Sari la conținutul principal

Cel Mai Privat OS Desktop în 2026 — Windows, macOS, Linux

Comparație de confidențialitate între Windows 11, macOS, Ubuntu, Fedora, Mint, Qubes, Tails — telemetrie, criptare, pe care să îl alegi.

Ultima actualizare: 22 aprilie 2026

Pe scurt

  • Pentru majoritatea utilizatorilor, ierarhia de confidențialitate este: **Tails > Qubes OS > Linux Mint / Fedora / Ubuntu > macOS > Windows 11**.
  • **Windows 11** are cele mai agresive setări implicite: cont Microsoft obligatoriu, telemetrie inevitabilă, Copilot+Recall face capturi de ecran pe hardware compatibil. Poate fi întărit, dar trebuie să lupți cu setările implicite.
  • **macOS Sequoia** este cel mai privat OS comercial: securitate puternică pe dispozitiv, iCloud criptat este opțional (Advanced Data Protection), dar codul sursă este închis, deci nu poți verifica ce face cu adevărat.
  • **Linux desktop** (Ubuntu, Fedora, Mint) este open-source, nu necesită cont forțat, fără telemetrie de îngrijit după câteva dezactivări minore. Mint are cele mai private setări implicite dintre cele trei.
  • **Qubes OS** câștigă pentru utilizatorii cu amenințări ridicate care doresc securitate prin compartimentalizare. **Tails** este alegerea ideală pentru sesiuni temporare, amnezice, rutate prin Tor — nu pentru utilizare zilnică.

Răspunsul scurt

Dacă confidențialitatea este prioritatea principală și ești dispus să îți schimbi obiceiurile:

  • Model de amenințare extrem (jurnalist care protejează surse, activist într-un stat ostil, cercetător în securitate): Qubes OS pentru utilizare zilnică + Tails pe un USB separat pentru sesiuni ocazionale cu risc ridicat.
  • Orientat spre confidențialitate, dar practic (dorești un computer cu aspect normal care nu trimite date acasă): Linux Mint — ecosistem software compatibil Ubuntu, adăugirile Canonical eliminate, setări implicite conservative.
  • Cel mai bun OS comercial pentru confidențialitate: macOS Sequoia cu Advanced Data Protection activat. Se aplică avertismentul privind codul sursă închis, dar setările implicite sunt mai bune decât Windows și securitatea dispozitivului este excelentă.
  • Trebuie să folosești Windows pentru muncă: Windows 11 Pro (nu Home) cu Group Policy, BitLocker, Firefox și o trecere serioasă de întărire. Este posibil să rulezi un Windows 11 rezonabil de privat — trebuie doar să petreci un weekend configurându-l, iar setările revin la starea inițială după fiecare actualizare majoră.

Tot ce urmează reprezintă detaliile din spatele acestei ierarhii — ce face fiecare OS implicit, ce poți schimba și ce nu poți.

Windows 11 — linia de bază anti-confidențialitate

Windows 11 este cea mai slabă opțiune mainstream, nu pentru că ar fi rău intenționat, ci pentru că modelul de afaceri Microsoft tratează OS-ul ca pe un produs de date. Detalii:

Cerința de cont. Windows 11 Home necesită un cont Microsoft în timpul configurării. Soluțiile de ocolire pentru cont local (comanda OOBE\BYPASSNRO, trucul no@thankyou.com) continuă să fie blocate prin actualizări cumulative. Windows 11 Pro permite în continuare conturi locale în timpul configurării dacă alegi calea „domain join".

Telemetria. Două niveluri: „Required diagnostic data" (mereu activă, nu poate fi dezactivată prin interfața Settings — Group Policy permite restricționarea ei, dar unele semnale tot circulă) și „Optional diagnostic data" (telemetrie completă la nivel de navigare, pe care o poți dezactiva, dar este ACTIVĂ implicit). Microsoft publică un dicționar de date, ceea ce este mai mult decât fac cei mai mulți furnizori de OS, dar linia de bază este „Microsoft știe ce faci".

