我正在通过 VPN 软件访问 Google Play 商店,据说该软件会掩盖我的 IP,使我看起来像是在美国(出于国家/地区限制)。我的问题是,通过 VPN 连接登录 Google 或任何网站是否会以某种方式向 VPN 所有者泄露我的用户信息(电子邮件和密码)?如果是这样,我可以在仍然使用 VPN 的同时采取哪些步骤来防止这种情况发生?
答案1
这取决于连接类型。
任何加密发送的信息都无法被跟踪路由中的任何计算机读取,当然,除了终端。无论你使用哪种类型的互联网连接,都无关紧要。这包括 VPN。
因此,如果您访问的网站使用 HTTPS,VPN 提供商将无法访问您的个人信息。
但是,如果网站要求以纯文本发送信息,则 VPN 提供商必须以未加密的形式发送该信息,因此必须能够访问该信息。
如果您访问的网站使用 HTTP,VPN 提供商就可以访问您的个人信息。
在这方面,VPN 没有什么特别之处。每个非加密连接都允许跟踪路由中的每台计算机嗅探它。您与 VPN 的连接应始终加密,但如果 VPN 与网站之间的连接未加密,那就无关紧要了。
答案2
许多需要某种形式身份验证的网站(以及游戏等非基于 HTTP 的服务)不需要甚至允许使用加密。不使用加密进行身份验证的常见示例:
- IRC(一些网络支持 SSL,但实际上只有极少数网络/用户使用它)
- 通过 UDP 的多人游戏服务器,例如 MMORPG、第一人称射击游戏等。
- 大多数不收集信用卡信息的“论坛”网站不使用任何形式的加密(您可以通过
http而不是https地址栏来判断) - 超级用户和 Stack Exchange 网站
即使这些服务中的一个被盗用的账户对你来说并没有特别大的危害,你仍然应该非常小心:如果你使用的电子邮件地址和/或密码与你在有价值的网站(亚马逊、你的银行、你的电子邮件等)上使用的密码相似或相同,那么以明文形式发送这些有价值的密码将会有很大的风险。
就我个人而言,我会为每项与我的财务、业务或个人身份信息(社会安全号码、出生日期等)相关的服务使用不同的密码,并且通常使用不同的电子邮件地址。对于论坛等意义不大的网站,我有时会使用相同的密码,但我只会在同样无意义的帐户之间使用相同的密码,而不会在有价值的帐户和不有价值的帐户之间使用相同的密码。
尤其是 Google Play应该使用 SSL,因为 Google 已采取一项政策,即当您使用涉及 Google 帐户的服务连接到 Google 时,默认情况下会启用 SSL。这是一个非常明显且合理的决定:基本上,如今人们与 Google 的联系方式是,访问 Google 帐户意味着您可以访问他们的电子邮件、文档、购买的应用程序、购物历史记录,甚至可以购买应用程序并使用它们,或者通过 Google Checkout 购买商品并让它们寄给您。因此,风险很高,如今您必须非常努力才能通过常规 HTTP 访问任何经过 Google 认证的服务。
如果您坚持使用普通的旧式网络(所有内容都通过http或https不使用网络浏览器界面,没有在线游戏或自定义应用程序),您可以很容易地判断连接是否“可窥探”,前提是您没有受到证书颁发机构中间人的攻击:只需向您的浏览器询问有关https加密连接的更多信息,并确保证书链是您信任的(它应该由可公开验证的根 CA 组成,您可以通过谷歌搜索其名称来验证它们)。获取有关 https 连接的更多信息的方式取决于网络浏览器,但通常涉及单击锁定图标或单击地址栏。