Sari la conținutul principal

Cel mai privat SO desktop (2026): Windows 11 vs macOS vs Ubuntu vs Fedora vs Mint vs Qubes vs Tails

Comparație onestă de confidențialitate a șapte sisteme de operare desktop: Windows 11, macOS Sequoia, Ubuntu, Fedora, Linux Mint, Qubes OS și Tails. Setări implicite de telemetrie, cerințe de cont, criptare și care să alegi în funcție de modelul de amenințare — fără florituri.

Ultima actualizare: 22 aprilie 2026

Pe scurt

  • Pentru majoritatea utilizatorilor, clasamentul confidențialității este: **Tails > Qubes OS > Linux Mint / Fedora / Ubuntu > macOS > Windows 11**.
  • **Windows 11** are cele mai agresive setări implicite: cont Microsoft obligatoriu, telemetrie inevitabilă, Copilot+Recall face capturi de ecran pe hardware compatibil. Se poate întări, dar lupți împotriva setărilor implicite.
  • **macOS Sequoia** este cel mai privat SO comercial: securitate puternică pe dispozitiv, iCloud criptat este opțional (Advanced Data Protection), dar este cu sursă închisă, deci nu poți verifica ce face cu adevărat.
  • **Linux desktop** (Ubuntu, Fedora, Mint) este cu sursă deschisă, fără cont forțat, fără telemetrie de care să îți faci griji după opt-out-uri mici. Mint are cele mai private setări implicite dintre cele trei.
  • **Qubes OS** câștigă pentru utilizatorii cu amenințări ridicate care doresc securitate prin compartimentare. **Tails** este soluția pentru sesiuni temporare, amnezice, rutate prin Tor — nu pentru uz zilnic.

Răspunsul scurt

Dacă confidențialitatea este prioritatea principală și ești dispus să îți schimbi obiceiurile:

  • Model de amenințare extrem (jurnalist care protejează surse, activist într-un stat ostil, cercetător de securitate): Qubes OS pentru uz zilnic + Tails pe un USB separat pentru sesiuni punctuale cu risc ridicat.
  • Orientat spre confidențialitate dar practic (vrei un computer cu aspect normal care nu raportează acasă): Linux Mint — ecosistemul de software compatibil Ubuntu, adăugirile Canonical eliminate, setări conservatoare.
  • Cel mai bun SO comercial pentru confidențialitate: macOS Sequoia cu Advanced Data Protection activat. Se aplică caveat-ul sursă închisă, dar setările implicite sunt mai bune decât Windows și securitatea dispozitivului este excelentă.
  • Trebuie să folosești Windows pentru muncă: Windows 11 Pro (nu Home) cu Group Policy, BitLocker, Firefox și o trecere serioasă de întărire. Este posibil să rulezi un Windows 11 rezonabil de privat — doar petreci un weekend configurându-l și se îndepărtează la fiecare actualizare majoră.

Tot ce urmează este detaliul din spatele acestui clasament — ce face fiecare SO în mod implicit, ce poți schimba și ce nu poți.

Windows 11 — linia de bază anti-confidențialitate

Windows 11 este cel mai rău dintre opțiunile mainstream, nu pentru că este malițios, ci pentru că modelul de business al Microsoft tratează SO-ul ca un produs de date. Specificii:

Cerința de cont. Windows 11 Home necesită un cont Microsoft în timpul configurării. Soluțiile de ocolire a contului local (comanda OOBE\BYPASSNRO, trucul no@thankyou.com) continuă să fie patch-uite în actualizările cumulative. Windows 11 Pro încă permite conturi locale în timpul configurării dacă alegi calea "domain join".

Telemetria. Două niveluri: "Date de diagnostic necesare" (întotdeauna pornite, nu pot fi dezactivate prin UI-ul Settings — Group Policy te lasă să le restricționezi, dar unele semnale încă curg) și "Date de diagnostic opționale" (telemetrie completă de nivel browsing pe care o poți dezactiva dar este PORNITĂ în mod implicit). Microsoft publică un dicționar de date, ceea ce este mai mult decât fac majoritatea furnizorilor de SO, dar linia de bază este "Microsoft știe ce faci".