Copilot + Recall. Recall (pe PC-urile Copilot+ cu NPU-uri) face capturi de ecran la câteva secunde, le procesează OCR și construiește un index local căutabil. După reacția negativă din iunie 2024 legată de securitate, Microsoft l-a făcut opt-in, a criptat baza de date și a cerut autentificarea Windows Hello pentru a-l interoga. Capacitatea de bază rămâne integrată în OS. Fiecare actualizare majoră redeschide întrebarea „este Recall cu adevărat tot opt-in?". Copilot însuși trimite interogări către Azure OpenAI dacă nu dezactivezi explicit funcția.

Setările implicite OneDrive. Instalările noi redirecționează tăcut folderele Documents, Pictures și Desktop în %OneDrive%\ și încep sincronizarea. Milioane de utilizatori au fișierele personale în cloud-ul Microsoft fără a lua o decizie conștientă de a le încărca.

Edge + Bing. Browserul implicit trimite interogări la Bing. Edge are funcții utile de confidențialitate (blocare trackere, InPrivate), dar comportamentul său implicit include trimiterea URL-urilor către SmartScreen al Microsoft Defender.

Ce poți face. Windows 11 este cel mai ușor de întărit deoarece există atât de multe de dezactivat:

  • Instalează cu un cont local (Pro sau un tweak de registru pe Home)
  • Rulează O&O ShutUp10++ — o listă curată de peste 100 de opțiuni de confidențialitate cu setări implicite „recomandate". Aplică modificări de Group Policy + registru care supraviețuiesc actualizărilor.
  • Dezactivează configurarea OneDrive în timpul instalării, elimină-l complet dacă nu este utilizat
  • Înlocuiește Edge cu Firefox sau Brave; schimbă căutarea implicită cu DuckDuckGo, Kagi sau Startpage
  • Dezinstalează Cortana, Teams Consumer și aplicațiile Xbox dacă nu sunt utilizate
  • BitLocker (doar Pro) sau VeraCrypt (Home) pentru FDE
  • Group Policy: Computer Configuration → Administrative Templates → Windows Components → Data Collection

După această trecere, Windows 11 poate fi făcut aproximativ la fel de privat ca Ubuntu nemodificat. Taxa continuă este revederea setărilor după fiecare Feature Update (20H2, 22H2, 23H2, 24H2 au reintroduse fiecare unele comportamente).

macOS Sequoia 15 — cel mai bun OS comercial pentru confidențialitate

macOS Sequoia este dramatic mai bun decât Windows 11 implicit, dar „mai bun decât Microsoft" nu înseamnă același lucru cu „privat".

Telemetria Apple — Analytics, Device Analytics și iCloud Analytics — sunt dezactivate implicit la o instalare nouă în UE (GDPR), activate implicit în SUA (le poți dezactiva în Settings → Privacy & Security → Analytics & Improvements). Apple publică politica de confidențialitate și face afirmații specifice despre procesarea pe dispozitiv, dar nu poți verifica independent aceste afirmații deoarece OS-ul este cu sursă închisă.

Setările implicite iCloud. Poze, Contacte, Calendar și iCloud Drive se sincronizează implicit dacă te autentifici cu un Apple ID. Messages in iCloud este dezactivat dacă nu este activat. Advanced Data Protection (iCloud criptat end-to-end pentru majoritatea categoriilor — Poze, Note, Drive, backup-uri) este opt-in și necesită iOS 16.2+ / macOS 13+ pe toate dispozitivele tale. Apple îl subliniază intenționat mai puțin în timpul configurării deoarece activarea lui înseamnă că Apple nu poate recupera datele tale dacă pierzi accesul.

Siri + Spotlight. Interogările sunt trimise la Apple pentru rezolvare. Apple spune că sunt anonimizate și nelegate de Apple ID-ul tău. Poți dezactiva „Search Suggestions from Apple" în Safari pentru a opri trimiterea textului din bara URL la serverele Apple.

Apple Intelligence (adăugat în 2024). Majoritar pe dispozitiv pentru modele mai mici, dar unele interogări sunt trimise la infrastructura „Private Cloud Compute" a Apple. PCC folosește hardware atestat și binare publicate — o arhitectură de confidențialitate cu adevărat nouă. Este opt-in în UE, opt-in peste tot ca în macOS 15.

