你在网上做的每件事都会留下痕迹,其方式超乎你的想象。
无论你使用的是哪种设备,或者你在上面做什么,数据都会不断地被创建出来,这些数据都可以追踪到你。
个人身份信息(Personally identifiable information ,PII)有多种形式,在许多情况下,它是在你没有意识到的情况下创建的。这些数据可用于了解有关你的事情,你的习惯,你的兴趣,并可被恶意行为者货币化或用于窃取你的身份或黑掉你的帐户。
了解PII是什么,它的用途是什么,以及如何保护它,这些都是确保网络安全的重要部分。
什么是PII
多因素认证提供商Okta在其《2020年隐私成本报告》中列出了13类可被视为PII的数据:
用户名和密码
电子邮件和已发送消息
输入到在线表单中的数据
网络配置文件
网络浏览历史
在线时的物理位置
网上购买记录
搜索历史记录
社交媒体帖子
使用的设备
在线完成的工作
在线视频观看记录
在线音乐播放列表
Okta报告按降序列出了这些类别(如上所示),以显示被调查者对哪些数据类型是PII的了解程度。当到达“在线时的物理位置”时,约一半的受访者意识到这类数据可以用来识别互联网用户。
美国国家标准技术研究院( National Institute of Standards and Technology,NIST)将PII广泛地定义为“由代理机构维护的有关个人的任何信息,包括任何可用于区分或追踪个人身份的信息,例如姓名,社会安全号码,出生日期和地点,母亲的娘家姓或生物特征记录;以及与个人相关或可关联的任何其他信息,例如医疗,教育,财务和就业信息。”
该定义将PII分为两类:关联数据,即直接与人相关的数据;以及可链接的数据,这些数据与人的身份没有直接关联,但只需稍加工作就可以将其与个人联系起来。
NIST对PII的定义超越了在线数据,还包括纸质文档、身份证、账单、银行对账单和其他记录。就网络数据而言,比如一些跟踪cookie、IP地址和计算机ID,大部分都属于NIST所说的“可链接”数据。
十多年来关于PII是否可以用来识别某人的争论一直没有明确的结果。
2009 年,Johnson 诉 Microsoft 案的裁决发现 IP 地址不是 PII,因为 IP 地址标识的是计算机,而不是人。这与 2008 年新泽西州的一宗案件有冲突,该法院认为客户对 IP 地址的隐私有合理的期望。它还与将 IP 地址描述为 PII 的 NIST 指南冲突。
模糊数据有多种形式,例如网站跟踪数据、Cookie、广告配置文件和其他信息,这些信息可以与更容易链接的 PII 分离,但可以由运营这些服务的公司进行整合。2016年,谷歌为了“改善谷歌的服务”,修改了隐私政策,允许将cookie信息与PII连接。
如何使用PII
PII以合法和非法两种方式使用。用户的浏览历史、网站提供的cookies和搜索历史记录经常被用来有针对性的投放广告,这就是为什么社交媒体广告可以如此个性化的原因。
互联网用户对PII的非法使用更感兴趣,也应该更加关注。是的,有针对性的广告和侵犯隐私的行为是一个问题,但网络犯罪获取您的PII的后果可能更糟。
PII泄漏是2018年数据泄露的主要类型,因为该数据具有很高的价值:利用一小部分信息,攻击者可以针对单个目标进行网络钓鱼攻击,使用该数据搜索相关人员的其他信息,或使用它直接入侵你的在线帐户。
PII还可以用于发起社交攻击,这是当前使用的最流行的黑客方法之一:贪玩的胡萝卜用被盗的PII和一些社交媒体上的帖子就能猜出你想进入的账户的方式时,谁还要开发复杂的黑客程序呢?
保护你的PII
保护您的PII可能很困难,尤其是因为你的PII大部分是由你每天使用的网站和服务在后台收集的。在某些情况下,你信任的网站可能会遭到破坏,更敏感的个人信息,如你的姓名、地址、电子邮件地址和银行信息,可能会被入侵,而你对此无能为力。
但这并不意味着你完全无法保护你的PII。有许多预防措施可以使你的PII足迹最小化,并在必须提供信息时保护你的信息。
首先,注意你在社交媒体上发布的内容:别发很容易从帖子中猜出密码提示或其他有关个人信息的东西。在可能的情况下,将社交媒体受众群体限制为仅自己认识的人。我们还可以了解web浏览器如何阻止跟踪cookie,并启用“不跟踪”模式(虽然并不总是有效)。
其次,不要在被问到你的社会安全号码时随便交出敏感信息——首先要弄清楚为什么需要它以及它将如何被保护。
在者,可以购买一台碎纸机以保护物理PII(如印在纸上的敏感信息)。除非必要,否则将敏感文件(如社会保险卡和护照)保存好。
最后,你应该定期清理浏览器历史记录、Cookie和其他包含PII的临时文件,不在不安全的公共 wi-fi 网络上处理敏感信息,并在 Web 浏览器上使用隐身模式以防止跟踪和存储与您的身份相关的记录。
*本文出自SCA安全通信联盟,转载请注明出处。