Copilot + Recall. Recall (pe PC-urile Copilot+ cu NPU-uri) face capturi de ecran la fiecare câteva secunde, le OCR-ează și construiește un index local căutabil. După reacția de securitate din iunie 2024, Microsoft l-a făcut opt-in, a criptat baza de date și a cerut autentificare Windows Hello pentru a o interoga. Capacitatea de bază rămâne integrată în SO. Fiecare actualizare majoră redeschide întrebarea "este Recall cu adevărat încă opt-in?" Copilot însuși trimite interogări la Azure OpenAI decât dacă dezactivezi explicit funcția.

Setările implicite OneDrive. Instalările proaspete redirecționează silențios Documents, Pictures și Desktop în %OneDrive%\ și încep sincronizarea. Milioane de utilizatori au fișierele personale în cloud-ul Microsoft fără să ia o decizie conștientă să le încarce.

Edge + Bing. Browserul implicit trimite interogări la Bing. Edge are funcții utile de confidențialitate (blocare trackere, InPrivate) dar comportamentul său implicit include trimiterea URL-urilor la Microsoft Defender SmartScreen.

Ce poți face. Windows 11 este cel mai întăribile SO pentru că este atât de mult de dezactivat:

  • Instalează cu un cont local (Pro sau o modificare de registry pe Home)
  • Rulează O&O ShutUp10++ — o listă curatoriată de 100+ comutatoare de confidențialitate cu setări implicite "recomandate". Aplică modificări Group Policy + registry care supraviețuiesc actualizărilor.
  • Dezactivează configurarea OneDrive în timpul instalării, elimină-l complet dacă nu este folosit
  • Înlocuiește Edge cu Firefox sau Brave; schimbă căutarea implicită la DuckDuckGo, Kagi sau Startpage
  • Dezinstalează Cortana, Teams Consumer și aplicațiile Xbox dacă nu sunt folosite
  • BitLocker (doar Pro) sau VeraCrypt (Home) pentru FDE
  • Group Policy: Computer Configuration → Administrative Templates → Windows Components → Data Collection

După această trecere, Windows 11 poate fi făcut aproximativ la fel de privat ca Ubuntu nemodificat. Taxa continuă este rerevizitarea setărilor după fiecare Feature Update (20H2, 22H2, 23H2, 24H2 fiecare a reintrodius unele comportamente).

macOS Sequoia 15 — cel mai bun SO comercial pentru confidențialitate

macOS Sequoia este dramatic mai bun decât Windows 11 în mod implicit, dar "mai bun decât Microsoft" nu este la fel cu "privat".

Telemetria Apple — Analytics, Device Analytics și iCloud Analytics — sunt dezactivate în mod implicit la o instalare proaspătă în UE (GDPR), pornite în mod implicit în SUA (le poți dezactiva în Settings → Privacy & Security → Analytics & Improvements). Apple își publică politica de confidențialitate și face afirmații specifice despre procesarea pe dispozitiv, dar nu poți verifica independent aceste afirmații pentru că SO-ul este cu sursă închisă.

Setările implicite iCloud. Photos, Contacts, Calendar și iCloud Drive sincronizează în mod implicit dacă te conectezi cu un Apple ID. Messages în iCloud este dezactivat decât dacă este activat. Advanced Data Protection (iCloud criptat end-to-end pentru majoritatea categoriilor — Photos, Notes, Drive, backup-uri) este opt-in și necesită iOS 16.2+ / macOS 13+ pe toate dispozitivele. Apple o de-emfatizează activ în timpul configurării pentru că activarea înseamnă că Apple nu îți poate recupera datele dacă pierzi accesul.

Siri + Spotlight. Interogările sunt trimise la Apple pentru rezoluție. Apple spune că sunt anonimizate și nu legate de Apple ID-ul tău. Poți dezactiva "Search Suggestions from Apple" în Safari pentru a opri tipăritul în bara URL de la a ajunge la serverele Apple.