Gatekeeper + semnare cod. Fiecare aplicație pe care o rulezi primește o verificare a semnăturii față de serviciul notarial Apple. Aplicațiile la prima rulare trimit acasă hash-ul Developer ID — Apple poate (teoretic) înregistra ce rulează fiecare Mac și când. Aceasta este o funcție de securitate (prinde aplicații cunoscut-malițioase) cu costuri de confidențialitate. sudo spctl --master-disable dezactivează aplicarea semnăturii, dar nu este recomandat.

Puncte forte.

  • Apple Silicon + Secure Enclave = securitate puternică a dispozitivului, deblocare biometrică legată de hardware
  • Aplicațiile din App Store au etichete de confidențialitate (auto-declarate de dezvoltator, dar tot oferă informații)
  • Modelul de permisiuni este strict — aplicațiile trebuie să ceară înainte de a citi contacte, calendar, cameră, microfon, localizare
  • FileVault (FDE) este trivial de activat și folosește Secure Enclave
  • Niciun antivirus obligatoriu care trimite date acasă

Puncte slabe.

  • Sursă închisă — afirmațiile de confidențialitate sunt pe cuvântul Apple
  • Opțiunile de renunțare la iCloud sunt dispersate în mai multe panouri Settings
  • Configurarea Advanced Data Protection implică pași complecși (Apple îngreșează în mod activ activarea ei)
  • Blocare hardware — dacă îți pasă suficient de confidențialitate pentru a o verifica, probabil vrei să fii pe un Linux pe care îl poți audita

Configurare practică. Instalare nouă → refuză analytics opțional → activează FileVault → activează Advanced Data Protection dacă toate dispozitivele tale îl suportă → instalează Firefox → nu te autentifica în iCloud până nu ai decis exact ce categorii să sincronizezi.

Ubuntu 24.04 LTS — Linux-ul popular

Ubuntu este cea mai răspândită distribuție Linux pe desktop-uri și o linie de bază rezonabilă pentru confidențialitate. Canonical are un istoric mixt în această privință.

Lentila Amazon din 2013. Pentru o scurtă perioadă, căutarea Dash din Ubuntu Unity trimitea interogări la Amazon pentru „lentile" de rezultate de cumpărături. Aceasta a declanșat o criză de încredere în comunitate care a durat ani. Funcția a fost eliminată în 16.04 și Canonical nu a repetat-o. Merită știut deoarece influențează modul în care utilizatorii Linux de lungă durată percep Ubuntu.

Telemetria actuală.

  • Ubuntu Report — un rezumat anonim, unic, de hardware/software trimis în timpul instalării. Opt-in; vezi promptul înainte să ruleze.
  • Apport — raportarea erorilor. Dezactivat implicit la versiunile finale; optezi per eroare.
  • Livepatch — patch-uri live pentru kernel. Opt-in; necesită abonament Ubuntu Advantage.
  • PopCon — concursul de popularitate al pachetelor. Dezactivat implicit.
  • Telemetria Snap — magazinul snap Canonical colectează numărul de instalări/actualizări. Mai puțin invaziv decât telemetria browserului, dar tot un apel la Canonical pentru fiecare instalare snap.

Ecranele de avertizare ubuntu-advantage-tools. Versiunile recente Ubuntu au adăugat prompturi „motd" când te autentifici prin SSH sau deschizi un terminal, publicizând Ubuntu Pro. Enervante, dar nu o problemă de confidențialitate (nicio dată trimisă). Eliminate sau reduse la tăcere în 24.04 prin setarea ENABLED=0 în /etc/default/ubuntu-advantage-tools.

Snap vs apt. Ubuntu 22.04+ livrează Firefox ca pachet snap. Magazinul snap comunică cu serverele Canonical; pachetele apt tradiționale comunică cu orice mirror ai configurat. Dacă rutarea „totul prin Canonical" te deranjează, fie treci la pachetul apt Firefox din ppa:mozillateam/ppa, fie instalezi Firefox direct prin flatpak.

