożsamość potrzebuje własnego adresu e-mail, kont, płatności metody.
Konserwacja. Każdy przedział wymaga ciągłej uwagi; porzucone są ponownie identyfikowane w wyniku naruszeń.
Wygoda. Usługi pojedynczego logowania z założenia nie działają między przedziałami.

Właściwy poziom podziału na przedziały to więcej niż większość ludzi, ale mniej niż sugerowałaby rada ze świata idealnego. Podejdź realistycznie do tego, co będziesz utrzymywać.

Pojedynczy największy punkt odniesienia

Dla większości osób, które chcą większej prywatności bez konieczności zmiany stylu życia: jedna dedykowana przeglądarka (lub profil przeglądarki) do wrażliwych działań, bez zalogowanych kont powiązanych z Twoją prawdziwą tożsamością, dostępnych przez VPN. Nawyki używania jej do określonych czynności i zwykłej przeglądarki do wszystkiego innego. Już samo to oddziela jedną komorę od drugiej i pozwala uniknąć przypadkowej ponownej identyfikacji.

Często zadawane pytania

Czy potrzebuję osobnych telefonów?: W przypadku scenariuszy o wysokiej stawce tak, w przypadku zwykłej prywatności prawdopodobnie nie. Zaletą jednej komory na urządzenie jest całkowita izolacja; koszt to sprzęt, serwis i bateria. Większość użytkowników czerpie najwięcej korzyści z podzielonych profili przeglądarek i oddzielnych kont.
Czy naprawdę można rozdzielić tożsamości w mediach społecznościowych?: Tak, z dyscypliną, ale to trudne. Inna nazwa, inne zdjęcie profilowe (lub brak zdjęcia), inna sieć znajomych, inna strefa czasowa publikowania, inny styl pisania. Warstwa techniczna jest łatwa; spójność zachowania jest trudna. Analiza wykresów społecznych pozwala na ponowną identyfikację nawet pozornie odrębnych kont.
Czy podział na przedziały jest tym samym, co anonimowość?: Różne, ale powiązane. Podział na segmenty oddziela działania, więc naruszenie jednego nie powoduje ujawnienia pozostałych. Anonimowość stara się całkowicie ukryć tożsamość. Przedziały mogą być pseudonimowe („Jestem tu inną osobą”), ale nie anonimowe („kim jestem, nie można poznać”).
Czy Qubes OS to przesada?: Dla większości użytkowników tak – złożoność operacyjna jest wysoka. Dla dziennikarzy, badaczy bezpieczeństwa i osób znających modele poważnych zagrożeń jest to coś najbliższego standaryzowanemu systemowi operacyjnemu o silnych przedziałach. Tails pasuje do powiązanej niszy dotyczącej przeglądania osób cierpiących na amnezję.
Jak uniknąć łączenia przegródek stylem pisania?: Stylometria jest rzeczywista, ale można ją pokonać poprzez powtarzanie tłumaczenia maszynowego, świadomą modyfikację stylu lub przepisywanie LLM. W przypadku modeli o najwyższym zagrożeniu jest to uznany problem; dla większości użytkowników jest to głównie teoria.