Apple Intelligence (adăugat 2024). Majoritatea pe dispozitiv pentru modele mai mici, dar unele interogări sunt trimise la infrastructura "Private Cloud Compute" a Apple. PCC folosește hardware atestat și binare publicate — o arhitectură de confidențialitate cu adevărat nouă. Este opt-in în UE, opt-in peste tot și în macOS 15.

Gatekeeper + semnarea codului. Fiecare aplicație pe care o rulezi primește o verificare de semnătură împotriva serviciului notary Apple. Aplicațiile la prima rulare raportează acasă cu hash-ul Developer ID — Apple poate (în teorie) jurnaliza ce rulează fiecare Mac și când. Aceasta este o funcție de securitate (prinde aplicații cunoscut-malițioase) cu costuri de confidențialitate. sudo spctl --master-disable dezactivează aplicarea semnăturii dar nu este recomandat.

Puncte forte.

  • Apple Silicon + Secure Enclave = securitate puternică a dispozitivului, deblocare biometrică legată de hardware
  • Aplicațiile App Store au etichete de confidențialitate (auto-atestate de dezvoltator, dar încă expun info)
  • Modelul de permisiuni este strict — aplicațiile trebuie să ceară înainte de a citi contacte, calendar, cameră, mic, localizare
  • FileVault (FDE) este trivial să activezi și folosește Secure Enclave
  • Fără antivirus obligatoriu care raportează acasă

Puncte slabe.

  • Sursă închisă — afirmațiile de confidențialitate sunt cuvântul Apple
  • Opt-out-urile iCloud sunt împrăștiate prin panourile Settings
  • Configurarea Advanced Data Protection este plină de fricțiune (Apple o face activ mai greu să o activezi)
  • Blocare hardware — dacă îți pasă destul de mult de confidențialitate să o verifici, probabil vrei să fii pe un Linux pe care îl poți audita

Configurare practică. Instalare proaspătă → refuză analytics opțional → activează FileVault → activează Advanced Data Protection dacă toate dispozitivele tale o suportă → instalează Firefox → nu te conecta la iCloud până nu ai decis exact care categorii să sincronizezi.

Ubuntu 24.04 LTS — Linux-ul popular

Ubuntu este cea mai implementată distribuție Linux pe desktop-uri și o linie de bază rezonabilă de confidențialitate. Canonical are un istoric mixt pe acest subiect.

Amazon lens din 2013. Pentru o perioadă scurtă, căutarea Dash din Ubuntu Unity trimitea interogări la Amazon pentru "lentile" de rezultate shopping. Aceasta a declanșat o criză de încredere de ani de zile în comunitate. Funcția a fost eliminată în 16.04 și Canonical nu a repetat-o. Merită știut pentru că colorează cum se simt utilizatorii Linux de mult timp despre Ubuntu.

Telemetria curentă.

  • Ubuntu Report — un rezumat anonim hardware/software de o singură dată trimis în timpul instalării. Opt-in; vezi promptul înainte să ruleze.
  • Apport — raportarea crash-urilor. Dezactivat în mod implicit pe release-uri; opt-in per crash.
  • Livepatch — patch-uri la cald pentru kernel. Opt-in; necesită un abonament Ubuntu Advantage.
  • PopCon — concursul de popularitate al pachetelor. Dezactivat în mod implicit.
  • Telemetria Snap — magazinul snap al Canonical colectează contori install/update. Mai puțin invaziv decât telemetria browserului dar încă un apel la Canonical pentru fiecare instalare snap.

Ecranele de notificare ubuntu-advantage-tools. Versiunile recente Ubuntu au adăugat prompturi "motd" când faci SSH sau deschizi un terminal, publicând Ubuntu Pro. Enervant dar nu o problemă de confidențialitate (fără date outbound). Eliminat sau mut în 24.04 prin setarea ENABLED=0 în /etc/default/ubuntu-advantage-tools.

Snap vs apt. Ubuntu 22.04+ livrează Firefox ca pachet snap. Magazinul snap vorbește cu serverele Canonical; pachetele tradiționale apt vorbesc cu orice mirror ai configurat. Dacă rutarea "totul prin Canonical" te deranjează, fie treci la pachetul Firefox apt ppa:mozillateam/ppa, sau instalează Firefox direct din flatpak.