Puncte forte. Open-source, auditabil, selecție masivă de pachete, suport hardware excelent, Wayland implicit în 22.04+, GNOME 46 cu setări implicite rezonabile de confidențialitate.

Puncte slabe. Interesele comerciale Canonical uneori indică spre datele utilizatorilor; telemetria Snap este inevitabilă dacă folosești snap-uri; ecranele de branding „Ubuntu Advantage" sunt vizibile.

Configurare practică. Instalare nouă → refuză Ubuntu Report → dezactivează Apport → dezactivează PopCon → înlocuiește Snap Firefox cu Firefox apt sau Flatpak → activează LUKS FDE în timpul instalării → Firefox cu uBlock Origin.

Fedora 41 — Linux-ul upstream-first

Fedora este distribuția comunitară Red Hat (IBM), utilizată ca upstream pentru RHEL. Din punct de vedere al confidențialității, este similar cu Ubuntu cu câteva diferențe.

Fără echivalentul Canonical. Red Hat / IBM nu publicizează un abonament „Advantage" utilizatorilor desktop; licențierea enterprise trăiește pe RHEL, nu pe Fedora. Fără ecrane de avertizare, fără prompturi forțate de upgrade.

Telemetria implicită. Minimă. Fedora Report (un recensământ hardware) este introdus în versiunea 42 — dezbatere continuă în comunitate, starea actuală este opt-in. ABRT (raportarea erorilor) este opt-in; vei vedea o notificare când apare o eroare și poți decide dacă o trimiți.

SELinux enforcing implicit. Aceasta este o funcție de securitate, nu de confidențialitate per se — conține exploit-uri la nivel de proces, astfel încât o aplicație compromisă nu poate citi totul din sistem. Ubuntu folosește AppArmor în același scop, dar cu o postură implicită mai permisivă. SELinux este mai strict.

Flatpak + dnf. Managerii de pachete Fedora. Flatpak-urile Flathub comunică cu CDN-ul Flathub (nu un semnal de telemetrie, ci o simplă descărcare); dnf comunică cu mirror-urile Fedora.

Wayland primul. Fiecare variantă desktop (GNOME, KDE, XFCE etc.) livrează Wayland ca sesiune implicită, care oferă o izolare mai bună între aplicațiile GUI decât X11 (aplicațiile nu pot face capturi de ecran / înregistra taste unele de la altele).

Puncte forte. Fără tipare comerciale similare Canonical, SELinux enforcing, urmărire rapidă upstream (kernel/Mesa/GNOME sunt mai noi decât Ubuntu).

Puncte slabe. Bleeding-edge poate însemna „ceva s-a stricat din cauza unei regresii de driver"; ciclul de suport de 13 luni per versiune față de cei 5 ani ai Ubuntu LTS.

Configurare practică. Instalare nouă → refuză rapoartele de erori (primești un prompt prima dată când apare una) → activează LUKS în timpul instalării → Firefox este preinstalat și nu ca flatpak pe Fedora Workstation.

Linux Mint 22 — cel mai privat Linux cu setări implicite

Linux Mint este versiunea debloată de lungă durată a Ubuntu. Preia Ubuntu LTS upstream, elimină adăugirile Canonical, înlocuiește desktop-ul cu Cinnamon (sau Xfce / MATE) și îl livrează. Ce obții:

Fără Snap implicit. Mint elimină explicit snap și blochează apt să instaleze daemonul snap. Firefox este instalat ca pachet apt obișnuit din PPA-ul Mozilla. Fără ecrane de avertizare.

Fără Ubuntu Report, fără ubuntu-advantage-tools. Mint dezactivează sau dezinstalează elementele comerciale Canonical.

Fără telemetrie. Mint însuși nu trimite date acasă. Raportarea erorilor este dezactivată. Managerul de actualizări comunică cu mirror-ul Mint pentru actualizări — trafic standard de manager de pachete — dar nu raportează utilizarea.

Alternativa LMDE. Dacă dorești o versiune Mint fără Canonical, LMDE (Linux Mint Debian Edition) folosește Debian Stable ca bază. Experiență desktop identică, upstream diferit.

