Skip to content

第 8 章 即时通讯安全

本章导读:即时通讯(IM)软件——微信、QQ 以及各类聊天工具——是我们每天使用最多的应用,也是个人信息最密集流转的地方。一次聊天可能涉及身份、位置、关系、影像、文件,几乎等同于一个人的"数字生活缩影"。本章不教你"换用什么软件",而是帮你弄清三件事:① 怎么把自己的 IM 账号和设备本身防护好,包括微信、QQ 里那些常被忽略的设置入口;② 为什么"聊天内容"和"聊天元数据"是两回事,后者往往更值得警惕;③ 端到端加密到底是什么、为什么它是隐私的"金标准",以及它究竟能挡住什么、挡不住什么。读完本章,你会对每天发出的每一条消息有全新的认识。


🟢 基础:先把账号和设备守住

IM 的第一道防线不在消息内容,而在账号本身。账号一旦被盗,所有聊天记录、联系人、绑定的支付都可能沦陷,而且盗号者常以你的身份向亲友行骗,造成的损失远超账号本身。

1. 账号保护三件套

  • 强密码 + 二次验证:微信、QQ 等账号务必设置独立强密码(详见第 5 章),并开启平台提供的账号保护与登录验证。
    • 微信:打开「我 → 设置 → 账号与安全」,这里集中了微信密码手机号登录设备管理账号保护等入口。「账号保护」开启后,在新设备登录除密码外还需要手机号验证;若已绑定邮箱或紧急联系人,也建议一并设置,以便账号异常时申诉找回。
    • QQ:打开「QQ → 左上角头像 → 设置 → 账号安全」,可设置设备锁登录设备管理密码与密保。设备锁开启后,新设备首次登录需通过手机 QQ 或短信二次确认,是阻挡异地盗号的关键开关。
    • 登录提醒:微信在「账号与安全 → 登录设备管理」可看到所有在线设备;QQ 在「账号安全 → 登录设备管理」同样提供此功能。建议每次借过他人手机、用过公共电脑登录后,都回这里把对应设备"踢下线"。
  • 登录设备定期清理:在「登录设备管理」中,定期查看并移除不认识或不再使用的登录设备。一旦发现陌生设备登录,立即移除并改密,随后检查"我的钱包""银行卡""自动扣费"等绑定项有无异常变动。
  • 绑定信息要常更新:手机号更换后,务必第一时间到「账号与安全」更新绑定。许多人因为换号没解绑,旧号码被运营商回收再放号,新号主凭短信验证就能登录其 IM 账号——这是真实而高频发生的事故。

2. 隐私设置:别让"找到你"太容易

主流 IM 默认的隐私设置往往偏向"开放",建议主动收紧。以下路径以近版本为例,不同版本菜单名称可能略有差异:

  • 加我为好友的方式:微信「我 → 设置 → 朋友权限 → 添加我的方式」,可分别开关"手机号、QQ 号、群聊、我的微信号、名片分享"。把不必要对外敞开的渠道关掉,能显著降低被陌生人精准定位和营销骚扰的概率。QQ 在「设置 → 隐私 → 谁可以加我为好友」中也提供类似分级。
  • 朋友圈权限:微信「我 → 设置 → 朋友权限 → 朋友圈」,可设置可见范围(如"最近三天""最近一个月""仅特定分组"),并关闭"允许陌生人查看十条"。三天可见并非"防窥万能",但能让旧动态不再长期暴露。
  • 展示范围:关闭"添加我的方式"中不必要的渠道;谨慎开启"附近的人""摇一摇""同城"等基于位置的功能——这些功能会主动向周围陌生人暴露你的存在与近似距离,使用后建议及时在「发现 → 摇一摇」等入口里关闭并清除位置信息。
  • 微信号的设置:许多人不知道微信号(以 wxid_ 或自定义开头的那串)一旦设置,在原规则下长期不能修改,即便现在放宽了修改次数限制,频繁变更也会让朋友混淆。设置时避免使用生日、姓名拼音、手机号等可猜测内容。

