15 個常見 VPN 錯誤,應如何避免
即使是有經驗的 VPN 用戶,也可能在不知不覺中犯下損害私隱保護的錯誤。以下是 15 個最具影響的常見錯誤——以及確切的修正方法。
即使是有經驗的 VPN 用戶,也可能在不知不覺中犯下損害私隱保護的錯誤。以下是 15 個最具影響的常見錯誤——以及確切的修正方法。
斷線保護(Kill Switch)功能往往隱藏在 VPN 應用程式設定中,且預設為關閉狀態。若未啟用,任何 VPN 連線中斷——無論是因為網絡切換、休眠模式或伺服器問題——都會即時暴露你的真實 IP 及未加密的流量。對於種子下載、敏感資料搜尋,或任何依賴 VPN 保護嚴肅私隱的人而言,這是災難性的後果。請在使用 VPN 進行任何敏感操作前,先在「設定 > 斷線保護 / 網絡鎖定」中啟用此功能。
修正方法:開啟 VPN 應用程式的設定,找到「斷線保護」或「網絡鎖定」,並將其啟用。Android 用戶還需額外啟用系統級斷線保護:設定 > 網絡 > VPN > 齒輪圖示 > 封鎖未連線 VPN 的連線。
最便宜的 VPN 鮮少是最物有所值的選擇。極低價格的 VPN 往往在伺服器基礎設施、加密質量上偷工減料,最關鍵的是在私隱保護上同樣如此。來自不知名服務商的「終身」VPN 優惠尤其可疑:VPN 公司不可能靠一次性付款維持高質量的基礎設施,許多都在數月內倒閉。若 VPN 正在記錄並出售你的數據,每月省下的那幾十港元根本毫無意義。
修正方法:首先根據私隱資歷(已審計的無記錄政策、司法管轄區)、協議質量(WireGuard 支援)、伺服器效能及往績評估 VPN。價格應是最後考量的因素——優質服務商的收費範圍約為每月港幣 40-80 元。
VPN 看似正在運作——顯示已連線狀態及境外 IP——但你的 DNS 查詢卻繼續通過你的 ISP 伺服器路由,從而揭露你瀏覽的每個域名。這種 DNS 洩漏會完全損害你的私隱保護。這是一個常見的配置問題,大多數用戶從未察覺,因為他們從不進行測試。你可能已使用「私隱 VPN」數月,而 ISP 一直在記錄你瀏覽的每個網站。
修正方法:在連線 VPN 時,前往 dnsleaktest.com 進行擴展測試。顯示的所有 DNS 伺服器均應屬於你的 VPN 服務商。若你看到 ISP 的 DNS 伺服器,請更改 VPN 的 DNS 設定,或改用具備更完善 DNS 洩漏保護的服務商。
許多用戶將 VPN 保留在預設的 OpenVPN 協議,而 WireGuard 可在相近安全性的前提下提供 2-4 倍更快的速度。相反地,在受限網絡(中國內地)中需要隱蔽功能的用戶,有時使用 WireGuard——此協議容易被深度封包檢測識別和封鎖——而他們應改用帶混淆功能的 OpenVPN TCP 443。協議選擇不能「設定後就不管」。
修正方法:日常香港使用,選擇 WireGuard。前往中國內地或受限網絡,啟用混淆功能並使用 OpenVPN TCP 443。頻繁切換網絡的流動用戶,選用 IKEv2。在 VPN 應用程式的設定 > 協議中檢查當前使用的協議。
冒充正規服務商的假冒 VPN 應用程式是惡意軟件的重要傳播途徑。在第三方下載網站搜尋 VPN 並安裝任意出現的程式,是嚴重的安全風險——假冒應用程式在外觀上可能與真品無異,卻實際上作為間諜軟件、廣告軟件或憑證竊取工具運作。即使是應用程式商店也並非萬全:假冒 VPN 應用程式曾在 Google Play 和 App Store 中出現,直至被下架。
