2019 年 12 月,i2Coalition(網絡託管公司、數據中心、域名註冊商、雲基礎設施提供商、託管服務提供商和其他中央互聯網技術的領先代言人)推出了 VPN 信任計劃 (VTI)。
VTI 是一個行業領先的聯盟,由市場領先的 VPN 企業組成,致力於通過建立一套透明的 VPN 服務交付指南,並與專家提供的行業最佳實踐相一致,為消費者和 VPN 等改善 VPN 行業。
VTI 本質上是希望為 VPN 行業營造一個自我監管的環境,讓消費者能夠快速輕鬆地確定 VPN 服務是否符合標準。 VTI 傳達的信息是 VPN 並非生而平等:
VPN 從本質上確保端點之間的數據流是私密且安全的。雖然一些 VPN 成功地保護了用戶,但其他 VPN 可能(無意或有意)使用戶面臨更大的風險。不能滿足用戶需求或期望的 VPN 服務可能會給專業和個人安全帶來風險。
現在,由成員領導的聯盟發布了一系列旨在建立這些核心 VPN 原則的最佳實踐。通過遵循這些最佳實踐,聯盟成員將贏得消費者更多的信任,從而將自己與市場上存在的大量牛仔 VPN 服務區分開來——研究表明這些服務在許多關鍵領域無法提供隱私和安全性。
在過去的幾年裡,VPN 服務提供商的數量猛增。從社會的角度來看,這是一個積極的轉變,讓人們可以自由選擇如何以及由誰處理他們的數據。然而,行業的增長也帶來了透明度的缺失。 VPN 提供商以不同的方式運營,並且不一定所有提供商在開發服務時都採用最佳標準。 VTI 理解這一點,並試圖制定一套原則:服務可以依賴的指導方針。我們希望這些原則將幫助該行業變得更加值得信賴、透明和安全。
五個關鍵原則
本週發布的五項關鍵原則是朝著提高整個 VPN 行業信任的正確方向邁出的一步。而且,雖然它本質上將使 VTI 的成員(例如 ExpressVPN、NordVPN、Hide.me、VyprVPN、Surfshark、IPVanish 和 Ivacy)從市場的其他成員中脫穎而出,但它也應該允許更新的、可能較差的服務啟動以改進其服務。那麼,已經公佈的五項原則是什麼呢?
第一個原則圍繞安全性——這是任何 VPN 服務不可或缺的一部分。安全原則指出“VPN將使用必要的安全措施,包括強大的加密和身份驗證協議來適當應對風險”。此外,它還要求 VPN 服務提供商:
- 發生安全事件時暫停受損的身份驗證器
- 盡可能使用基於令牌的身份驗證
- 切勿以純文本形式存儲用戶名和密碼
- 幫助防止用戶之間共享密鑰
這些是一組強大的參數,對於任何 VPN 實施可靠且強大的安全性來說都是一個良好的開端。
接下來,VTI 重點關注廣告最佳實踐。它指示 VPN 提供商使用清晰透明的語言。它還要求他們確保始終做出準確且不具有誤導性的聲明。同樣,這是一組重要的標準,因為之前的研究表明,一些 VPN 提供商故意在消費者期望獲得的安全級別方面欺騙消費者,無論是因為加密效果較差或實施不當,還是由於應用程序而發生關鍵數據洩露。
隱私原則要求所有 VPN 提供商明確說明他們保留哪些日誌、為什麼保留以及保留多長時間。 VPN 還被要求“保留其認為提供服務所需的盡可能少的數據,並且僅在法律要求時向執法部門提供數據。”考慮到 VPN 可以是零日誌服務,不可避免地沒有任何記錄可以移交給當局,這一要求似乎有點乏味。
話雖如此,在某些情況下,位於有嚴格強制性數據要求的國家/地區的 VPN 提供商可能需要保留一些日誌,在這些情況下,該原則明確指出,這些服務需要直言不諱地說明這些要求及其可能給消費者帶來的潛在風險。
最後兩項原則圍繞披露、透明度和社會責任。他們呼籲 VPN 提供商採取措施提高其程序的清晰度,從而增強行業內的信任。這是通過發布透明度報告、解釋他們可以與哪些第三方合作以及原因、支持言論自由和為 VPN 行業核心的開源計劃做出貢獻來實現的。
結論
總體而言,這是一套堅實的基礎,將使 VPN 行業能夠改善其在消費者和技術專家眼中的形象。毫無疑問,市場上不斷增加的面向消費者的 VPN 之間的許多差異導致了混亂。
由於缺乏像 VTI 規定的原則,平庸的服務有可能在很大程度上不受反對地傳播,並且在許多情況下,這給陷入其中的消費者帶來了嚴重的風險。
VTI 原則開始創造一個自我監管的環境,這將大大改善該行業內的問責制。因此,VPN 變得更難被政府當局盯上,政府當局熱衷於看到它們的幕後黑手,因為它們為民間社會的關鍵成員提供了巨大的隱私優勢。無論是為更美好的世界而奮鬥的活動人士、記者還是政治異見人士。
在線隱私不僅僅是一種特權——它是地球上每個人的基本人權。 VTI 原則代表了行業向前邁出的重要一步,我們很自豪能夠發揮自己的作用。
Sebastian Schaub,Hide.me 首席執行官兼創始人