3. 对聊天记录"留痕"要有清醒认识

一个被广泛忽视的事实:你的聊天记录比你以为的留存得更久、传得更广:

  • 云端备份:开启了云备份(如微信聊天记录迁移、iCloud 备份、各厂商云空间)的聊天记录会同步到云端账户——这意味着账号被盗即记录泄露。备份是为了不丢,但备份的另一面就是"多一份留存"。
  • 对方设备:你发出的每一条消息,都同时存在于对方的设备和备份中——你删了自己的记录,删不掉对方那份。即便你在某版本中"撤回"了消息,也只是删除了对方屏幕上的当前显示,撤回有时限(微信约 2 分钟),且对方可能已经截图。
  • 转发与截图:任何消息都可能被对方转发或截图,脱离你的控制。带有"转发溯源标记"的内容,你的身份会随转发链一路扩散到陌生群组。
  • 群聊:群里的发言会被所有群成员留存,大群等于公开发言。一个 500 人群里,你说的一句话理论上会被 500 个设备各自保存,任何一个成员退出群聊也不会"撤回"已经留在别人手机里的记录。

🟢 牢记一条原则:在 IM 里发出任何内容前,都假设它"可能被永久保存、可能被转发给第三方、可能在某一天被你不再信任的人看到"。涉及身份证号、银行卡、密码、家庭住址、私密影像的信息,能不发就不发,必须发就脱敏(如遮挡关键数字,详见本章进阶小节)。

4. 敏感信息脱敏:在 IM 里传递时的务实技巧

生活和工作中总有些场合不得不通过 IM 传递相对敏感的资料(身份证照片给中介办手续、病历给医生咨询、合同给律师审阅)。与其追求"绝对不发",不如建立一套轻量的脱敏习惯:

  • 图像关键数字遮挡:身份证可只拍正面、用马赛克或贴纸挡住后 8 位中的一部分;银行卡只暴露卡号后四位;快递单、外卖单撕毁或涂掉姓名、电话、地址后再丢弃。
  • 分层提供:对方需要什么就给什么,不必一股脑全发。例如租房只发身份证号即可,不必发完整证件照片;线上咨询医生发检查报告时,可遮挡真实姓名改为编号。
  • 使用阅后即焚或临时查看:部分 IM 提供"限时查看"图片(如微信"闪照"、QQ"闪照")。注意这只是"减少留存",无法阻止对方拍照留存——把它当作"降低随手保存的概率",而非"绝对保护"。
  • 关键凭证改为口述:银行验证码、动态口令、一次性密钥等,优先电话口述而非文字发送;若必须文字,用毕立即删除双方会话。
  • 涉及私密影像的特殊提醒:任何私密影像都不建议通过 IM 传递,即便对方是亲密伴侣。一旦关系破裂、设备丢失、账号被盗,这类影像是勒索、报复性传播最常用的素材。这不是"不信任眼前人",而是为未来不可控的状态留余地。

🟡 进阶:元数据——比内容更该警惕的东西

多数人只关心"聊天内容会不会被看到",却忽视了元数据(metadata)——关于通信本身的数据。元数据不包含消息内容,但它记录的是:谁、在何时、和谁、用什么设备、通信了多久、在什么位置

元数据为什么威力巨大

研究反复表明,元数据的揭示力远超直觉。下面这些生活化例子,可以帮助理解"看不到内容也能画出一个人":

  • 关系推断:仅看通话和聊天频次,就能识别出谁是你的伴侣(早中晚密集联系)、谁是同事(工作时段短促联系)、谁是许久不联系却突然出现的旧友(往往是借钱或婚丧嫁娶)。
  • 作息还原:每天 23:00 后通信静止、7:30 开始活跃,可推断作息;若某段时间频繁在某医院附近的基站出现,且与某医生频繁通信,可推断就医状况。
  • 行踪还原:聊天时不经意分享的"我刚到机场""在 XX 餐厅"等片段信息,叠加起来就是完整轨迹图。
  • 身份关联:你的手机号关联着 IM 账号、支付账户、快递、银行,一处元数据泄露可顺藤摸瓜勾连整套身份。
  • 群体画像:一个群的存在、成员构成、活跃时间本身就是完整的组织关系图——某公司"核心技术群"的成员名单和活跃时段,就是一份现成的组织架构与工作节奏情报。