Puncte forte. Sursă deschisă, auditabil, selecție masivă de pachete, suport hardware excelent, Wayland în mod implicit în 22.04+, GNOME 46 cu setări de confidențialitate rezonabile.

Puncte slabe. Interesele comerciale ale Canonical uneori indică datele utilizatorului; telemetria Snap este inevitabilă dacă folosești snap-uri; notificările de branding "Ubuntu Advantage" sunt vizibile.

Configurare practică. Instalare proaspătă → refuză Ubuntu Report → dezactivează Apport → dezactivează PopCon → înlocuiește Snap Firefox cu apt Firefox sau Flatpak → activează LUKS FDE în timpul instalării → Firefox cu uBlock Origin.

Fedora 41 — Linux-ul upstream-first

Fedora este distribuția comunității Red Hat (IBM), folosită ca upstream pentru RHEL. Din punct de vedere al confidențialității este similară cu Ubuntu cu câteva diferențe.

Fără echivalent Canonical. Red Hat / IBM nu publică un abonament "Advantage" pentru utilizatorii desktop; licențierea enterprise trăiește pe RHEL, nu Fedora. Fără ecrane de notificare, fără prompturi de upgrade forțate.

Telemetria implicită. Minimală. Fedora Report (un recensământ hardware) este introdus în 42 — dezbatere comunitară în curs, statutul curent este opt-in. ABRT (raportarea crash-urilor) este opt-in; vei vedea o notificare când se întâmplă un crash și poți decide dacă să trimiți.

SELinux enforcing în mod implicit. Aceasta este o funcție de securitate, nu confidențialitate per se — conține exploit-urile de nivel proces astfel încât o aplicație compromisă nu poate citi totul din sistemul tău. Ubuntu folosește AppArmor pentru același scop dar într-o postură implicită mai permisivă. SELinux este mai strict.

Flatpak + dnf. Managerii de pachete ai Fedora. Flatpak-urile Flathub vorbesc cu CDN-ul Flathub (nu un semnal de telemetrie, doar o descărcare); dnf vorbește cu mirror-urile Fedora.

Wayland primul. Fiecare spin desktop (GNOME, KDE, XFCE, etc.) livrează cu Wayland ca sesiune implicită, care are izolare mai bună între aplicațiile GUI decât X11 (aplicațiile nu pot face screenshot / keystroke-sniff între ele).

Puncte forte. Fără tipare comerciale tip Canonical, SELinux enforcing, urmărire upstream rapidă (kernel/Mesa/GNOME sunt toate mai noi decât Ubuntu).

Puncte slabe. Bleeding-edge poate însemna "ceva s-a stricat din cauza unei regresii de driver"; ciclu de suport de 13 luni per release vs 5 ani pentru Ubuntu LTS.

Configurare practică. Instalare proaspătă → refuză rapoartele de crash (primești un prompt prima oară când unul se declanșează) → activează LUKS în timpul instalării → Firefox este pre-instalat și nu este flatpak pe Fedora Workstation.

Linux Mint 22 — cel mai bun Linux privat-by-default

Linux Mint este debloat-ul de lungă durată al Ubuntu. Iau Ubuntu LTS upstream, elimină adăugirile Canonical, înlocuiesc desktop-ul cu Cinnamon (sau Xfce / MATE) și îl livrează. Ce primești:

Fără Snap în mod implicit. Mint elimină explicit snap și blochează apt de la instalarea daemon-ului snap. Firefox este instalat ca pachet apt obișnuit din PPA-ul Mozilla. Fără ecrane de notificare.

Fără Ubuntu Report, fără ubuntu-advantage-tools. Mint dezactivează sau dezinstalează părțile Canonical-comerciale.

Fără telemetrie. Mint însuși nu raportează acasă. Raportarea crash-urilor este dezactivată. Managerul de actualizări vorbește cu mirror-ul Mint pentru actualizări — trafic standard de manager de pachete — dar nu raportează utilizarea.