Cinnamon. Un fork GNOME care prioritizează un desktop tradițional similar Windows. Mai puțin „modern" decât GNOME, mai puțin orientat spre tastatură decât KDE, dar accesibil pentru utilizatorii care trec de la Windows.

Puncte forte. Cele mai conservative setări implicite de confidențialitate dintre toate distribuțiile mainstream. Comunitate mare. Stabil. Suport hardware bun prin baza Ubuntu.

Puncte slabe. Mai lent în adoptarea noilor tehnologii (Wayland este încă opt-in în Mint 22, implicit X11). Cinnamon are mai puțini contribuitori decât GNOME sau KDE. Upstream Ubuntu înseamnă că moștenești bug-urile Ubuntu, doar nu telemetria sa.

Configurare practică. Instalare nouă → activează LUKS în timpul instalării → actualizează → instalează Firefox (deja prezent) + uBlock Origin → atât. Mint este distribuția unde „instalare și utilizare" îți oferă o postură rezonabilă de confidențialitate fără muncă suplimentară.

Qubes OS 4.2 — compartimentalizarea ca model de amenințare

Qubes se află în propria categorie. În loc să încerce să facă un singur OS mai privat, Qubes presupune că orice sistem va fi compromis și izolează raza de impact folosind virtualizarea.

Cum funcționează. Qubes rulează pe hardware bare metal prin hypervisorul Xen. Fiecare „VM" (numită qube în terminologia lor) rulează un spațiu utilizator Linux de unică folosință — de obicei șabloane Fedora sau Debian. Când dai clic pe un atașament de email, acesta se deschide într-un DisposableVM care este distrus după ce îl închizi. Banking-ul se desfășoară în propriul AppVM cu acces la rețea doar la banca ta. Navigarea pe linkuri aleatoare se întâmplă într-un qube Whonix-Workstation care rutează prin Tor.

Costul UX. Copierea și lipirea între qubes necesită o comandă rapidă de tastatură explicită (Ctrl+Shift+V) care confirmă transferul. Fișierele mutate între qubes trec printr-un dialog dedicat FileCopy. Pierzi presupunerea „totul funcționează pe același desktop" a unui OS normal — dar câștigi granițe de securitate reale.

Proprietăți de securitate.

  • Un exploit de browser în qube-ul de muncă nu poate accesa fișierele din qube-ul personal.
  • Un cititor PDF compromis nu poate exfiltra portofelul tău crypto.
  • Un stick USB conectat este montat într-un qube dedicat sys-usb — dacă este încărcat cu malware, acesta lovește VM-ul de unică folosință, nu dom0 (domeniul de control de încredere).
  • dom0 nu are acces la internet deloc; literalmente nu poți rula un browser pe dom0.

Cerințe hardware. Minimum 16 GB RAM (Qubes recomandă 16 GB), 32 GB practic. SSD rapid (NVMe preferat). CPU-uri Intel cu VT-x + VT-d; laptop-urile specifice se află pe lista de compatibilitate hardware (Thinkpad-uri mai noi, Framework, System76 Oryx Pro).

Integrare Tor prin Whonix. Direct din cutie, Qubes vine cu șabloane Whonix — o configurare cu două VM-uri unde unul face rutarea Tor și celălalt rulează browserul tău, fără nicio modalitate pentru browser de a afla IP-ul real chiar dacă este complet exploatat. Cea mai bună arhitectură Tor după Tails.

Puncte forte. Model de securitate de top pentru utilizatorii cu amenințări ridicate. Open-source. Snowden și jurnaliști de mare valoare îl folosesc public.

Puncte slabe. Curbă de învățare abruptă (2-4 săptămâni pentru a te familiariza). Cerințe hardware ridicate. Suport hardware limitat — liste specifice de laptop-uri mai degrabă decât „cele mai moderne hardware". Fără software comercial; ești limitat la aplicații Linux.

Configurare practică. Ghidul de instalare al Qubes este excelent. Alocă un weekend pentru prima instalare și pentru a învăța modelul qube. Combină cu un laptop compatibil (verifică lista lor HCL — nu cumpăra hardware aleatoriu).

