RaazNet

رازنتبتا

دانشنامه
در این صفحه

بهداشت دیجیتال و چرخه عمر حساب کاربری

یک راهنمای جامع برای مدیریت ردپای دیجیتال شما در بستر ایران، از ایجاد امن حساب کاربری و بهداشت روزانه تا اقدامات ضد داکسینگ و حذف ایمن حساب.

Time15 minutes

بهداشت دیجیتال و چرخه حیات حساب کاربری

«بهداشت دیجیتال» فقط به معنای جلوگیری از دریافت هرزنامه (اسپم) نیست؛ بلکه یکی از اجزای حیاتی امنیت عملیاتی (OpSec) است. دستگاه نظارتی جمهوری اسلامی به شدت بر تطبیق و ارتباط دادن نقاط داده تکیه دارد - مانند پیوند دادن یک شماره تلفن به یک آیدی تلگرام، یا یک آدرس IP به یک مکان فیزیکی.

این راهنما کل چرخه حیات حضور دیجیتال شما را پوشش می‌دهد و تضمین می‌کند که ردپای خود را به حداقل برسانید، هویت خود را تفکیک کنید و داده‌ها را در زمانی که دیگر به آن‌ها نیازی ندارید، به طور ایمن از بین ببرید.

فاز ۱: ایجاد امن حساب کاربری

مؤثرترین راه برای محافظت از حریم خصوصی، محدود کردن داده‌هایی است که از همان ابتدا ارائه می‌دهید.

۱. تفکیک هویت (Identity Compartmentalization)

هرگز از هویت قانونی خود (نام واقعی، کد ملی) استفاده نکنید، مگر اینکه قانوناً الزامی باشد (مانند امور بانکی).

  • فعال مدنی در برابر زندگی شخصی: فعالیت سیاسی خود را کاملاً از زندگی شخصی‌تان جدا نگه دارید. از مرورگرهای مختلف، حساب‌های مختلف و در حالت ایده‌آل، از دستگاه‌های متفاوت استفاده کنید.
  • نام‌های مستعار (Pseudonyms): از نام‌های مستعار ثابت برای فعالیت‌های خاص استفاده کنید، اما هرگز آن‌ها را به نام واقعی خود مرتبط نکنید.

۲. ساخت نام مستعار برای ایمیل (Email Aliasing)

از ارائه آدرس ایمیل اصلی خود به هر سرویسی خودداری کنید. اگر یک سرویس هک شود، ایمیل اصلی شما — و به طور بالقوه هویت شما — فاش می‌شود.

  • استفاده از نام‌های مستعار (Aliases): سرویس‌هایی مانند SimpleLogin (متعلق به پروتون) یا Addy.io به شما امکان می‌دهند برای هر حساب کاربری یک آدرس ایمیل منحصربه‌فرد ایجاد کنید (مثلاً shop.ir@alias.com). این سرویس‌ها ایمیل‌ها را به صندوق ورودی واقعی شما فوروارد می‌کنند.
  • مزیت: اگر یک نام مستعار، اسپم یا فیشینگ دریافت کرد، می‌توانید فوراً آن را غیرفعال کنید. همچنین ارائه‌دهنده ایمیل واقعی خود را از سرویس مدنظر پنهان نگه می‌دارید.

۳. شماره تلفن‌ها و تأیید پیامکی (SMS Verification)

در ایران، سیم‌کارت‌ها به کد ملی شما متصل هستند. استفاده از شماره ۹۸+ برای حساب‌های حساس (تلگرام، توییتر/ایکس، سیگنال) یک خطر امنیتی جدی است.

  • اجتناب از احراز هویت دومرحله‌ای پیامکی (SMS 2FA): اگر جایگزینی (مانند برنامه‌های Authenticator، کلید سخت‌افزاری) وجود دارد، هرگز از پیامک برای احراز هویت دومرحله‌ای استفاده نکنید. پیامک‌ها رمزنگاری نشده‌اند و به راحتی توسط اپراتورهای تلفن همراه (همراه اول، ایرانسل) تحت فشار نهادهای حکومتی رهگیری می‌شوند.
  • شماره‌های مجازی: در صورت امکان، از شماره‌های مجازی (مانند Google Voice که البته دریافت آن دشوار است) یا سرویس‌های شماره ناشناس برای تأیید حساب استفاده کنید.
  • سیگنال: قابلیت «قفل ثبت‌نام» (Registration Lock) را فعال کنید تا حتی در صورت به خطر افتادن سیم‌کارت، حساب شما قابل ربودن (Hijack) نباشد.