修正方法:下載桌面軟件時,務必直接前往 VPN 服務商的官方網站。流動裝置方面,僅從官方 App Store 或 Google Play 安裝,並核實開發者名稱與官方服務商一致(例如「ExpressVPN」,而非「ExpressVPN Free VPN」)。
許多用戶在筆記本電腦上設定了 VPN 後便認為自己已受到保護——但他們的智能手機在連接同一網絡時卻完全沒有保護。大多數 VPN 訂閱包含 5-10 個同時連線的裝置數量。to Spot and Avoid Attacks on Your Phone">你的手機處理網上銀行、私人通訊及健康應用程式;可以說比你的筆記本電腦更敏感,在公共 WiFi 網絡上同樣容易受到威脅。僅保護一部裝置,最多只能提供部分保護。
修正方法:在所有連接互聯網的裝置上安裝 VPN:智能手機、筆記本電腦、平板電腦,若服務商支援,還可直接在家用路由器上配置,以保護包括智能電視及遊戲主機在內的所有裝置。
連接地理上最近的伺服器聽起來合乎邏輯,但往往適得其反。一台負載達 90% 的熱門伺服器,其表現會明顯差於一台負載僅 30%、距離稍遠的伺服器。許多被歸咎於 VPN 協議或服務商的速度問題,實際上是由過載伺服器造成的——用戶放棄了一個本來表現出色的 VPN,只是因為連接了過於擁擠的伺服器。
修正方法:在 VPN 應用程式的伺服器列表中,查看負載百分比指標(NordVPN、ExpressVPN、Mullvad 均有顯示)。選擇負載低於 50% 的伺服器。對香港用戶而言,日本及新加坡伺服器的負載通常低於最熱門的伺服器。
數十家 VPN 服務商聲稱採用「零記錄」或「無記錄」政策。在未經獨立第三方審計核實的情況下,這純粹是行銷聲明。現實中聲稱無記錄卻向當局提供用戶數據的 VPN 案例包括 IPVanish(2016 年)及 PureVPN(2017 年)。無記錄聲明若無來自信譽機構、你可實際閱讀的獨立安全審計報告支撐,便毫無意義。
修正方法:尋找已發布的審計報告(而非僅有「已審計」標誌),報告應來自 Cure53、普華永道、畢馬威或德勤等機構。擁有經核實審計的服務商包括 ExpressVPN(Cure53、畢馬威)、NordVPN(普華永道、德勤)及 Mullvad(Cure53)。
瀏覽器 VPN 擴充功能——包括由正規 VPN 服務商品牌推出的——都是 HTTPS 代理,而非完整的 VPN。它們只保護瀏覽器流量。你的電郵客戶端、種子客戶端、遊戲、即時通訊應用程式,以及所有後台系統進程,仍繼續以你的真實 IP 位址且不加密地連接互聯網。若你使用瀏覽器擴充功能,以為自己已獲得完整的 VPN 保護,實際上你的保護程度遠遠不足。
修正方法:安裝完整的 VPN 應用程式(而非僅安裝瀏覽器擴充功能),並透過應用程式連線。完整應用程式會建立系統級加密隧道,覆蓋所有應用程式及連線。瀏覽器擴充功能可作為附加工具使用,但不能取代完整應用程式。
VPN 服務商的網站在中國被封鎖。中國的應用程式商店也不提供大多數 VPN 應用程式。若你抵達深圳或廣州時尚未安裝及配置好 VPN,便無法下載——Google、WhatsApp 及 Instagram 等被封鎖的服務將無法使用。這是香港居民前往中國內地時最常犯且完全可以避免的 VPN 錯誤之一。
修正方法:在每次前往中國內地的旅程前,先安裝 VPN 應用程式、視需要訂閱、下載任何需要混淆功能的伺服器配置、測試連線,並記下備用伺服器地址。所有這些準備工作,都應在仍身處香港、可自由使用互聯網時完成。
