如何檢查您的密碼是否已遭洩露
數十億個密碼因多年數據洩露而在暗網市場上可用。了解如何檢查您的密碼是否在其中——以及如果是的話確切應該怎麼做。
數十億個密碼因多年數據洩露而在暗網市場上可用。了解如何檢查您的密碼是否在其中——以及如果是的話確切應該怎麼做。
當公司或服務被入侵時,攻擊者通常會盜取用戶憑證數據庫——通常是用戶名(通常是電郵地址)和哈希或明文密碼。這些被盜數據庫隨後在暗網論壇和市場上共享或出售。隨著時間的推移,這些數據庫中的許多最終被匯編成包含數百次洩露的數十億條記錄的聚合集合。
Have I Been Pwned ↗(HIBP),由澳大利亞安全研究員Troy Hunt運營,是查看您的電郵地址是否出現在已知洩露數據中最全面的公共資源。該服務對洩露數據庫進行索引,允許任何人查看他們的電郵地址是否出現在任何已知洩露中——在撰寫本文時,數據庫包含來自700多次洩露的超過130億個帳戶。該服務還允許您使用隱私保護的k-匿名技術查看特定密碼是否出現在洩露數據中,這意味著您永遠不會將實際密碼發送到服務。
許多主要密碼管理器現在包括內置洩露監控,持續針對洩露數據庫檢查您存儲的憑證,並在發現匹配時立即提醒您。這比手動檢查每個帳戶方便得多,意味著您通常在數據被索引後幾小時內收到洩露通知,而不是幾周或幾個月後才發現。
執行最重要的檢查是針對您的主要電郵地址,因為這是最可能接收重置電郵的帳戶,也是最常在各服務中用作用戶名的帳戶。訪問haveibeenpwned.com並輸入您的主要電郵地址。服務將告訴您該地址是否出現在任何已知洩露中、它出現在哪些洩露中,以及暴露了哪種類型的數據(密碼、實體地址、電話號碼等)。這個檢查是免費且安全的——您的電郵地址不會被存儲。
要查看特定密碼是否出現在洩露數據中,請訪問HIBP ↗(haveibeenpwned.com/passwords)的密碼部分或使用密碼管理器的集成檢查。服務使用稱為k-匿名的技術:您輸入密碼,服務在本地對其哈希,只將哈希的前五個字符發送到服務器,服務器返回該前綴的所有哈希匹配。您的完整密碼哈希永遠不會離開您的設備,從私隱角度使檢查完全安全。如果您的密碼出現在洩露數據中,服務將告訴您它在洩露記錄中被找到的次數。
對於香港用戶,還值得專門查看本地洩露。香港警察網絡安全及科技罪案調查科和香港電腦保安事故協調中心(HKCERT ↗)都會就影響本地服務的洩露發出警報。訂閱HKCERT的安全警報(在hkcert.org)可以在本地事件出現在全球洩露數據庫之前提前預警,這些事件可能影響您的帳戶。
如果您發現您的憑證出現在洩露中,您應對的緊迫性應與受影響帳戶的敏感性成比例。對於涉及您很少使用的次要網站的洩露,在一天內更改密碼是合理的。對於涉及您的主要電郵帳戶、銀行憑證或任何與金融信息相關的洩露,將其視為需要立即行動的緊急情況——最好在一小時內。
立即採取的行動是:使用密碼管理器生成唯一的新密碼,在被入侵的網站上更改密碼;識別您在任何其他帳戶中使用了相同密碼的情況,立即更改這些密碼(這就是為什麼重複使用密碼如此危險——一次洩露變成多次);在受影響的帳戶和您更改了重複使用密碼的任何帳戶上啟用雙重認證。如果洩露涉及支付卡數據,通知您的銀行、監控未經授權的交易,並考慮要求新的卡號。
在即時應對之後,審查您的整體安全態勢。運行密碼管理器的安全審計,識別任何剩餘的重複使用或弱密碼。考慮您是否有足夠的監控措施以快速發現未來的洩露。審查洩露中暴露的敏感個人信息——如果包括您的姓名、地址、電話號碼或香港身份證號碼,在接下來的幾周內警惕針對性的網絡釣魚企圖,因為攻擊者頻繁使用洩露數據製作令人信服的個人化詐騙。
了解數據洩露的最重要洞察是,對於任何定期使用在線服務的人來說,某種程度的洩露曝險實際上是不可避免的——您信任的公司最終會被入侵。目標不是防止洩露(您對此沒有控制),而是限制它們可能造成的損害。為每個帳戶使用唯一密碼和啟用雙重認證,每次洩露都被限制在單個帳戶,而不是在您整個數字生活中級聯。
持續監控是下一層保護。在您的密碼管理器中設置洩露通知,為您所有電郵地址訂閱HIBP通知,並考慮Mozilla Monitor(免費)或管理器內置暗網監控等服務。這些服務在新識別的洩露數據中出現您的憑證時主動提醒您,通常在幾小時內,讓您有機會在攻擊者大規模利用暴露的憑證之前作出應對。
減少您的攻擊面也有幫助。審計您多年來創建的帳戶,刪除或停用那些您不再使用的帳戶。每個活躍帳戶都是潛在的洩露受害者;您五年前刪除的帳戶今天不能在洩露中被入侵。對不太受信任的網站使用一次性或統一接收電郵地址(SimpleLogin等服務允許您為每個網站創建唯一的電郵地址),並盡可能使用唯一的用戶名而不是您的主要電郵地址,使攻擊者更難跨洩露關聯您的帳戶。