۴. احراز هویت قوی

  • گذرواژه‌ها: از یک نرم‌افزار مدیریت گذرواژه (مانند Bitwarden، KeePassXC، 1Password) برای تولید گذرواژه‌های منحصربه‌فرد و پیچیده برای هر سایت استفاده کنید.
  • احراز هویت دو/چند مرحله‌ای (2FA/MFA): احراز هویت دومرحله‌ای را در همه جا فعال کنید. برنامه‌های تولید رمز یک‌بارمصرف زمانی (TOTP) (مانند Aegis در اندروید، Raivo/Ente در iOS) را بر پیامک ترجیح دهید.

فاز ۲: بهداشت مستمر و به حداقل رساندن داده‌ها

بهداشت دیجیتال نیاز به رسیدگی منظم دارد. یک یادآور (مثلاً هر ۳ ماه یک‌بار) برای بررسی این تنظیمات تنظیم کنید.

۱. ایمن‌سازی حساب گوگل (Google Account Hardening)

اگر از اندروید یا سرویس‌های گوگل استفاده می‌کنید، حساب شما حاوی حجم عظیمی از داده‌هاست.

  • بررسی حریم خصوصی (Privacy Checkup): بررسی حریم خصوصی گوگل را به طور منظم انجام دهید.
  • تاریخچه مکان (Timeline): گوگل در حال انتقال داده‌های «تایم‌لاین» است تا به‌جای فضای ابری، روی دستگاه ذخیره شوند.
    • اقدام: مطمئن شوید که برنامه Maps شما به‌روز است. تنظیمات حذف خودکار را پیکربندی کنید (مثلاً حذف داده‌های قدیمی‌تر از ۳ ماه).
    • خطر: درحالی‌که ذخیره‌سازی روی دستگاه از احضاریه‌های قانونی فضای ابری جلوگیری می‌کند، اما اگر تلفن شما توسط فتا (پلیس فضای تولید و تبادل اطلاعات) توقیف شود، داده‌ها از نظر فیزیکی قابل‌دسترسی هستند. برای دستگاه‌های حساس، تاریخچه مکان را کاملاً غیرفعال کنید.
  • فعالیت وب و برنامه (Web & App Activity): این مورد را روی حذف خودکار هر ۳ یا ۱۸ ماه تنظیم کنید.

۲. ممیزی شبکه‌های اجتماعی

  • تاریخچه پیوندهای فیس‌بوک (Link History): متا اخیراً «تاریخچه پیوندها» را معرفی کرده است که وب‌سایت‌هایی را که از طریق مرورگر فیس‌بوک بازدید می‌کنید، ردیابی می‌کند.
    • غیرفعال‌سازی: تنظیمات و حریم خصوصی (Settings & Privacy) ← تنظیمات (Settings) ← مرورگر (Browser) ← خاموش کردن Link History.
  • توییتر/ایکس: با استفاده از سرویس‌هایی مانند Redact.dev یا Semiphemeral، به طور منظم توییت‌های قدیمی را حذف کنید. پست‌های قدیمی می‌توانند برای استخراج داده‌های موقعیت مکانی یا تحلیل احساسات مورد ارزیابی قرار گیرند.
  • تلگرام:
    • نشست‌های فعال (Active Sessions) را به طور منظم بررسی کنید و به دستگاه‌های ناشناس پایان (Terminate) دهید.
    • گزینه خودتخریبی حساب (Account Self-Destruct) را روی حداقل زمان (۱ ماه یا ۳ ماه) تنظیم کنید.
    • مطمئن شوید که قابلیت مشاهده شماره تلفن روی «هیچ‌کس» (Nobody) تنظیم شده است.