Fallback LMDE. Dacă vrei o versiune fără Canonical a Mint, LMDE (Linux Mint Debian Edition) folosește Debian Stable ca bază. Experiență desktop identică, upstream diferit.

Cinnamon. Un fork GNOME care prioritizează un desktop tradițional asemănător Windows. Mai puțin "modern" decât GNOME, mai puțin condus de tastatură decât KDE, dar apropiabil pentru utilizatorii care trec de pe Windows.

Puncte forte. Cele mai conservative setări de confidențialitate implicite ale oricărei distribuții mainstream. Comunitate imensă. Stabil. Suport hardware bun prin baza Ubuntu.

Puncte slabe. Mai lent să adopte tehnologia nouă (Wayland este încă opt-in în Mint 22, implicit X11). Cinnamon are mai puțini contributori decât GNOME sau KDE. Upstream-ul Ubuntu înseamnă că moștenești bug-urile Ubuntu, doar nu telemetria sa.

Configurare practică. Instalare proaspătă → activează LUKS în timpul instalării → actualizează → instalează Firefox (deja acolo) + uBlock Origin → asta e. Mint este distro-ul unde "instalează și folosește" îți oferă o postură de confidențialitate rezonabilă fără muncă suplimentară.

Qubes OS 4.2 — compartimentarea ca model de amenințare

Qubes este în propria sa categorie. În loc să încerce să facă un SO mai privat, Qubes presupune că orice sistem unic va fi compromis și izolează raza de explozie folosind virtualizarea.

Cum funcționează. Qubes rulează pe hardware gol prin hypervisor-ul Xen. Fiecare "VM" (numit qube în terminologia lor) rulează un userspace Linux de unică folosință — de obicei template-uri Fedora sau Debian. Când dai clic pe o atașare email, se deschide într-un DisposableVM care este distrus după ce îl închizi. Banking-ul tău se întâmplă în propriul AppVM cu acces la rețea doar la banca ta. Browsing-ul linkurilor aleatorii se întâmplă într-un qube Whonix-Workstation care rutează prin Tor.

Costul UX. Copy-paste între qube-uri necesită o scurtătură explicită de tastatură (Ctrl+Shift+V) care confirmă transferul. Fișierele mutate între qube-uri trec printr-un dialog FileCopy dedicat. Pierzi presupunerea "totul funcționează pe același desktop" a unui SO normal — dar câștigi granițe reale de securitate.

Proprietățile de securitate.

  • O exploatare de browser în qube-ul de lucru nu poate ajunge la fișierele din qube-ul personal.
  • Un cititor PDF compromis nu poate exfiltra portofelul crypto.
  • Un thumb drive USB conectat este montat într-un qube sys-usb dedicat — dacă este încărcat cu malware, lovește VM-ul de unică folosință, nu dom0 (domeniul de control de încredere).
  • dom0 nu are acces la internet deloc; literal nu poți rula un browser pe dom0.

Cerințele hardware. 16 GB RAM minim (Qubes recomandă 16 GB), 32 GB practic. SSD rapid (NVMe preferat). CPU-uri Intel cu VT-x + VT-d; laptopuri specifice sunt pe lista de compatibilitate hardware (Thinkpad-uri mai noi, Framework, System76 Oryx Pro).

Integrarea Tor prin Whonix. Din cutie, Qubes livrează cu template-uri Whonix — o configurare cu două VM unde un VM face rutarea Tor și celălalt rulează browserul tău, fără modalitate pentru browser să învețe IP-ul real chiar dacă este complet exploatat. Cea mai bună arhitectură Tor scurtă de Tails.

Puncte forte. Model de securitate gold-standard pentru utilizatori cu amenințări ridicate. Sursă deschisă. Snowden și jurnaliști de valoare ridicată îl folosesc public.

Puncte slabe. Curbă de învățare abruptă (2-4 săptămâni să te simți confortabil). Cerințe hardware grele. Suport hardware limitat — liste specifice de laptopuri mai degrabă decât "majoritatea hardware-ului modern". Fără software comercial; ești doar pe aplicații Linux.

