什么是浏览器指纹?它的工作原理和风险
大多数人将在线追踪想象成 cookie:网站会在你的浏览器中放置一个小文件,并在你下次访问时再次读取它。而浏览器指纹识别则完全绕过了 cookie 文件。它通过读取浏览器默认提供的设置信息来识别你,例如屏幕尺寸、已安装的字体、显卡型号和时区。将几十个这样的看似不起眼的细节组合起来,就能得到近乎独一无二的浏览器指纹。最近的研究表明,大约 60% 的浏览器都属于这种独一无二的类型,无需 cookie、无需登录、也无需 IP 地址。那么,什么是浏览器指纹?为什么它如此难以摆脱?对于加密货币交易者来说,它又意味着什么?本指南将为你一一解答这些问题。
浏览器指纹识别的定义和工作原理
浏览器指纹,有时也称为数字指纹,是根据设备每次加载页面时暴露的技术特征构建的配置文件——一种完全无需存储文件的设备指纹识别方式。它利用普通的浏览器信息和系统配置,没有任何单一特征能够泄露您的身份。您的屏幕分辨率和操作系统与数百万人相同。其威力在于这些特征的组合;将足够多的共同特征叠加在一起,另一个人同时匹配所有这些特征的概率就几乎为零。
研究人员用熵比特来衡量这种现象,熵比特本质上就是计算某个值能将人群范围缩小多少的一种方法。 根据2025年隐私增强技术研讨会上发表的一项研究,现代桌面浏览器总共会泄露约12.1比特的信息。这听起来似乎不多,但当你意识到每泄露一个比特,你就能大致区分出两倍的用户数量时,就会发现这其中的分量。仅显卡信息(通过WebGL读取)就贡献了近6.8比特的信息。这也不是什么新问题。电子前沿基金会(EFF)首次测量时,在其测试的470,161名访问者样本中,83.6%的浏览器是不同的;2016年的一项重复研究(由不同的团队采用相同的方法)发现,这一数字已攀升至89.4%。
被动信号采集与主动信号采集
用户代理指纹识别分为两种方式。被动式采集读取浏览器自动发送的信息:用户代理标头、支持的语言以及 HTTP 标头的顺序。这种用户代理指纹识别方式成本低廉,但本身功能较弱。它不会在你的计算机上运行任何程序。主动式采集则更进一步。它会运行 JavaScript 代码,悄悄地请求浏览器绘制图像、播放无声音频样本或列出其字体,然后精确测量硬件的响应。主动式方法泄露的信息更多,这也是为什么最强大的技术都依赖于脚本的原因。
为什么唯一性其实只是数学问题
这里就是容易让人犯错的地方。指纹并不需要保密才能生效。指纹中的每个值都是公开的,而且是你主动广播的。真正让你容易被追踪的是,特定的指纹组合足够罕见,可以唯一地识别你的设备。这就是为什么唯一的真正防御手段是让自己看起来和别人一样,这一点我们稍后会再讨论。你无法像隐藏密码那样隐藏指纹,因为它不是你持有的东西,而是你发出的一种模式。用数字来说明:12 位熵的指纹,追踪器大约可以识别出 4000 台设备中的一台;而一个包含大量脚本、熵值超过 20 位的指纹,则足以让你在百万人口的城市中保持绝对的匿名性。
浏览器指纹识别技术类型
每种技术都会泄露不同的身份信息。有些技术成本低但效果不佳,有些则速度慢但信息量大。追踪器通常会收集一些指纹向量,并将它们哈希处理成一个短字符串,即一个唯一的标识符,该标识符同时也是设备标识符。下表列出了主要的指纹向量以及每种向量大致能缩小目标范围的程度。
| 向量 | 它揭示了什么 | 大致如何识别 |
|---|---|---|
| 用户代理和客户端提示 | 浏览器、版本、操作系统 | 低 |
| 屏幕和硬件 | 分辨率、色彩深度、CPU核心数、内存 | 低至中等 |
| 帆布 | GPU、驱动程序、字体渲染怪异 | 高的 |
| WebGL | 显卡和渲染器字符串 | 高位(约 6.8 位) |
| AudioContext | 音频堆栈处理差异 | 中等的 |
| 已安装字体 | 您的系统有哪些字体? | 中等至高 |
| 时区和语言 | 区域和语言设置 | 低的 |
Canvas指纹识别
