Have I Been Pwned:香港用戶完整指南
Have I Been Pwned 是全球最受信賴的免費洩露數據庫。本完整指南涵蓋每個功能——電郵監控、密碼查核、域名監控、API,以及作為香港居民如何解讀和採取行動應對結果。
Have I Been Pwned 是全球最受信賴的免費洩露數據庫。本完整指南涵蓋每個功能——電郵監控、密碼查核、域名監控、API,以及作為香港居民如何解讀和採取行動應對結果。
Have I Been Pwned ↗(HIBP)由澳大利亞安全研究員 Troy Hunt 於2013年12月創建,起因是 Adobe 洩露了1.53億條記錄。該服務匯總來自已知洩露數據集的資料,並提供免費查詢工具,允許任何人查核其電郵地址是否出現在洩露資料中。截至2025年,HIBP 包含來自700多次已確認洩露的超過120億條被洩露記錄——使其成為全球最大的可公開訪問洩露數據庫。該服務受到安全研究員、執法機構 ↗(FBI 已向 HIBP 提供洩露資料)以及包括 Mozilla、1Password 和 Google 在內的主要科技公司的信任,所有這些公司都將 HIBP 資料整合到其安全產品中。
HIBP 的核心機制很簡單。當發生數據洩露且洩露數據集被獲取時(通過購買、研究員披露、執法分享或貼文網站監控),Troy Hunt 和 HIBP 團隊處理資料:驗證它是真正的洩露資料、規範格式,並將其載入 HIBP 數據庫。洩露中的電郵地址被哈希處理並存儲;相關的元數據(洩露名稱、日期、被洩露的資料類型)被記錄。當您在 HIBP 上搜索電郵地址時,您的查詢與此數據庫匹配,結果在幾秒內返回。HIBP 從不存儲您的搜索查詢,也不根據您的搜索內容建立個人資料——該服務從根本上是一個查詢工具,而非資料收集平台。
HIBP 有一個精心考慮的私隱模型,使其有別於商業替代品。由於 HIBP 只在其洩露數據庫中存儲電郵地址哈希(而非明文),它不能被惡意方用來收集電郵地址。Pwned Passwords 數據庫使用 k-匿名性:查核密碼時只傳輸 SHA-1 哈希的前5個字符,這意味著 HIBP 服務器永遠不會收到您的實際密碼或足以識別它的哈希數據。這些設計選擇使 HIBP 對安全意識強的用戶值得信賴——該服務旨在提供信息而非收集信息。對香港用戶而言,HIBP 無需 VPN 即可訪問(它未被本地互聯網服務提供商封鎖),並返回包括幾次影響香港特定服務洩露的國際洩露數據集的結果。
電郵通知功能是 HIBP 持續保護最有價值的組件。要注冊通知,請前往 haveibeenpwned.com,輸入您的電郵地址,點擊「notify me of pwnage」(或直接前往 haveibeenpwned.com/NotifyMe),並完成電郵驗證。一旦驗證,每當您的地址出現在新添加的洩露數據集中時,HIBP 就會向您發送電郵。這些通知在洩露被添加到 HIBP 數據庫後數小時內到達——比依賴公司自行報告洩露快得多(在香港目前自願的 《私隱條例》↗ 通知框架下,可能永遠不會發生)。通知是免費的、永久的,並發送到您的注冊地址,無需任何定期訂閱或到期時限。
注冊您積極使用的每個電郵地址——主要、次要、工作,以及與重要賬戶相關的任何地址。您需要為每個地址完成驗證步驟,這確認您控制郵箱,然後 HIBP 才開始向其發送洩露通知。驗證後,每個地址都被獨立監控。當洩露通知到達時,它包括洩露名稱、洩露發生的日期(如果已知)、添加到 HIBP 的日期,以及被洩露的資料類型(電郵地址、密碼、電話號碼等)。仔細閱讀每個通知,並在24小時內採取行動——特別是對於密碼洩露,在自動化憑證填充攻擊開始之前的時間窗口可能很窄。
HIBP 通知電郵旨在提供信息且可付諸行動。每封電郵都包含指向洩露詳情頁面的直接鏈接,其中包括對被洩露服務的完整描述、洩露如何發生(如果已知)、洩露規模,以及受損資料類型的列表。洩露詳情頁面還鏈接到 HIBP 的完整數據庫條目,您可以在那裡查看示例的被洩露資料類型(沒有任何個人詳情)和針對該洩露的特定建議。當您收到涉及您認識服務的洩露的 HIBP 通知時,應對是明確的:立即更改密碼、查核您是否在其他地方使用了相同密碼,並在被洩露服務上啟用 2FA(如果尚未啟用)。