VPN 加密你的網絡流量——但它無法保護你免於自願將憑證輸入到逼真的假冒網站。釣魚攻擊在應用層發生,高於 VPN 運作的網絡層。若你收到一封看似滙豐銀行通知的釣魚電郵,點擊連結,並在假網站上輸入你的網上銀行憑證,VPN 提供零保護——你的憑證無論是否加密,都會流向攻擊者。
修正方法:將 VPN 與防釣魚措施結合使用:輸入憑證前仔細核查 URL、使用密碼管理器自動填寫(不會在假冒域名上自動填寫)、啟用多重認證,並使用 uBlock Origin 等瀏覽器擴充功能封鎖已知釣魚域名。
流動裝置持續在 WiFi 和 4G/5G 之間切換——在香港,有時一個小時內切換多次。每次網絡切換都會短暫中斷 VPN 連線。若未配置自動重新連線,你可能在每天相當長的時間內,於網絡切換後處於未受保護的狀態,這在訊號不斷變化的港鐵上尤為明顯。若停用自動重新連線而啟用了斷線保護,你將在 VPN 未能重新連線的情況下失去互聯網存取,卻不知道原因所在。
修正方法:在所有流動裝置的 VPN 應用程式設定中啟用自動重新連線。同時啟用斷線保護——兩者配合使用,可確保任何網絡切換都只會導致短暫的網絡暫停(VPN 重新連線期間),而非未受保護的瀏覽狀態。
VPN 服務商定期更新應用程式,以修補安全漏洞、維持伺服器兼容性及提升效能。使用過時的 VPN 客戶端,可能令你暴露於已知漏洞、協議實施缺陷,或與更新後的伺服器配置不兼容的問題之中。2021 年,Pulse Secure VPN 的一個嚴重漏洞(CVE-2021-22893)被國家級黑客積極利用於未修補的系統——過時的軟件造成真實且可被利用的風險。
修正方法:為你的 VPN 應用程式啟用自動更新,或至少每月手動檢查一次更新。大多數主流 VPN 客戶端(NordVPN、ExpressVPN、Mullvad)在啟動時會通知你有可用更新——不要忽略這些通知。
VPN 隱藏你的 IP 位址——但在連接 VPN 時登入 Google 帳戶,會立即告知 Google 你的身份、你使用的裝置,並將你當前的 VPN 會話與你完整的帳戶歷史連結起來。這完全抵消了 VPN 在該活動中帶來的匿名效果。在登入 Google 的情況下研究敏感話題、發布社交媒體帖子,或在期望 VPN 匿名保護的同時查閱個人電郵的用戶,從根本上誤解了 IP 遮蔽所能防護的對象。
修正方法:進行需要匿名的活動時,除使用 VPN 外,還應使用沒有帳戶登入、清除 Cookie 並開啟私人/無痕模式的獨立瀏覽器配置文件。進行私隱敏感的資料搜尋時,在整個搜尋過程中使用 Firefox + uBlock Origin,且不登入 Google。
WebRTC(網頁即時通訊)是一種用於視訊通話、語音聊天及點對點連線的瀏覽器 API。即使 VPN 正在運作,它也可能完全繞過 VPN,直接透過瀏覽器暴露你的真實 IP 位址。這是因為 WebRTC 透過 ICE 協議建立直接連線,可揭露你的本地及公開 IP 位址。此漏洞影響桌面版 Chrome、Firefox 及 Edge,即使 VPN 連線正常,也可能完全暴露你的真實 IP。
修正方法:在連接 VPN 時前往 browserleaks.com/webrtc 進行測試——除 VPN IP 外,不應顯示任何其他 IP。修正方法:安裝 VPN 服務商的瀏覽器擴充功能(通常包含 WebRTC 洩漏阻擋功能),或安裝 uBlock Origin 並在其設定中啟用「防止 WebRTC 洩漏本地 IP 位址」。