这就是为什么在隐私保护的语境里,"通信内容加密"只是上半场,"元数据最小化"是更难的下半场。对个人而言,元数据的"最小化"意味着:能不分享就不分享、能不定位就不定位、能在意就不在群里报人数、能私聊就不群发。

主流 IM 的存储模型:传输加密 ≠ 端到端加密

这里要澄清一个非常常见的误解。很多人以为"微信/QQ 是加密的,所以很安全"。需要区分两个概念:

  • 传输加密(Transport Encryption):消息在你手机和服务器之间传输时是加密的(防止传输途中被第三方窃听,例如公共 Wi-Fi 嗅探)。主流 IM 基本都做到了这一层,这也是为什么"用免费 Wi-Fi 截微信"在实际中已不可行。
  • 端到端加密(End-to-End Encryption, E2EE):消息只有发送方和接收方能解密,服务器、平台本身都无法看到内容。

关键区别:微信、QQ 等国内主流 IM 采用的是传输加密,并非端到端加密——这意味着消息在服务器侧是以"平台可读取"的形式存储的。这不是缺陷,而是这些产品的设计选择(便于云同步、跨设备、内容审核、合规义务等),但它意味着:你对平台而言,聊天内容并非"看不见"

为方便区分,下表对比两种加密模型在关键维度上的差异:

维度传输加密(如 HTTPS)端到端加密(E2EE)
谁能解密内容发送方、接收方、服务方仅发送方、接收方
服务端存储形态通常为可读或可解密形态仅密文,服务方无法解密
第三方窃听(路上)已阻挡已阻挡
服务方主动查看技术上可行技术上不可行
配合执法提供数据可提供明文仅能提供密文
跨设备同步方便受私钥所在设备限制

理解这一点后,合理结论是:

  • 🟡 不要把 IM 当作"绝对私密"的渠道传递极其敏感的信息(密码、密钥、私密影像)。
  • 🟡 意识到合规义务的存在:平台依据法律承担一定的内容管理义务,这意味着内容并非在所有情况下都对平台"透明不可见";配合执法时,平台依法可能提供相应数据。这是所有境内服务的共同合规底线,不分产品。
  • 🟡 理解"传输安全"和"内容私密"是两个维度:传输加密保护的是"路上不被第三方偷看",并不等同于"内容对服务方也保密"。

群、转发、截图、文件的额外风险

  • 群聊:发言等于"多对多"公开,人数越多风险越高;群文件可能被任何人下载留存,且退出群聊不会"回收"已下载的副本。一个临时工作群里分享的客户名单,可能在三年后被某个早已离职的群成员留存在私人网盘里。
  • 转发与溯源:断章取义风险,加上"转发水印/溯源标记"后,你发的原创内容可能被关联到你的身份。具体案例:有人在小区业主群里抱怨物业,被截图转发到物业工作群,溯源标记直接显示原始发言人;有人在公司群里吐槽,被同事转发到外部群,溯源一路追溯到本人。
  • 截图:截图是 IM 里最不可控的"二次留存"。即便消息被撤回、即便你删除了会话,只要对方截过图,内容就脱离了你的所有控制流入了对方的相册、云备份乃至二次分享。给敏感对话设定"假设对方会截图"的心理预期是务实做法。
  • 文件:文档可能内嵌追踪标记(如 Office 文档的作者信息、修订记录、宏、隐藏字体链接、图片外部引用)。打开陌生文档前在隔离环境查看更稳妥;发给外部的文件,建议用"另存为 PDF"或"导出为 PDF"来固定内容,既减少内嵌元信息,也避免修订记录泄露修改过程。

