主题
附录B 推荐工具清单
本附录导读:面对第 3 章列出的五类威胁主体,工具是把"威胁建模"落到实处的最后一公里。本附录只收录在境内合法合规、定位为防御的工具——密码管理器、双因素认证、隐私浏览器、广告追踪拦截、权限审计、备份与加密等。所有工具按 🟢基础 / 🟡进阶 / 🔴深度 三级标注(口径见第 3 章),并标注对应正文章节,方便你按需取用。
使用说明
- 先打基础再进阶:🟢 级未完成前,不要急着上 🔴 级工具。第 3 章已说明,跳级是本末倒置。
- 工具是手段,不是目的:任何工具都不能替代良好的使用习惯。再强的密码管理器,主密码泄露也会全军覆没。
- 开源优先:本附录优先推荐开源或免费工具,因其代码可审计、供应链更透明。商业工具如列入,会在"开源/免费"列标注。
- 平台标注约定:Win=Windows;mac=macOS;iOS=苹果移动端(含 iPadOS);And=Android;Lin=Linux;跨=跨平台。
- 注意点列只记录该工具的关键取舍或坑点,不面面俱到,实际使用请结合官方文档。
一、密码与认证
对应正文:第 4 章 手机号与账号、第 5 章 密码与双因素认证。
🟢 基础(大众必读)
| 名称 | 用途 | 平台 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| 系统自带钥匙串 | 存密码、自动填充、生成强密码 | iOS/mac(iCloud 钥匙串);And(Google 密码管理);Win(Microsoft 账户) | 免费 | 设备锁屏务必设强;跨生态同步受限 |
| 浏览器内置密码管理 | 日常网站密码存储与填充 | Chrome/Edge/Firefox/Safari | 免费 | 浏览器登录态本身需要强账户密码+锁屏保护 |
| Microsoft Authenticator / Google Authenticator | TOTP 双因素验证码生成 | iOS/And | 免费 | 换手机务必先在旧机解除绑定,否则会被锁出 |
| 国家反诈中心 App | 诈骗来电/短信预警、可疑链接检测 | iOS/And | 免费 | 需开启来电识别与短信检测权限方有效 |
🟡 进阶(实操配置)
| 名称 | 用途 | 平台 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| Bitwarden | 全功能云同步密码管理器 | 跨 | 开源,免费版足够个人使用 | 主密码是唯一钥匙,务必长且唯一,并设紧急联系人 |
| 1Password | 商业密码管理器,家庭共享完善 | 跨 | 商业付费 | "旅行模式"可在过境时临时清空本地敏感数据 |
| Aegis Authenticator | And 上的开源 2FA,支持加密备份 | And | 开源免费 | 备份导出后务必离线保存,避免单点丢失 |
| ente Auth / Tofu | 跨平台加密 2FA / iOS 开源 2FA | 跨/iOS | 开源免费 | ente Auth 支持端到端加密同步 |
🔴 深度(原理与对抗)
| 名称 | 用途 | 平台 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| KeePassXC | 完全离线的本地密码库 | Win/mac/Lin | 开源免费 | 需自行解决多设备同步(建议自托管云盘+加密卷) |
| YubiKey / FIDO2 安全密钥 | 硬件双因素,抗钓鱼 | 跨(USB-C/A/NFC) | 商业付费 | 至少配两把,一把备用;部分国内服务不支持,使用前确认 |
| Passkey(通行密钥) | 基于公钥密码的无密码登录 | 主流平台均支持 | 免费 | 私钥不出设备,抗钓鱼能力强;务必确认设备间同步与找回路径 |
| Vaultwarden | 自托管 Bitwarden 兼容服务端 | 跨(需自备服务器) | 开源免费 | 需自行维护安全更新;适合有运维能力的读者 |
📌 关于 Passkey:通行密钥是 FIDO 联盟与 W3C 推动的开放标准,苹果、谷歌、微软与主流国内厂商均在接入。它用设备本地私钥替代密码,本质是更安全的认证,而非任何网络规避手段。
二、浏览器与追踪防护
对应正文:第 7 章 App 与 SDK、第 9 章 社交媒体与内容平台。
🟢 基础(大众必读)
| 名称 | 用途 | 平台 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| Firefox(Mozilla 官方版) | 开源浏览器,隐私设置可调 | 跨 | 开源免费 | 跨设备同步需注册 Mozilla 国际账户;与本地化版本账户体系不同,待复核 |
| Brave | 内置广告与追踪拦截的浏览器 | 跨 | 开源免费 | 自带的加密货币功能可在设置中关闭 |
| Safari | iOS/mac 内置浏览器,智能防追踪(ITP) | iOS/mac | 免费 | ITP 默认阻断已知跨站追踪器,无需额外配置 |