Canvas 是这项技术的核心。它通过脚本指示浏览器在一个隐藏的 canvas 元素上绘制一行文本和几个形状,然后读取这些像素。整个过程你都看不到。关键在于,没有两个图形堆栈能够完全相同地渲染出相同的图形,因为 GPU、驱动程序版本、抗锯齿和字体平滑等都会留下细微的痕迹。这些差异稳定且可测量。根据在 ACM 互联网测量大会上发布的 2025 年爬取数据,Canvas 指纹识别技术目前已应用于排名前 2 万的网站中的 12.7%,以及排名在 2 万到 100 万之间的网站的 9.9%。
WebGL指纹识别
WebGL 会更直接地暴露你的图形硬件。脚本可以读取渲染器字符串(通常会指定具体的 GPU),并探测它如何处理 3D 渲染。这一个通道包含了整个指纹中最复杂的信息,这也是为什么隐私浏览器要花费大量精力来削弱它的原因。
音频和字体指纹识别
AudioContext 指纹识别技术会生成一个无声声波,并测量您的音频堆栈如何处理它,因为硬件和软件的细微差别都会影响输出结果。字体枚举技术会检查您的系统可以渲染哪些字体,而您实际安装的字体集往往具有很强的个人特色。需要注意的是:近期同行评审的研究中,音频指纹识别技术的熵值测量结果并不理想,因此请谨慎对待厂商的相关声明。
浏览器指纹识别与 Cookie:主要区别
Cookie 和指纹都会追踪你的活动,但它们的运作方式截然相反。Cookie 是网站存储在你设备上的文件,你可以查看、阻止和删除它。而指纹则是实时收集的,你无法移除它。因此,指纹无法清除。正是这种不对称性——既没有同意提示,也没有关闭开关——使得追踪器在浏览器开始禁用第三方 Cookie 后,转而使用指纹。与可以清除的追踪 Cookie 不同,指纹不会留下任何痕迹。
| 方面 | 曲奇饼 | 浏览器指纹 |
|---|---|---|
| 它居住的地方 | 存储在您的设备上 | 每次访问时计算 |
| 同意提示 | 通常需要 | 通常没有 |
| 你能把它删除吗? | 是的 | 不 |
| 隐姓埋名幸存 | 不 | 基本如此。 |
| 全新安装后仍然存在 | 不 | 通常是的 |
广告商如何使用浏览器指纹识别技术
两个截然不同的阵营都依赖于同一种工具。广告技术公司(即大多数在线广告背后的广告公司)利用指纹识别技术追踪用户在不同网站上的活动,并重建因第三方 Cookie 逐渐被淘汰而丢失的跨网站用户画像。这项技术让他们无需用户许可即可将用户行为拼接起来,这是一种无需登录的隐蔽行为追踪方式。这些追踪技术还可以整合用户的浏览器历史记录,进一步完善用户画像。然而,这些技术的用途并非总是无害的。例如,同样的跨网站用户画像可以用于价格歧视,根据指纹识别技术所依据的设备和浏览历史记录,为同一航班或同一件商品向两位消费者提供不同的报价。第二个阵营则致力于防范欺诈,其逻辑恰恰相反:银行、市场和交易所利用相同的设备信号来识别被盗账户或僵尸网络背后的用户,并检测同时运行多个账户的用户。
这如今已发展成为一个真正的产业,而非附属功能。一家专业供应商报告称,其年收入同比增长 65%,并表示截至 2026 年初,每月处理的设备识别数据将超过 10 亿条。因此,当你问谁在使用浏览器指纹识别技术时,诚实的答案是:既包括你想避免的追踪器,也包括试图保护你账户的安全团队。同样的技术,却有着截然相反的目的。
对加密货币和金融科技用户的隐私影响
如果你交易或持有加密货币,浏览器指纹识别就像一个隐形的裁判,在你访问的每个交易所都扮演着重要的角色。它既对你有利,也对你不利,正因如此,它才值得比一般的隐私建议给予的更多关注。对于任何持有资金的人来说,这里的隐私风险是实实在在的,而非抽象的。
交易所、反欺诈和女巫攻击防护
交换指纹设备是为了强制执行一条非常实用的规则——一个账号对应一个真人。同样的信号可以检测账号盗用、阻止使用数百个虚假身份进行奖励和空投的“农夫”行为,并标记机器人程序。其目标是在用户名和密码不再足够的情况下,实现可靠的用户身份识别。FingerprintJS、SEON 和 Sift 等供应商正是销售这类产品。设备篡改是伪造这些信号的典型迹象,其发生率在一年内翻了一番。 根据一家供应商基于 234 亿个事件发布的 2026 年设备智能报告,设备篡改在 2025 年的桌面身份识别事件中占比为 4.4%,而 2024 年这一比例为 2.6%。大约五分之一的桌面事件还使用了 VPN。
钱包去匿名化