🔴 深度:端到端加密(E2EE)原理与选型考量

E2EE 是怎么工作的

端到端加密的核心是公钥密码学(asymmetric cryptography),也叫非对称加密。理解它的关键,是区分"两把钥匙":

  1. 每个用户在本地生成一对密钥:公钥(public key,可公开,相当于你的公开信箱地址)和私钥(private key,绝不外泄,仅存于本人设备,相当于只有你有的信箱钥匙)。
  2. 这对密钥有数学上的奇妙关系:用公钥加密的内容,只能用对应的私钥解密;反之亦然。这是 E2EE 的数学根基。
  3. 你给某人发消息时,你的设备先用对方的公钥把明文加密成密文;这条密文经过网络、传到服务器、再传到对方设备。
  4. 只有持有对应私钥的对方,才能用自己的私钥把密文还原成明文。服务器全程只看到一串无意义的密文,无法读取内容
  5. 身份验证:为防止"中间人冒充对方公钥",E2EE 系统通常引入"身份密钥指纹"机制——双方可线下或通过另一可信渠道核对一段短指纹(如 60 位安全数字),一致即确认公钥未被掉包。Signal、WhatsApp 都提供这种"安全码核对"功能,只是大多数用户从未用过。

这带来了一个本质区别:在 E2EE 下,平台在技术上也无法读取你的消息——即使接到要求,它也只能交出密文,而解密所需的私钥根本不在它手上。这也是为什么 E2EE 被视为消息隐私的"金标准"。

但 E2EE 并非万能,它有几条重要边界:

  • 不保护元数据:谁能和谁通信、何时通信、通信频次,这些"信封上的信息"依然对平台可见。
  • 不保护端点:如果对方把消息截图、被装了键盘记录木马、或主动转发给第三人,E2EE 无能为力。加密保护的是"传输途中",不保护"已经到达对方设备之后"。
  • 依赖私钥安全:一旦设备被入侵、私钥被窃取,此前和此后的消息都可能被解密。私钥的本地存储(如 Secure Enclave、Android Keystore)是 E2EE 工程实现的关键环节。

哪些软件采用了 E2EE(事实陈述)

需要客观说明,不同的 IM 在加密策略上存在差异:

  • Signal、WhatsApp、iMessage(部分场景) 等软件以端到端加密为核心特性。其中 Signal 是开源协议,WhatsApp 基于 Signal Protocol,iMessage 在用户双方均使用 Apple 设备且未回退到短信时启用 E2EE。
  • 国内主流 IM(微信、QQ 等)目前并非端到端加密,而是传输加密 + 服务器侧可访问的存储模型。
  • Telegram 等软件默认并非端到端加密(仅"私密聊天/Secret Chat"模式才是,且部分平台已不再支持)。

以上是对加密策略的客观事实陈述,不代表对任何软件的整体评价。每款软件在隐私、便利性、合规性、生态覆盖上有不同的权衡,选择哪一款更多取决于你的通信对象在哪、你的使用场景是什么。

选型的现实考量(合规优先)

在选用即时通讯工具时,需要综合考虑:

  1. 法律合规:在中国境内使用即时通讯服务,应当遵守中国法律法规。境外通讯工具的可用性可能受网络环境制约,且使用境外服务同样需遵守相关法律(详见第 11 章对网络访问的中性介绍)。本书不提供任何访问境外服务的具体技术方法。
  2. 通信对象的可达性:工具的价值取决于"你要联系的人在不在上面",这往往比加密特性更具决定性。一个加密再强但没人用的工具,无法构成实际通信渠道。
  3. 敏感信息的分层处理:对于绝大多数日常沟通,主流 IM 配合良好的账号防护已足够;对于极少数真正高敏感的内容(如大额资金凭证、关键合同条款、医疗影像),再考虑加密强度更高的渠道(且务必在合法合规前提下),或干脆改为线下沟通。
  4. 不把鸡蛋放一个篮子:即便主用某一 IM,也应保留至少一个备用沟通渠道,以防账号被封、设备丢失、服务故障时失联。