Tails 6.x — sesiuni amnezice pe USB

Tails (The Amnesic Incognito Live System) este un OS live bazat pe Debian care pornește de pe un USB și uită totul când îl oprești. Fiecare conexiune externă este forțată prin Tor — dacă un bug dintr-o aplicație încearcă să facă o conexiune directă, aceasta eșuează în loc să scurgă date.

Cum îl folosești. Pornești o mașină țintă de pe un USB Tails. Îl folosești. Repornești. Hard disk-ul mașinii nu este atins niciodată (cu excepția cazului în care optezi explicit). Nu rămâne nicio urmă a sesiunii nicăieri, cu excepția memoriei umane.

Stocare persistentă. Opt-in, pe același USB, criptată cu LUKS. Permite păstrarea unui folder specific, a setărilor de bridge Tor și a unei liste scurte de aplicații între reporniri. Altfel, totul rămâne amnesic.

Rutare Tor. Tot traficul. Fără „split tunnel", fără „excepție bazată pe domeniu". Aplicațiile care nu pot folosi Tor pur și simplu nu se pot conecta. Aceasta este strictă și uneori enervantă (unele videoconferințe se strică, majoritatea site-urilor bancare blochează ieșirile Tor), dar este proprietatea de securitate.

Puncte forte. Amnesic prin design — un USB rătăcit nu scurge sesiunea ta. Tor implicit — nicio modalitate de a scurge accidental IP-ul real. Suprafață de atac mică — stivă software minimală. Bine întreținut de un nonprofit.

Puncte slabe. Nu este un sistem de operare zilnic. Pornirea de pe USB este mai lentă. Selecția software este intenționat limitată. Latența Tor strică multe servicii comerciale. Nicio stare persistentă de sistem între reporniri, cu excepția cazului în care optezi.

Ideal pentru.

  • Traversarea frontierelor (repornire în OS normal înainte de vamă)
  • Întâlnirea surselor jurnalistice
  • Cercetarea unui subiect sensibil care nu ar trebui să se amestece cu identitatea ta zilnică
  • Orice sesiune în care „ce faci acum nu trebuie să poată fi legat de cine ești în restul timpului"

Configurare practică. Descarcă Tails de pe tails.net, verifică semnătura (critic), flashează pe un USB ≥ 8 GB, pornește mașina țintă de pe el (poate necesita o modificare BIOS/UEFI). Setează o parolă de administrator dacă trebuie să rulezi comenzi sudo în timpul sesiunii.

Tabel comparativ

OS Telemetrie (implicit) Cont obligatoriu Open source FDE implicit Setări implicite cloud Scor confidențialitate
Windows 11 Home Mereu activă + opt-out doar Da (Microsoft) Nu Uneori (Device Encryption auto) OneDrive activat ★☆☆☆☆
Windows 11 Pro Reductibilă prin Group Policy Nu (opțiune domain join) Nu Da (BitLocker) OneDrive activat ★★☆☆☆
macOS Sequoia Opt-out în UE, activată implicit în SUA Recomandat (Apple ID) Nu Nu (utilizatorul trebuie să activeze FileVault) iCloud activat pentru Poze ★★★☆☆
Ubuntu 24.04 Opt-in doar la instalare Nu Da Opțional la instalare Niciuna (telemetrie snap) ★★★★☆
Fedora 41 Rapoarte de erori opt-in Nu Da Opțional la instalare Niciuna ★★★★☆
Linux Mint 22 Niciuna Nu Da Opțional la instalare Niciuna ★★★★★
Qubes OS 4.2 Niciuna Nu Da Da (LUKS obligatoriu) Niciuna ★★★★★
Tails 6.x Niciuna Nu Da Volum persistent opțional Niciuna (rutat Tor) ★★★★★

(Stelele reprezintă un compus aproximativ al „sarcinii de telemetrie + penalizarea sursei închise + implicit FDE + dependența cloud". Nu este singurul lucru care contează — un Windows 11 Pro întărit poate fi mai privat decât o instalare Ubuntu neglijentă.)