Configurare practică. Ghidul de instalare al Qubes însuși este excelent. Bugetează un weekend pentru prima instalare și învățarea modelului qube. Împerechează cu un laptop compatibil (verifică lista lor HCL — nu cumpăra hardware aleatoriu).

Tails 6.x — sesiuni amnezice pe USB

Tails (The Amnesic Incognito Live System) este un SO live bazat pe Debian care bootează de pe USB și uită totul când închizi. Fiecare conexiune outbound este forțată prin Tor — dacă un bug într-o aplicație încearcă să facă o conexiune directă, eșuează mai degrabă decât să facă leak.

Cum îl folosești. Bootează o mașină țintă de pe un USB Tails. Folosește-l. Repornește. Hard drive-ul mașinii nu este niciodată atins (decât dacă opt-in explicit). Nicio urmă a sesiunii nu rămâne nicăieri except în memoria umană.

Stocare persistentă. Opt-in, pe același USB, criptat cu LUKS. Te lasă să păstrezi un folder specific, setările bridge Tor și o listă scurtă de aplicații prin reboot-uri. Tot restul rămâne amnezicc.

Rutarea Tor. Tot traficul. Fără "split tunnel", fără "exemție bazată pe domeniu". Aplicațiile care nu pot folosi Tor pur și simplu nu se pot conecta. Aceasta este strictă și ocazional enervantă (unele video conferințe se strică, majoritatea site-urilor bancare blochează ieșirile Tor) dar este proprietatea de securitate.

Puncte forte. Amnezicc prin design — un USB pierdut nu face leak sesiunii tale. Tor în mod implicit — fără modalitate să faci accidental leak IP-ului real. Suprafață mică de atac — stack software minimal. Bine întreținut de un nonprofit.

Puncte slabe. Nu un driver zilnic. Booting-ul de pe USB este mai lent. Selecția software este intenționat limitată. Latența Tor strică multe servicii comerciale. Fără stare persistentă de sistem prin reboot-uri decât dacă opt-in.

Cel mai bun pentru.

  • Trecerea frontierelor (reboot în SO normal înainte de vamă)
  • Întâlnirea surselor jurnalistice
  • Cercetarea unui subiect sensibil care nu ar trebui să se amestece cu identitatea ta zilnică
  • Orice sesiune unde "ce faci acum nu trebuie să fie legat de cine ești restul timpului"

Configurare practică. Descarcă Tails de pe tails.net, verifică semnătura (critic), flash pe un USB ≥ 8 GB, bootează mașina țintă de pe el (poate necesita modificare BIOS/UEFI). Setează o parolă admin dacă trebuie să rulezi comenzi sudo în timpul sesiunii.

Tabel de comparație

SO Telemetrie (implicit) Cont necesar Sursă deschisă FDE implicit Setări cloud implicite Scor confidențialitate
Windows 11 Home Întotdeauna pornit + doar opt-out Da (Microsoft) Nu Uneori (auto Device Encryption) OneDrive pornit ★☆☆☆☆
Windows 11 Pro Reducibil prin Group Policy Nu (opțiune domain join) Nu Da (BitLocker) OneDrive pornit ★★☆☆☆
macOS Sequoia Opt-out în UE, pornit implicit SUA Recomandat (Apple ID) Nu Nu (utilizatorul trebuie să activeze FileVault) iCloud pornit pentru Photos ★★★☆☆
Ubuntu 24.04 Opt-in la timpul instalării doar Nu Da Opțional la instalare Nimic (telemetrie snap) ★★★★☆
Fedora 41 Opt-in rapoarte crash Nu Da Opțional la instalare Nimic ★★★★☆
Linux Mint 22 Nimic Nu Da Opțional la instalare Nimic ★★★★★
Qubes OS 4.2 Nimic Nu Da Da (LUKS obligatoriu) Nimic ★★★★★
Tails 6.x Nimic Nu Da Vol persistent opțional Nimic (rutat Tor) ★★★★★

(Stelele sunt un compus aproximativ de "sarcina telemetriei + penalitatea sursă închisă + FDE implicit + blocare cloud". Nu singurul lucru care contează — un Windows 11 Pro întărit poate fi mai privat decât o instalare Ubuntu neglijentă.)