🔴 本书立场:本节对 E2EE 的介绍仅为技术原理科普,帮助你理解不同 IM 的机制差异。本书不指导任何规避网络访问限制、使用境外服务的具体方法。是否选用、如何选用某款通讯工具,请读者自行评估并遵守所在地的法律法规。

前向保密与"消失的消息"

一些 E2EE 工具还支持两项进阶特性,理解它们的原理有助于更清醒地使用:

  • 前向保密(Forward Secrecy):其核心机制是"每次会话使用临时密钥"。具体来说,通信双方通过 Diffie-Hellman 类的密钥交换协议,为每个会话(甚至每条消息)派生一次性会话密钥,用后即弃。这样一来,即使某个长期私钥未来被泄露或被破解,也无法用它回溯解密此前用临时密钥加密过的历史通信——过去的消息因为临时密钥早已销毁而继续保持安全。前向保密解决的是"一把钥匙被攻破、全历史曝光"的灾难性场景,是现代 E2EE 协议的标配。
  • 阅后即焚 / 消失消息(disappearing messages):消息在设定时间(30 秒、24 小时、7 天等)后自动从双方设备删除。它的价值在于降低长期留存的概率,而不是绝对保密——对方仍可截图、拍照、用另一台手机翻拍,甚至用系统级录屏。技术手段无法完全阻止有心之人留存内容,因此消失消息是"行为约束"而非"技术保证"。
  • 后向保密(Post-compromise Security):前向保密的"姊妹"概念——即便当前会话密钥被泄露,协议也会在后续密钥交换中自动"恢复"安全,使未来的消息重新不可解密。这是 Signal Protocol 等现代设计的另一个加分项。

这些功能进一步降低了记录长期留存的风险,但对方主动截图/拍照无法被技术手段完全阻止——因此最重要的仍是"不发出不该发出的内容"。再强的加密也保护不了已经发出去并被对方留存的明文。


本章检查清单

  • [ ] 我已为 IM 账号设置独立强密码并开启账号保护 / 登录验证 / 设备锁
  • [ ] 我知道微信「账号与安全」、QQ「账号安全」入口在哪里,并清理过登录设备列表
  • [ ] 我收紧了"加我为好友的方式"和朋友圈可见范围,关闭了不必要的位置功能
  • [ ] 我换过手机号后已及时更新 IM 账号绑定,防止旧号被回收再放号
  • [ ] 我理解传输加密 ≠ 端到端加密,知道国内主流 IM 服务器侧可访问
  • [ ] 我理解元数据的威力,知道"谁和谁通信"比内容更易泄露,并有意减少位置、作息等信息的暴露
  • [ ] 我不再把 IM 当作传递密码、私密影像等极度敏感信息的渠道,必要时会脱敏或改为线下
  • [ ] 我发文件给外部时习惯"导出 PDF"以减少内嵌元信息
  • [ ] 我理解 E2EE 的原理(公钥加密、私钥解密)、前向保密与阅后即焚的作用与边界
  • [ ] 我理解工具选型需"合规优先、综合考虑",不把全部沟通压在单一 IM 上

延伸阅读

  • 账号与密码防护详见第 4、5 章
  • 设备层面的防护详见第 6 章
  • 网络访问与合规边界的中性介绍见第 11 章
  • 亲密关系中 IM 被滥用作监视的问题见第 17 章(家庭防护)。

⚠️ 本章对不同 IM 加密策略的描述为客观事实陈述,旨在帮助读者理解技术差异,不构成对任何特定产品的推荐或否定。涉及工具选用,请读者自行评估并遵守法律法规。


⬅ 上一章 第 7 章 应用与 SDK | ➡ 下一章 第 9 章 浏览器与追踪

本书仅作防御科普,不构成法律建议。部分设置可能影响 App 正常功能,请自行评估。