大多数指南完全忽略了这种风险。假设您在一个标签页中完成了受监管交易所的 KYC 验证,然后在同一浏览器的另一个标签页中打开了您本以为匿名的自托管钱包。这两个标签页会生成相同的指纹。任何能够关联这些数据的人都可以将已验证的身份与您以为是私密的钱包联系起来。指纹就成了将您的真实姓名与链上活动联系起来的线索。但这还不是全部。如果您之后为了绕过区域封锁而开设第二个账户,匹配的指纹可能会将其标记为同一个人,并在验证过程中冻结该账户。
反探测军备竞赛
为了应对这种情况,一个庞大的反检测浏览器市场应运而生,例如 Multilogin、GoLogin 和 AdsPower。它们会为每个用户生成一个全新的指纹,使得一个操作者可以同时运营多个看似属于不同用户的账户。交易所加强了检测,而这些工具则加剧了规避行为,双方的差距不断扩大。我不认为任何一方能够彻底取胜。篡改信号的倍增表明,规避工具虽然赢得了回合,但并未赢得最终的胜利。
浏览器指纹识别的法律地位
指纹识别如今已不再是自由领域,而是被置于日益严格的法律框架之中。在欧盟,相关规定现在将其视为与 Cookie 类似的工具。欧洲数据保护委员会于 2024 年 10 月最终确定了指导意见,确认读取设备特征与 Cookie 一样,均需根据《电子隐私指令》获得用户同意,这与 2014 年的一项意见相呼应。监管机构也对此直言不讳。在谷歌重新允许广告商使用指纹识别技术后,英国数据监管机构公开称此举不负责任,并表示指纹识别并非追踪用户的公平手段。在美国,加州的隐私法已将这些标识符视为个人数据,使指纹识别成为主流隐私关注的焦点。发展趋势显而易见——灰色地带逐年减少。
防止指纹识别的方法
你不可能隐身。你可以选择两种截然相反的策略,但大多数人却本末倒置。要么你融入人群,让你的指纹与所有人的指纹都一致;要么你成为一个移动的目标,每次被读取的指纹都会发生变化。VPN 和隐身模式——人们最先想到的两种工具——几乎不会影响你的指纹。
浏览器设置以减少指纹识别
Tor 浏览器采用的是“融入式”策略。它让每个用户都呈现几乎相同的“指纹”,并使用信箱模式将窗口大小调整为通用尺寸,从而防止屏幕尺寸泄露。Brave 则采用了一种名为“farbling”的动态目标策略,该技术会在每次会话中对画布和音频读取进行微小的随机化处理。虽然这种策略很巧妙,但研究人员在 2025 年指出,对足够多的样本进行平均可以部分抵消其效果。Firefox 则介于两者之间,它提供了“抗指纹识别”模式和“增强型跟踪保护”功能。
VPN、扩展程序和禁用 JavaScript
务必清楚每种工具的功能。VPN 可以隐藏你的 IP 地址,这对 VPN 隐私至关重要,但你的指纹信息不会改变,因此在这里作用不大。隐私浏览或隐身模式会重置 cookie,但几乎无法提供任何指纹保护。像 uBlock Origin 这样的隐私扩展程序(大多数人都熟悉这类追踪器拦截器)可以阻止收集信号的脚本,这确实有效。禁用 JavaScript 可以彻底阻止 canvas、WebGL 和音频指纹识别,因为这些功能需要脚本才能运行,但这也会破坏现代网络的大部分功能,因此很少有人会长期这样做。
用于检查浏览器指纹的工具
只需两分钟,你就能进行自我测试。EFF 的Cover Your Tracks工具可以显示你的浏览器外观是否独特,以及是否可以屏蔽追踪器。AmIUnique 和 BrowserLeaks(均为免费工具)功能类似,并将结果逐个向量进行分析;你可以准确地看到是哪个设置让你的浏览器显得与众不同。
建议:与你的指纹共存
根据威胁选择相应的防御措施。对于只想提升在线隐私的普通读者来说,Brave 或 Firefox 搭配追踪器拦截器就足够了。而加密货币用户则需要更严格的习惯,也就是身份卫生。最实用的一条规则就是:永远不要在已完成 KYC 认证的交易所和你的私人钱包之间共享同一个浏览器配置文件。每个身份使用一个独立的浏览器或配置文件,比任何单一的浏览器扩展程序都更有效,因为它能防止浏览器指纹成为连接你两个身份的纽带。所以,真正的问题不在于如何抹去你的浏览器指纹(这是不可能的)。完全匿名很少是真正的目标;对加密货币用户来说,匿名浏览的真正意义在于保持身份的独立性。关键在于你需要保持多少个独立的身份,以及你当前的设置是否真的能做到这一点。