۳. بهداشت مرورگر

  • افزونه‌ها (Extensions): افزونه‌ها را به حداقل برسانید تا امکان انگشت‌نگاری (Fingerprinting) مرورگر و سطح حمله کاهش یابد.
  • افزونه‌های ضروری:
    • uBlock Origin: برای مسدود کردن ردیاب‌ها، تبلیغات مخرب و برخی اسکریپت‌های سانسور ضروری است.
    • Privacy Badger: ردیاب‌های نامرئی را مسدود می‌کند.
  • پاک کردن داده‌ها: مرورگر خود را طوری پیکربندی کنید که هنگام خروج، کوکی‌ها و داده‌های سایت را پاک کند.

فاز ۳: حذف متادیتا و آماده‌سازی رسانه

عکس‌ها و اسناد حاوی داده‌های پنهانی (متادیتا/EXIF) هستند که می‌توانند مکان، مدل دستگاه و زمان ثبت شما را فاش کنند. این موضوع برای معترضان یا روزنامه‌نگاران خطرناک است.

۱. حذف متادیتا

قبل از اشتراک‌گذاری هر فایلی در یک کانال عمومی:

  • اندروید: از Scrambled Exif (از طریق F-Droid) یا ExifEraser استفاده کنید. ابتدا عکس را با این برنامه‌ها به‌اشتراک (Share) بگذارید تا قبل از ارسال، داده‌های آن حذف شود.
  • دسکتاپ: از MAT2 (ابزار ناشناس‌سازی متادیتا) استفاده کنید. این ابزار از تصاویر، فایل‌های صوتی و اسناد پشتیبانی می‌کند.
  • آی‌اواس (iOS): از یک میان‌بر (Shortcut) یا برنامه‌ای مانند Metapho یا ViewExif برای حذف داده‌های موقعیت مکانی استفاده کنید.

۲. تار کردن چهره (ناشناس‌سازی تصاویر)

پیکسلی کردن ساده اغلب قابل بازگردانی است. از ابزارهای پوشاندن مناسب استفاده کنید.

  • سیگنال: ایمن‌ترین و ساده‌ترین ابزار است. سیگنال را باز کنید، یک عکس انتخاب کنید، و از ابزار تار کردن (Blur) برای پنهان کردن خودکار چهره‌ها استفاده کنید. عکس را بدون ارسال کردن ذخیره کنید.
  • ObscuraCam: یک ابزار قدیمی‌تر است، اما هنوز برای برخی کاربردی است.
  • Putmask (اندروید): ابزاری مؤثر برای تار کردن چهره‌ها در ویدیوها.

هشدار: هرگز به استیکرهای شبکه‌های اجتماعی (مانند گذاشتن ایموجی اینستاگرام روی یک چهره) برای پنهان کردن هویت اعتماد نکنید. داده‌های تصویر اصلی ممکن است همچنان در سرورها وجود داشته باشند یا توسط پلتفرم قابل‌بازیابی باشند.

فاز ۴: اقدامات ضد داکسینگ و پاسخ به تهدید

داکسینگ (Doxxing) به معنای انتشار مخرب اطلاعات خصوصی است. در ایران، گروه‌های سایبری حامی حکومت اغلب فعالان را برای ارعاب آن‌ها داکس می‌کنند.

۱. پیشگیری از داکسینگ

  • خودتان را جستجو کنید: نام واقعی، نام کاربری و شماره تلفن خود را به طور منظم در گوگل و DuckDuckGo جستجو کنید تا ببینید چه اطلاعاتی از شما عمومی شده است.
  • قفل کردن شبکه‌های اجتماعی: پروفایل‌های اینستاگرام و فیس‌بوک را روی حالت خصوصی (Private) تنظیم کنید. لیست دنبال‌کنندگان خود را بررسی کرده و حساب‌های ناشناس را حذف کنید.
  • اسپم تقویم گوگل: مهاجمان می‌توانند دعوت‌نامه‌های اسپم را به تقویم شما ارسال کنند تا فعال بودن ایمیل شما را بررسی و تأیید کنند.
    • راه‌حل: تنظیمات تقویم گوگل (Google Calendar Settings) ← تنظیمات رویداد (Event Settings) ← «افزودن دعوت‌نامه‌ها به تقویم من» (Add invitations to my calendar) ← گزینه «فقط در صورتی که فرستنده شناخته شده باشد» (Only if the sender is known) را انتخاب کنید.