| uBlock Origin | 轻量广告与追踪拦截扩展 | Firefox/Chrome/Edge | 开源免费 | 仅从浏览器官方扩展商店安装,警惕同名仿冒 |
🟡 进阶(实操配置)
| 名称 | 用途 | 平台 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| Privacy Badger | EFF 出品,自动学习追踪器并拦截 | 跨(浏览器扩展) | 开源免费 | 与 uBlock Origin 互补,可并用 |
| Firefox Multi-Account Containers | 把不同网站隔离进独立"容器" | Firefox | 开源免费 | 适合把工作/私人/小号 cookie 分开,互不串扰 |
| DuckDuckGo Privacy Essentials | 强制 HTTPS、阻断追踪 | 跨(扩展/浏览器) | 开源免费 | 搜索引擎本身不记录查询 IP |
| 浏览器隐私设置自查 | 关闭第三方 cookie、关闭跨站追踪、定期清 cookie | 所有浏览器 | 免费 | Chrome/Edge/Safari/Firefox 均有"隐私"或"安全"设置入口 |
🔴 深度(原理与对抗)
| 名称 | 用途 | 平台 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| arkenfox user.js | Firefox 高强度隐私配置预设 | Firefox | 开源免费 | 会牺牲部分网站便利性,需自行维护白名单 |
| LibreWolf | Firefox 的隐私强化分支 | Win/mac/Lin | 开源免费 | 默认关闭遥测、加强指纹防护;可能与部分国内站点兼容性较差 |
| 浏览器指纹防护(原理) | 理解 canvas/WebGL/字体指纹机制 | 所有浏览器 | — | 见第 9 章;本附录不列入专门的指纹伪装工具,因其与"伪装身份"边界敏感 |
📌 扩展安装纪律:所有扩展只从浏览器官方商店安装,绝不从第三方下载;扩展权限最小化,定期清理不用的扩展——恶意扩展是窃取浏览器数据的常见渠道。
三、手机权限与 App 审计
对应正文:第 6 章 手机系统与权限、第 7 章 App 与 SDK。
🟢 基础(大众必读)
| 名称 | 用途 | 平台 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| iOS"隐私与安全性"设置 | 查看/回收 App 权限、查看 App 活动记录 | iOS/iPadOS | 免费 | "App 隐私报告"可看到各 App 用了哪些权限、连了哪些域名 |
| Android 权限管理 + 隐私仪表板 | 权限授予总览、最近访问记录 | And(系统内置) | 免费 | 各厂商 UI 略有差异,入口名称常为"权限与隐私" |
| 微信"个人信息与权限" | 查看/关闭微信个性化广告、清除画像 | iOS/And | 免费 | 关闭后广告仍会展示,只是不基于个性化画像 |
| 应用商店隐私标签 | 安装前查看 App 收集哪些信息 | iOS App Store / And 商店 | 免费 | 标签由开发者自报,仅作参考,不能完全替代审计 |
🟡 进阶(实操配置)
| 名称 | 用途 | 平台 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| AppOps(Android) | 细粒度权限控制(如"模糊定位""空权限") | And | 开源免费(部分厂商内置) | 需通过 adb 或 Shizuku 授权,门槛略高 |
| Shizuku | 让 App 以系统级权限运行,无需 root | And | 开源免费 | 配合 AppOps、Island 等使用;每次重启需重新激活 |
| Island / Shelter | 工作 profile 隔离,把不信任的 App 关进"孤岛" | And | 开源免费 | 适合把电商/资讯类 App 放进隔离区,避免读取主通讯录 |
| adb(android debug bridge) | 卸载/禁用预装 App、批量审计 | And(需电脑配合) | 开源免费 | 误删系统组件可能变砖,操作前备份数据 |
🔴 深度(原理与对抗)
| 名称 | 用途 | 平台 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| 网络抓包(PCAPdroid / mitmproxy / Charles) | 查看 App 联网行为,审计是否偷传数据 | 跨 | 开源/部分免费 | 仅审计自有设备,不得用于他人设备 |
| App 静态分析(jadx / Apktool) | 反编译查看 App 申请的权限与 SDK 清单 | 跨(电脑端) | 开源免费 | 仅用于学习与研究自有安装包 |
| Exodus Privacy | 在线扫描 App 含有哪些追踪 SDK | Web | 开源免费 | 主要覆盖国际 SDK,国内 SDK 覆盖有限 |
