注册信息怎么才能安全？我踩过无数坑后总结的保命经验

说实话，刚上网那会儿，我也觉得注册信息嘛，不就是填个用户名密码的事儿？直到有次我在一个看起来挺正规的论坛注册，结果第二天邮箱就被各种垃圾邮件塞爆，甚至有人尝试用我的邮箱去重置其他网站的密码，那时候我才意识到，你以为随手填写的那些信息，可能正在被明码标价地挂在暗网上，今天我就掏心窝子跟大家聊聊，这些年我是怎么从一个注册信息随手丢的“裸奔选手”，变成现在连填个验证码都要多留个心眼的“老油条”的。

别用同一个密码走天下，这话听着老套但真的救命

我承认，以前我也是那种“一密走天下”的懒人——一个密码用遍所有网站，从淘宝到知乎，甚至网上银行。直到我发现自己常用的那个密码在某个小站泄露了，因为那个小站压根没做任何加密存储，黑客直接拿到了明文密码，然后呢？他们拿着这个密码去试我的邮箱、试我的微博、试我的支付宝……虽然我及时改了支付密码，但那种“被人扒光衣服”的感觉真的一辈子忘不了。

现在我的做法是：给密码分级，像银行、支付、邮箱这种核心账户，我用了三个完全不同的、长度在16位以上的随机密码，而且三个月换一次，这些密码我记在一个加密的本地文件里，绝不上云，像淘宝、京东这类电商，我用了稍微复杂但能记住的密码变种——比如在基础密码上加上网站名称的缩写，而那些注册完可能一年才登录一次的论坛、小站，我直接用的是一次性邮箱加随机生成的密码，反正丢了也不心疼。

我强烈推荐大家用密码管理器，比如Bitwarden或者KeePass，一开始我也觉得麻烦，但习惯了之后真香——你只需要记一个主密码，其他所有密码都能自动生成、自动填充，而且这些管理器的密码生成器能搞出那种“#Za8!qP@2vFx”级别的鬼畜密码，就算被拖库了，黑客拿着去别的网站试也完全没用。

能少填就别多填，信息给出去就收不回来了

有一次我在某个读书软件上注册，它居然要我填真实姓名、身份证号、家庭住址，我当时就纳闷了——你一个看书的App，要这些干嘛？这其实就是典型的数据过度收集，后来我查了一下，这家公司后来因为违规收集用户信息被罚了，所以我现在注册任何网站或App时，都会仔细看它要求填的信息是否合理，如果发现一个音乐App要我的手机通讯录权限，或者一个游戏平台要我上传身份证正反面，我直接扭头就走。

我总结了一个“最小化信息原则”：能填昵称就不填真名，能填虚拟地址就不填家庭住址，能留工作邮箱就不留私人邮箱，比如有些网站要求填手机号才能注册，我就用专门办的一张副卡，或者用接码平台（但要注意接码平台本身也可能不安全，我用的是那种一次性、用完即弃的），还有那些“绑定社交账号”的选项，我基本上能免则免——你用一个微信登录了一个小网站，对方能拿到的可不止你的昵称头像，还包括你的好友关系、你的公开信息。

双重验证不是摆设，哪怕多花五秒钟也值

以前我总觉得双重验证（2FA）很烦——每次登录都要掏出手机看验证码，或者插个硬件钥匙。但经历了那次密码泄露事件后，我学乖了，现在我所有能开双重验证的账户都开了，尤其是邮箱、社交账号、云存储这三大类，因为我发现，很多黑客攻击你的最终目标其实不是某个小网站，而是通过小网站的漏洞拿到你的邮箱和密码，然后去重置你的大号。

具体怎么操作呢？ 我推荐大家优先用“基于时间的动态验证码”（TOTP），比如Google Authenticator或者Authy，这些App会每30秒生成一个6位数的验证码，就算黑客拿到了你的密码，没有这个验证码也登录不了，还有更安全的硬件安全密钥，比如YubiKey，插一下就能验证，不会被钓鱼网站骗走。我现在的流程是：先开邮箱的双重验证，再开社交账号，最后才是其他平台，开完之后，我还把恢复码打印出来贴在家里一个只有我知道的地方——万一手机丢了，还能靠恢复码重新设置验证器。

注册信息也要定期“体检”，别让它烂在数据库里

很多人注册完账号就再也不管了，其实这是大忌。我建议每半年花半小时，清理一下自己的“数字遗产”，具体怎么做呢？把所有你记得的账号列个清单，挨个登录一遍，看看那些已经不用的网站，如果不确定自己注册过什么，可以去一些“数据泄露查询网站”搜一下自己的邮箱，看有没有出现在已知的泄露数据库中，Have I Been Pwned”这个网站，输入你的邮箱就能看到它有没有被泄露过，我有一次发现自己的邮箱在三个不同的泄露事件中都被曝了，吓得我连夜改了所有相关密码。

然后就是“销户”环节，对于那些不用的账号，我直接去设置里找“删除账户”或“注销账号”的选项，如果找不到，就发邮件给客服，要求他们彻底删除我的所有数据，包括日志和备份。有些网站虽然删了账号，但会留着你的信息做“数据建模”，所以我还会特别注明：要求删除所有关联数据，提供书面确认，有些网站还要求提供身份证明才能注销，这时候我就直接放弃了——一个连注销流程都不合规的网站，它的数据保护能力可想而知。

最后说点掏心窝的：安全意识不是一朝一夕的事

说实话，我到现在也不敢说自己百分百安全，因为网络威胁是在不断进化的，但至少我学会了：不要对任何网站抱有过分的信任，尤其是那些看起来“免费”的服务——你免费使用的背后，你的信息可能就是它的商品，我现在注册前都会先去查一下这家公司有没有过数据泄露的“前科”，或者它在当地的隐私保护口碑如何，比如一些欧盟的网站，因为有GDPR（通用数据保护条例）的约束，数据保护相对严格一些，我就会放心一点。

最后再唠叨一遍：密码要分开，信息要少给，双重验证要开，定期清理要勤，这四点看着简单，但真的能拦住90%以上的信息泄露风险，别等到你的账号被用来发垃圾广告、你的身份被冒用贷款了再后悔——那时候就真的来不及了，信息时代，保护好自己的数字身份，就像保护好自己的家门钥匙一样，再小心也不为过。

继续浏览有关 信息安全 的文章