۲. دفاع در برابر جابجایی سیم‌کارت (SIM Swapping)

سیم‌سواپینگ یا جابجایی سیم‌کارت زمانی رخ می‌دهد که یک مهاجم (یا نهادهای حکومتی) اپراتور تلفن همراه را متقاعد می‌کند که شماره شما را به یک سیم‌کارت جدید منتقل کند و تماس‌ها و کدهای پیامکی شما را رهگیری کند.

  • دفاع: به همین دلیل است که اجتناب از احراز هویت دومرحله‌ای پیامکی (SMS 2FA) بسیار حیاتی است. اگر سیم‌کارت شما جابجا شود اما حساب‌هایتان با یک YubiKey یا برنامه TOTP ایمن شده باشند، مهاجم نمی‌تواند به حساب‌های شما دسترسی پیدا کند.

فاز ۵: امحای حساب کاربری (پایان چرخه حیات)

حساب‌های بی‌استفاده، ریسک‌های امنیتی محسوب می‌شوند. آن‌ها حاوی داده‌های قدیمی هستند و اغلب گذرواژه‌های ضعیفی دارند.

۱. یافتن حساب‌های قدیمی

  • صندوق ورودی ایمیل خود را برای کلمات کلیدی مانند «Welcome» (خوش‌آمدید)، «Verify» (تأیید)، «Confirm» (تأییدیه) یا «Subscription» (اشتراک) جستجو کنید.
  • نرم‌افزار مدیریت گذرواژه خود را برای یافتن ورودی‌های قدیمی بررسی کنید.

۲. حذف حساب‌ها

  • JustDeleteMe: از سایت JustDeleteMe برای یافتن لینک‌های حذف مستقیم سرویس‌های محبوب استفاده کنید.
  • حذف‌های غیرممکن: اگر سرویسی اجازه حذف را نمی‌دهد (که در برخی انجمن‌ها یا سایت‌های قدیمی رایج است): ۱. تمام اطلاعات شخصی (نام، آدرس) را به داده‌های جعلی تغییر دهید. ۲. ایمیل را به یک نام مستعار موقت یا آدرس یک‌بارمصرف تغییر دهید. ۳. گذرواژه را به یک رشته تصادفی ۶۴ کاراکتری تغییر داده و آن را دور بیندازید (ذخیره نکنید).

۳. قوانین حفظ داده‌ها

آگاه باشید که حتی پس از «حذف»، شرکت‌ها (به‌ویژه پلتفرم‌های داخلی ایرانی مانند آپارات، دیجی‌کالا، اسنپ) ممکن است قانوناً موظف باشند لاگ‌های کاربران را حداقل برای ۶ ماه تا یک سال جهت دسترسی نهادهای قانونی حفظ کنند. همیشه فرض کنید داده‌های تولید شده در پلتفرم‌های داخلی دائمی هستند.

چک‌لیست: ممیزی سریع بهداشت دیجیتال

  • بررسی نشست‌های فعال: تلگرام، واتس‌اپ و گوگل را برای یافتن دستگاه‌های ناشناس بررسی کنید.
  • به‌روزرسانی نرم‌افزارها: مطمئن شوید که سیستم‌عامل و مرورگرها روی آخرین نسخه‌ها تنظیم شده‌اند.
  • بررسی متادیتا: آیا داده‌های موقعیت مکانی را از عکس‌های حساس (مثل اعتراضات) پیش از ارسال حذف می‌کنید؟
  • ممیزی احراز هویت دومرحله‌ای (2FA): آیا هنوز برای حساب‌های حیاتی از پیامک استفاده می‌کنید؟ سیستم خود را به یک برنامه Authenticator تغییر دهید.
  • تایم‌لاین گوگل: آیا برای حذف خودکار پیکربندی شده یا کاملاً غیرفعال است؟
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.