| NetGuard 等本地防火墙 | 按 App 拦截联网,看谁在后台偷连 | And | 开源免费(基础功能) | 部分基于本地 VPN 通道实现,属本地防火墙,详见第 11 章 |
四、网络与路由
对应正文:第 11 章 网络访问控制机制。本节严格遵守只列防御工具的口径,不含任何网络访问、匿名化、规避、代理类工具。
🟢 基础(大众必读)
| 名称 | 用途 | 平台/范围 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| 路由器管理面口令修改 | 替换默认 admin/admin | 所有家用路由器 | 免费 | 同时改掉默认 Wi-Fi 名称与密码,关闭 WPS |
| 路由器固件及时升级 | 修补已知漏洞 | 所有路由器 | 免费 | 开启自动升级;型号太老不再获得补丁的建议更换 |
| 公共 WiFi"三不"原则 | 不网银、不转账、不输密码 | 所有设备 | 免费 | 警惕同名假热点,敏感操作优先使用蜂窝网络 |
| 关闭路由器远程管理 / UPnP | 减少外网暴露面 | 路由器 | 免费 | UPnP 便利性与风险并存,家庭环境建议关闭 |
🟡 进阶(实操配置)
| 名称 | 用途 | 平台/范围 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| 加密 DNS(DoH/DoT) | 防止 DNS 查询被本地中间人窥探/篡改 | iOS/And/mac/Win/路由器 | 免费 | 可选阿里公共 DNS、DNSPod 等合规 DoH 服务;配置方法见各服务官方文档 |
| AdGuard Home(本地部署) | 在自家网络上做 DNS 级广告/恶意域名拦截 | 路由器/树莓派/NAS | 开源免费 | 部署在家庭网关之后,所有连该 WiFi 的设备生效 |
| 访客网络/IoT 分段 | 把访客与智能家居设备隔离到独立子网 | 主流路由器 | 免费 | 智能家居设备单独一段,不与手机/电脑同段 |
🔴 深度(原理与对抗)
| 名称 | 用途 | 平台/范围 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| DNS 协议对比(DoH / DoT / DoQ) | 理解不同加密 DNS 的传输层差异 | 理论 | — | 见第 11 章机制讲解 |
| 自建本地 DNS 缓存(dnsmasq / CoreDNS) | 加速解析+本地过滤 | Lin/路由器 | 开源免费 | 需一定运维能力 |
| 家庭网关流量可视化(ntopng 等) | 了解哪些设备在和哪些域名通信 | 路由器/NAS | 开源/部分付费 | 仅审计自家网络,用于发现异常外联 |
⚠️ 再次声明:本节不收录任何用于改变网络路由、绕过访问控制或匿名化的工具。相关机制与个人法定权利的讨论见第 11 章,本附录只负责防御侧。
五、数据备份与泄露自查
对应正文:第 14 章 云与存储、第 15 章 诈骗与社会工程、第 18 章 应急响应、第 16 章 法律武器与维权。
🟢 基础(大众必读)
| 名称 | 用途 | 平台/范围 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| 手机本地备份到电脑 | 定期把照片/通讯录/重要资料备份到 PC | iOS(mac)/And(Win/mac) | 免费 | iOS 用 Finder/iTunes 整机加密备份;And 用厂商工具或文件复制 |
| 各大账号"导出我的数据" | 行使复制权,下载平台持有你的数据 | 各平台(微信/支付宝/淘宝/京东等) | 免费 | 这是第 1 章八项权利中"复制权"的落地,操作见附录 A |
| 国家反诈中心 App 风险自查 | 检测本机是否装有可能涉诈 App | iOS/And | 免费 | 定期运行一次,尤其给家中老人开启 |
| 微信/支付宝账号安全中心 | 查看登录设备、修改密码、紧急冻结 | iOS/And | 免费 | 发现陌生设备登录立即下线 |
🟡 进阶(实操配置)
| 名称 | 用途 | 平台/范围 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| Have I Been Pwned | 查询邮箱/手机号是否出现在已知泄露库 | Web | 免费 | 国际服务,主要覆盖英文互联网泄露库 |
| 各平台官方"账号信息查询" | 国内大厂提供的"看平台记录了我什么"入口 | Web/App | 免费 | 见附录 A 速查表 |
| Cryptomator | 为云盘文件做端到端加密后再上传 | 跨 | 开源免费(移动端部分功能付费) | 把敏感资料放进加密保险库再同步,云服务商看不到明文 |
| Duplicati | 增量加密备份到本地/云 | Win/mac/Lin | 开源免费 | 支持多种后端,需自行配置计划任务 |
🔴 深度(原理与对抗)