Recomandarea noastră pe caz de utilizare

1. Consumator conștient de confidențialitate care are nevoie și de software mainstream (Adobe, gaming, Office, Zoom etc.). Windows 11 Pro cu BitLocker + O&O ShutUp10++ + Firefox + cont local. Sau dual-boot Windows pentru aplicațiile care îl necesită și Linux Mint pentru orice altceva.

2. Lucrător de cunoaștere, dezvoltator, student, scriitor. Linux Mint cu LUKS + Firefox + uBlock Origin. Nouăzeci la sută din fluxurile de lucru Windows/macOS se mapează curat pe Mint. LibreOffice pentru cele mai multe documente, OnlyOffice dacă ai nevoie de o compatibilitate mai bună cu Microsoft Office.

3. Creator de conținut / designer care folosește Adobe Creative Cloud. macOS Sequoia cu FileVault + Advanced Data Protection + Firefox. Suportul Adobe este real pe macOS; este dificil pe Linux (Wine/Bottles funcționează pentru unele aplicații, nu pentru toate). Performanța Apple Silicon pe lucrul video este cu adevărat cea mai bună dintre cele trei opțiuni comerciale.

4. Jurnalist / activist / cercetător care lucrează cu material sensibil. Qubes OS pe hardware compatibil pentru munca zilnică + Tails pe un USB pentru sesiuni ocazionale cu risc ridicat. Folosește dispozitive fizice separate pentru „identitatea publică" față de „identitatea de muncă sensibilă" dacă este posibil.

5. Sesiune ocazională cu risc ridicat (traversarea unei frontiere, întâlnirea cu o sursă, cercetarea unui subiect). Tails pe un USB, pornit pe o mașină curată, oprit după aceea. Nu reutiliza USB-ul în diferite scenarii de risc fără a șterge volumul persistent.

6. Bunic care învață să folosească un computer. ChromeOS pe un Chromebook pentru simplitate, SAU Linux Mint Cinnamon dacă există vreun membru al familiei care poate face configurarea inițială. Evită Windows 11 Home — configurarea contului Microsoft singură este confuză, iar munca de curățare nu merită pentru un utilizator ușor.

Ce folosim noi de fapt

Dezvăluire completă: echipa ipdrop.io rulează un mix — macOS pentru conținut/design/muncă zilnică, Linux Mint pe o mașină separată pentru dezvoltare/muncă sensibilă și un USB Tails într-un sertar care este folosit poate de 3-4 ori pe an. Qubes îl respectăm, dar nu îl folosim zilnic — frecarea este reală și modelul nostru de amenințare nu îl necesită.

Oricare ai alege, cea mai importantă mișcare de confidențialitate nu este OS-ul — ci activarea criptării întregului disc, folosirea unui manager de parole și neamestecarea identităților sensibile în browserul tău de zi cu zi. Alegerea OS-ului este cadrul; obiceiurile sunt tabloul.

Articole înrudite

Cum să întărești orice OS desktop pentru confidențialitate

O listă de verificare independentă de platformă care acoperă câștigurile de confidențialitate 80/20, indiferent de OS-ul pe care îl folosești. Cele mai multe durează sub o oră.