haveibeenpwned.com/passwords 上的 HIBP Pwned Passwords 數據庫是一個包含來自已知洩露資料的8.5億個以上密碼的補充服務。與電郵查核不同——電郵查核告訴您哪些服務已遭洩露——密碼查核告訴您特定密碼是否出現在任何洩露數據集中,無論它與哪個電郵地址相關聯。出現在此數據庫中的密碼意味著它已從至少一次洩露中洩露,並且已為犯罪社群所知——無論洩露發生多久前,都應視其為受損密碼。常見密碼(123456、password、qwerty123)出現數百萬次;更複雜的密碼可能出現在一個服務的特定洩露數據集中。
密碼查核背後的保護私隱機制稱為具有 k-匿名性的 Pwned Passwords Range API。當您在 HIBP 密碼查核器中輸入密碼(或當您的密碼管理器運行自動查核時),密碼在您的瀏覽器中本地使用 SHA-1 進行哈希處理。該哈希值的前5個字符被發送到 HIBP API。服務器返回數據庫中以這5個字符開頭的所有哈希後綴——通常是數百個部分哈希。然後,您的瀏覽器查核您的完整哈希是否出現在該列表中。這意味著 HIBP 從不收到您的完整密碼哈希,更不用說您的明文密碼。計算工作被分割:HIBP 提供部分匹配,您的設備確認完整匹配。這就是為什麼 HIBP 密碼查核器受到安全專業人員的信任,否則他們會對向任何第三方服務傳輸密碼非常謹慎。
密碼管理器整合使 HIBP 密碼查核變得自動且全面。1Password 的 Watchtower 功能、Bitwarden 的被洩露密碼報告、iOS 安全建議和 Google 密碼查核全都使用 HIBP Pwned Passwords API 同時查核每個存儲的密碼,而不向 HIBP 傳輸任何密碼資料。立即在密碼管理器設置中啟用這些功能(如果尚未啟用)——它們提供持續保護,隨著新洩露資料被添加到 HIBP 數據庫而更新,而非只是一次性查核。當您的密碼管理器將密碼標記為受損時,按賬戶類型優先處理補救:首先是銀行和投資賬戶,然後是電郵,然後是雲端存儲,最後是所有其他服務。使用密碼管理器為每個被標記的密碼生成唯一的高熵替換密碼——永遠不要重用替換密碼。
HIBP 在 haveibeenpwned.com/DomainSearch 提供域名搜索功能,允許企業主和 IT 管理員對照洩露數據庫查核整個域名的所有電郵地址。與逐一查核個別員工地址不同,您輸入您的域名(例如,yourbusiness.com.hk),HIBP 返回出現在洩露資料中的該域名的所有地址的完整列表,以及每個地址出現的具體洩露事件。這對進行安全審核的香港企業而言是非常有價值的工具——一次域名搜索就能揭示每個在已知洩露中受損的員工賬戶,從而實現有針對性的密碼重置和安全意識培訓。域名搜索的一次性歷史查核是免費的;持續的域名監控(當任何公司電郵出現在新洩露中時自動通知)需要付費的 HIBP 訂閱。
了解 HIBP 的限制對設定現實期望至關重要。HIBP 涵蓋已驗證的、公開披露的洩露事件——它不監控實時暗網市場、封閉的犯罪論壇或罪犯之間的私下資料交易。當洩露發生時,洩露日期和資料出現在 HIBP 中之間通常存在滯後——對於受影響公司公開披露的高知名度洩露,可能是幾天;對於在沒有公開披露的情況下在暗網市場上浮現的洩露,可能是數月或數年。如果資料未被研究員發現或與 HIBP 分享,某些洩露可能永遠不會出現在 HIBP 中。這意味著 HIBP 查核結果清白不是安全的保證——它意味著您的資料沒有出現在 HIBP 已處理的洩露數據集中,而非它在任何地方都未被洩露。
對想要超越 HIBP 範圍的監控的香港居民,付費暗網監控服務提供互補覆蓋。這些服務主動爬取暗網市場和論壇,搜索包括電話號碼、香港身份證號碼和非電郵個人資料在內的資料——這些是 HIBP 未覆蓋的類別。Norton 360 with LifeLock、Experian IdentityWorks 及全面網絡安全套件等服務將覆蓋範圍擴展到這些額外的資料類型。對大多數香港用戶推薦的方法是使用 HIBP 作為免費基礎——它涵蓋最常見且最直接可利用的資料類型(電郵/密碼組合)——並且只在您有較高風險因素或在洩露中確認了非電郵個人資料洩露時才補充付費監控。HIBP 的 Troy Hunt 對該服務的限制保持透明,使其成為可信賴的基礎,儘管並非涵蓋所有內容。