| 名称 | 用途 | 平台/范围 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| 3-2-1 备份原则 | 3 份副本、2 种介质、1 份异地 | 方法论 | — | 见第 14 章;异地不等于云,亲友家也行 |
| Restic / BorgBackup | 增量去重加密备份(命令行) | 跨 | 开源免费 | 适合有 NAS 或服务器的读者 |
| RAID / ZFS | 存储冗余,防单盘故障 | NAS/服务器 | 软 RAID 免费 | RAID 不是备份,防硬件故障不防误删与勒索 |
| 三层组合方案 | 密码(KeePassXC)+ 文件(Cryptomator)+ 异地云备份 | 跨 | 全部开源免费 | 完整方案见第 14 章 |
六、文件加密与安全删除
对应正文:第 10 章 电脑与操作系统、第 12 章 物理与设备安全。
🟢 基础(大众必读)
| 名称 | 用途 | 平台/范围 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| 设备全盘加密 | 手机/电脑默认开启磁盘加密 | iOS/mac(FileVault)/Win(BitLocker)/And(默认) | 免费 | iOS/And 自 2015 年代起默认开启;务必设置强锁屏密码,它是解密钥匙 |
| 备忘录/笔记加密 | 给敏感笔记单独加锁 | iOS/And/系统备忘录 | 免费 | 密码遗失后通常无法找回,务必记牢或备份 |
| 压缩包加密(7-Zip) | 用 AES-256 加密打包文件再传输 | Win/mac/Lin | 开源免费 | 密码长度 ≥ 12 位;勾选"加密文件名"防泄露元数据 |
🟡 进阶(实操配置)
| 名称 | 用途 | 平台/范围 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| VeraCrypt | 创建加密虚拟磁盘卷,可整盘加密 | Win/mac/Lin | 开源免费 | 隐藏卷功能适合敏感数据;务必先看官方文档再上手 |
| BitLocker To Go | 加密 U 盘/移动硬盘 | Win Pro 及以上 | Win 内置 | 恢复密钥务必离线备份,遗失即数据不可恢复 |
| 文件粉碎(BleachBit / Eraser) | 多次覆写以删除 HDD 上的敏感文件 | Win/mac/Lin | 开源免费 | 仅对机械硬盘可靠;SSD 因磨损均衡效果不保证,建议全盘加密替代 |
🔴 深度(原理与对抗)
| 名称 | 用途 | 平台/范围 | 开源/免费 | 注意点 |
|---|---|---|---|---|
| LUKS | Linux 全盘加密标准 | Lin | 开源免费 | 与 BitLocker/FileVault 机制类似,密钥派生自用户口令 |
| 安全删除原理(Gutmann / 单遍覆写) | 理解为什么现代 SSD 上"安全删除"基本失效 | 理论 | — | 见第 12 章;结论:全盘加密 + 物理销毁是更可靠方案 |
| 冷启动攻击与内存密钥保护 | 理解设备睡眠/丢失时密钥在内存中的风险 | 理论 | — | 见第 12 章;对策是设置短时间自动锁屏与"睡眠即锁" |
通用使用原则
无论选哪类工具,以下四条原则贯穿全书:
- 最小授权:任何工具只授予它完成功能所需的最小权限,不用的扩展/App 立即卸载。
- 代码可审计优先:同等条件下,开源工具优于闭源;有活跃社区与定期更新的工具优于停滞项目。
- 不依赖单点:密码库、加密卷、备份各保留至少两份,一份离线/异地(见第 14 章 3-2-1 原则)。
- 工具会过期:每年至少一次回顾自己装了哪些工具,删除不再维护或不再需要的——僵尸工具本身是风险。
本章检查清单
- [ ] 我已部署至少一个 🟢 级密码管理方案,并为主密码设了强且唯一的口令
- [ ] 我已为核心账号(邮箱、支付、微信)开启 2FA
- [ ] 我的浏览器已装至少一个广告/追踪拦截扩展,且来自官方商店
- [ ] 我在过去 30 天内检查过一次手机 App 权限
- [ ] 我的路由器已改默认密码、关闭了 WPS 与远程管理
- [ ] 我有一份本地加密备份,且测试过能成功恢复
- [ ] 我的核心设备已开启全盘加密与自动锁屏
延伸阅读与参考来源
- 各工具的官方网站与官方文档(本附录未逐字列出链接,因链接易失效,请通过工具名自行检索)
- 本书正文相关章节(见各表"对应章节"列)
- 国家互联网信息办公室、公安部发布的个人信息保护、反诈骗相关规范性文件
- FIDO Alliance / W3C 关于 Passkey 的开放标准文档
⚠️ 工具版本、功能与平台支持会随时间变化,本附录信息以 2026-07-14 为基准,如有重大变更请以官方文档为准。本书的推荐不构成对任何商业产品的背书。
⚠️ 免责声明:本书仅作防御科普,不构成法律建议;部分工具在特定场景下的使用需读者自行评估合规性与影响,涉及重要数据操作前建议咨询专业人士。
⬅ 上一章 附录A 平台隐私设置速查 | ➡ 下一章 附录C 法律条文速查