Recomandarea noastră pe caz de utilizare

1. Consumator conștient de confidențialitate care are nevoie și de software mainstream (Adobe, gaming, Office, Zoom, etc.). Windows 11 Pro cu BitLocker + O&O ShutUp10++ + Firefox + cont local. Sau dual-boot Windows pentru aplicațiile care îl necesită și Linux Mint pentru tot restul.

2. Lucrător de cunoaștere, dezvoltator, student, scriitor. Linux Mint cu LUKS + Firefox + uBlock Origin. Nouăzeci la sută din fluxurile de lucru Windows/macOS se mapează curat pe Mint. LibreOffice pentru majoritatea documentelor, OnlyOffice dacă ai nevoie de compatibilitate mai bună Microsoft Office.

3. Creator de conținut / designer care folosește Adobe Creative Cloud. macOS Sequoia cu FileVault + Advanced Data Protection + Firefox. Suportul Adobe este real pe macOS; este ciudat pe Linux (Wine/Bottles funcționează pentru unele aplicații, nu toate). Performanța Apple Silicon pe munca video este cu adevărat cea mai bună dintre cele trei opțiuni comerciale.

4. Jurnalist / activist / cercetător care mânuiește material sensibil. Qubes OS pe hardware compatibil pentru lucrul zilnic + Tails pe USB pentru sesiuni punctuale cu risc ridicat. Folosește dispozitive fizice separate pentru "identitatea publică" vs "identitatea de lucru sensibil" dacă este posibil.

5. Sesiune ocazională cu risc ridicat (trecerea unei frontiere, întâlnirea unei surse, cercetarea unui subiect). Tails pe USB, bootat pe o mașină curată, închis după aceea. Nu reutiliza USB-ul prin scenarii de risc diferite fără să ștergi volumul persistent.

6. Bunic care învață să folosească un computer. ChromeOS pe un Chromebook pentru simplitate, SAU Linux Mint Cinnamon dacă există un membru al familiei care poate face configurarea inițială. Evită Windows 11 Home — configurarea contului Microsoft singură este confuză și munca de curățenie nu merită pentru un utilizator ușor.

Ce rulăm cu adevărat

Declarație completă: echipa ipdrop.io rulează un amestec — macOS pentru conținut/design/lucru zilnic, Linux Mint pe o mașină separată pentru dezvoltare/lucru sensibil și un USB Tails într-un sertar care este folosit poate de 3-4 ori pe an. Qubes îl respectăm dar nu îl folosim zilnic — fricțiunea este reală și modelul nostru de amenințare nu îl necesită.

Orice alegi, cea mai importantă mișcare de confidențialitate nu este SO-ul — este activarea criptării complete a discului, folosirea unui manager de parole și să nu amesteci identități sensibile în browserul tău de zi cu zi. Alegerea SO-ului este rama; obiceiurile sunt imaginea.

Related

Cum să întărești orice SO desktop pentru confidențialitate

O listă de verificare independentă de platformă care acoperă câștigurile de confidențialitate 80/20 indiferent de SO-ul pe care îl ai. Majoritatea durează sub o oră.