  1. Activează criptarea întregului disc:BitLocker (Windows 11 Pro — nu Home), FileVault (macOS System Settings → Privacy & Security → FileVault) sau LUKS în timpul instalării Linux. Fără FDE, un laptop pierdut înseamnă o breșă de confidențialitate. Folosește o frază de acces de 18+ caractere aleatorii (nu o parolă pe care o memorezi — stochează fraza de acces în managerul tău de parole și cheia de recuperare tipărită într-un seif fizic).
  2. Dezactivează telemetria de care nu ai nevoie:Windows 11 → Settings → Privacy & Security → dezactivează fiecare opțiune de care nu ai nevoie activ; rulează O&O ShutUp10++ pentru modificări mai profunde de Group Policy. macOS → Settings → Privacy & Security → Analytics & Improvements → dezactivează toate partajările. Ubuntu/Fedora → renunță în timpul instalatorului (bifele „Help improve...") și dezactivează raportarea erorilor. Linux Mint → nimic de dezactivat, dar reverificați după upgrade-uri majore.
  3. Schimbă browserul implicit cu Firefox sau Brave, nu Chrome/Edge/Safari:Chrome trimite implicit fiecare URL către Google pentru Safe Browsing (există o opțiune de dezactivare). Edge trimite către Microsoft. Safari este mai puțin problematic, dar rămâne centrat pe Apple. Firefox cu modul strict și un blocant de reclame (uBlock Origin) este cel mai bun echilibru între confidențialitate și compatibilitate. Brave are setări implicite mai stricte, dar aspectul rețelei de reclame-recompense îi deranjează pe unii. Instalează browserul MAI ÎNTÂI pe un nou OS, înainte de a te autentifica în orice.
  4. Folosește un manager de parole cu criptare end-to-end:Proton Pass sau Bitwarden — ambele open-source, ambele cu criptare E2E. Activează 2FA chiar pe managerul de parole. Nu reutiliza niciodată parolele. Vezi comparația noastră Proton Pass vs Bitwarden pentru a alege.
  5. Adaugă un VPN pentru rețele nesigure (și consideră activarea permanentă):ISP-ul tău / cafeneaua / aeroportul / rețeaua angajatorului poate vedea fiecare domeniu la care te conectezi. Un VPN (Proton VPN sau Mullvad, nu unele gratuite) criptează traficul până la serverul VPN și înlocuiește ISP-ul cu un intermediar de încredere. Specific pentru confidențialitate — nu doar deblocare geografică — consideră să îl lași activ chiar și acasă.
  6. Configurează backup cloud criptat sau oprește sincronizarea cloud a folderelor sensibile:Dacă folosești Windows 11, OneDrive este activat implicit și scanează fiecare fișier din folderul Documents. macOS face ceva similar cu iCloud Drive dacă nu renunți. Opțiuni, clasificate după confidențialitate — (a) backup local pe o unitate externă criptată doar, (b) Proton Drive cu criptarea sa zero-access, (c) Bitwarden Send sau Magic Wormhole pentru transferuri criptate ocazionale. Dezactivează sincronizarea cloud implicită pentru orice folder care conține documente financiare, medicale sau de identitate.
  7. Auditează extensiile de browser și aplicațiile instalate trimestrial:Extensiile sunt un vector clasic de exfiltrare — aceeași permisiune care permite unui blocant de reclame să citească fiecare pagină permite și unei extensii compromise să facă același lucru. La fiecare 90 de zile, verifică trei lucruri — extensiile de browser instalate (elimină orice nu ai folosit în 30 de zile), aplicațiile instalate (dezinstalează orice nu recunoști) și lista de aplicații conectate prin "Sign in with Google / Facebook / Apple" (revocă-le pe cele vechi).
  8. Fă serviciile de localizare opt-in per aplicație:Pe orice OS, mergi la Settings → Privacy → Location Services și setează implicit la „Deny" pentru aplicații, cu excepția cazului în care ai nevoie activă de ele (de ex. Maps, Weather). Un browser nu ar trebui să aibă nevoie de localizare cu excepția cazului în care ai dat clic pe un prompt „allow" pe un site specific. macOS și Linux gestionează bine acest aspect; Windows 11 necesită mai multă configurare deliberată deoarece multe aplicații incluse implicit sunt setate la „Allow".
  9. Pentru confidențialitate maximă, separă identitățile pe mașini separate:Cea mai importantă mișcare de igienă a confidențialității este să oprești amestecarea unei identități personale cu una profesională pe același dispozitiv și profil de browser. Fie folosești profiluri separate de browser cu izolare agresivă a cookie-urilor, fie — mai bine — un al doilea dispozitiv fizic (un laptop vechi cu Linux Mint costă 100-200 USD second-hand) pentru cercetări sensibile, banking, jurnalism. Qubes OS face asta la nivel de OS cu mașini virtuale Xen, dar chiar și „două laptopuri" te duce 90% din drum.

Întrebări Frecvente

Articole înrudite

Ce este un VPN?

Proton Pass vs Bitwarden