数字身份安全最佳实践清单

1. 用户名（Username / Handle）

• 避免个人信息：不要使用真实姓名、生日、手机号、学号等。

• 保持中性：避免极端、挑衅、过度性别化或宗教政治暗示。

• 统一但不完全相同：主账号（比如 LinkedIn、学术平台）用正式且专业的名字；次要娱乐/论坛账号用独立的代号，避免被轻易关联。

• 随机+记忆平衡：可以使用字母+数字的组合，既不容易被猜，又方便记忆（如 tech_wind84 而不是 anna1998）。

2. 邮箱（Email）

• 分层邮箱策略：

  • 主邮箱：学术/工作（正规，firstname.lastname 格式）。

  • 次邮箱：购物、订阅、社交媒体（可以用 Gmail 别名或专门注册）。

  • 一次性邮箱：注册临时服务时使用，避免垃圾邮件进入主邮箱。

• 避免跨用：不要用同一个邮箱绑定所有社交媒体 + 银行 + 游戏账号。

3. 社交媒体 ID

• LinkedIn / GitHub / 学术平台：尽量统一、专业（利于求职和学术）。

• 个人社交（Twitter/X、Instagram 等）：与专业账号区分开，避免被对方一眼“串联”你的生活和职业身份。

• 匿名社交（Reddit、论坛）：使用完全不同的用户名和邮箱，避免追踪。

4. 密码 & 登录

• 每个平台独立密码，不要“同一个密码走天下”。

• 密码管理器：如 Bitwarden、1Password，自动生成 & 保存复杂密码。

• 多因素认证 (MFA)：优先选择硬件密钥 (YubiKey) 或 OTP 应用，不推荐短信验证码。

5. 设备与行为习惯

• 不同用途设备隔离：

  • 主力设备：学习、工作。

  • 备用设备：测试、娱乐、实验性注册。

• 最小暴露原则：不随意填写真实信息，除非平台确实需要（比如银行、政府服务）。

• 社工防御：谨慎在公共平台透露位置、行程、关系人。

6. 持续维护

• 定期清理：每 3-6 个月检查一次账户使用情况，注销长期不用的账号。

• 监控泄露：使用 HaveIBeenPwned 或安全工具，检测邮箱/密码是否出现在数据泄露中。

• 身份分层：

  • “职业身份” → 公开可见。

  • “私人身份” → 半公开，朋友圈/小范围。

  • “匿名身份” → 完全脱钩。