  1. Activează criptarea completă a discului:BitLocker (Windows 11 Pro — nu Home), FileVault (macOS System Settings → Privacy & Security → FileVault), sau LUKS în timpul instalării Linux. Fără FDE, un laptop pierdut este o breșă de confidențialitate. Folosește o parolă de 18+ caractere aleatorii (nu o parolă pe care o ții minte — stochează parola în managerul tău de parole și cheia de recuperare tipărită într-un seif fizic).
  2. Dezactivează telemetria de care nu ai nevoie:Windows 11 → Settings → Privacy & Security → dezactivează fiecare comutator de care nu ai nevoie activ; rulează O&O ShutUp10++ pentru modificări mai profunde Group Policy. macOS → Settings → Privacy & Security → Analytics & Improvements → dezactivează toată partajarea. Ubuntu/Fedora → opt-out în timpul instalării (căsuțele "Help improve...") și dezactivează raportarea crash-urilor. Linux Mint → nimic de dezactivat, dar re-verifică după upgrade-uri majore.
  3. Schimbă browserul implicit la Firefox sau Brave, nu Chrome/Edge/Safari:Chrome trimite fiecare URL la Google pentru Safe Browsing în mod implicit (opt-out există). Edge trimite la Microsoft. Safari este mai puțin rău, dar încă Apple-centric. Firefox cu mod strict și un ad-blocker (uBlock Origin) este cel mai bun echilibru de confidențialitate și compatibilitate. Brave are setări mai stricte, dar aspectul ad-network-rewards îi face pe unii incomfortabili. Instalează browserul PRIMUL pe un SO nou înainte să te conectezi la orice.
  4. Folosește un manager de parole cu criptare end-to-end:Proton Pass sau Bitwarden — ambele cu sursă deschisă, ambele E2E-criptate. Activează 2FA pe managerul de parole însuși. Nu reutiliza niciodată parolele. Vezi comparația noastră Proton Pass vs Bitwarden pentru care să alegi.
  5. Adaugă un VPN pentru rețele nesigure (și consideră always-on):ISP-ul / cafeneaua / aeroportul / rețeaua angajatorului tău poate vedea fiecare domeniu la care te conectezi. Un VPN (Proton VPN sau Mullvad, nu cele gratuite) criptează traficul către serverul VPN și înlocuiește ISP-ul cu un intermediar de încredere. Pentru confidențialitate în mod specific — nu doar geo-unblocking — consideră să îl lași pornit chiar și acasă.
  6. Configurează backup cloud criptat sau oprește sincronizarea cloud pentru folderele sensibile:Dacă ești pe Windows 11 OneDrive este pornit în mod implicit și scanează fiecare fișier pe care îl pui în folderul Documents. macOS face similar cu iCloud Drive decât dacă opt-out. Opțiuni, clasificate după confidențialitate — (a) backup local pe un drive extern criptat doar, (b) Proton Drive cu criptarea sa zero-access, (c) Bitwarden Send sau Magic Wormhole pentru transferuri criptate ocazionale. Dezactivează sincronizarea cloud implicită pentru orice folder care conține documente financiare, medicale sau de identitate.
  7. Auditează extensiile browserului și aplicațiile instalate trimestrial:Extensiile sunt o cale clasică de exfiltrare — aceeași permisiune care permite unui ad-blocker să citească fiecare pagină permite și unei extensii compromise să facă la fel. La fiecare 90 de zile, revizuiește trei lucruri — extensiile browserului instalate (elimină orice nu ai folosit în 30 de zile), aplicațiile instalate (dezinstalează orice nu recunoști), și lista aplicațiilor conectate "Sign in with Google / Facebook / Apple" (revocă cele vechi).
  8. Fă serviciile de localizare opt-in per aplicație:Pe fiecare SO, mergi la Settings → Privacy → Location Services și setează implicit la "Deny" pentru aplicații decât dacă ai nevoie activ (de ex. Maps, Weather). Un browser nu ar trebui să aibă nevoie de localizare decât dacă ai dat clic pe un prompt "allow" pe un site specific. macOS și Linux fac asta bine; Windows 11 necesită comutare mai deliberată pentru că multe aplicații bundled sunt implicit la "Allow".
  9. Pentru confidențialitate maximă, separă identitățile pe mașini separate:Cea mai bună mișcare de igienă a confidențialității este să oprești amestecarea unei identități personale cu o identitate de lucru/profesională pe același dispozitiv și profil de browser. Fie folosești profiluri de browser separate cu izolare agresivă de cookie-uri, sau mai bine — un al doilea dispozitiv fizic (un laptop vechi cu Linux Mint costa $100-200 uzat) pentru cercetare sensibilă, banking, jurnalism. Qubes OS face asta la nivel SO cu VM-uri Xen, dar chiar și "două laptopuri" te duce 90% acolo.

Întrebări Frecvente

Articole înrudite

Lista de verificare a confidențialității

Ce Este un VPN?

Email Criptat

Stocare Criptată

Proton Pass vs Bitwarden (2026): Comparație Onestă — Securitate, Funcții, Preț