如何查核您的資料是否在暗網上
一份實用的、逐步指南,使用每位香港居民都可以使用的免費工具查核您的電郵地址、密碼和個人資料是否洩露到暗網上,無需任何技術知識。
一份實用的、逐步指南,使用每位香港居民都可以使用的免費工具查核您的電郵地址、密碼和個人資料是否洩露到暗網上,無需任何技術知識。
查核您的暗網洩露情況的第一個也是最重要的步驟,是對照 Have I Been Pwned ↗(HIBP)——全球最大的公開洩露數據庫——驗證您使用的每個電郵地址。訪問 haveibeenpwned.com——該網站免費,不需要賬戶,並根據超過700次已確認數據洩露的逾120億條記錄的數據庫查核您的電郵地址。在搜索字段中輸入您的電郵地址,點擊「pwned?」——幾秒鐘內,您就會看到您的地址是否出現在任何已知的洩露數據集中。如果您的地址出現在零次洩露中,您會看到綠色結果(「Good news — no pwnage found」)。如果您的地址出現在洩露中,您會看到列出每次洩露、洩露日期和被洩露資料類型的紅色結果。
查核您使用的每個電郵地址——不僅是您的主要地址。大多數人積累了多個電郵地址:一個主要的個人地址、一個工作地址(過去和現在)、一個來自以前互聯網服務提供商或服務商的舊地址、一個用於網上購物的次要「一次性」地址,以及可能的一個共享家庭地址。這些地址中的每一個都可能用於注冊後來遭受數據洩露的服務。舊地址往往最能說明問題——如果您在2005年使用 Hotmail 地址注冊現在已不存在的服務,該地址可能出現在您從未收到通知的多次歷史洩露中。HIBP 結果顯示歷史記錄,可追溯到最早的已知洩露數據集。
查核後,對每個結果採取行動。對任何出現在洩露中的電郵地址:點擊每次洩露名稱查看完整詳情——被洩露的資料類型(僅電郵、密碼、電話號碼、實際地址、財務資料)、洩露中有多少條記錄,以及洩露中的密碼是否已被破解並以明文形式流傳。如果密碼被洩露,優先為任何使用相同或相似密碼的服務更改密碼。如果洩露了電話號碼、實際地址或身份文件等敏感資料,請將應對措施升級至包括暗網監控和 TransUnion 信用查核。查核後,在 HIBP 頁面向下滾動並注冊電郵以獲取持續的洩露通知——免費、自動的,在您的資料出現在新洩露事件中後數小時內發送到您的收件箱。
HIBP ↗ 的 Pwned Passwords 數據庫包含來自已知資料洩露的8.5億個以上的密碼——這與電郵洩露查核不同,是目前可用的最強大的免費安全工具之一。在 haveibeenpwned.com/passwords,您可以查核特定密碼是否出現在此數據庫中。查核保護私隱:您的密碼永遠不會發送到 HIBP 服務器。相反,HIBP 使用一種稱為 k-匿名性的技術——您的密碼在瀏覽器中本地進行哈希處理,只有哈希的前5個字符被發送到 HIBP,服務器返回所有匹配的哈希後綴,您的瀏覽器完成本地比較。結果告訴您那個確切密碼在已知洩露資料中出現了多少次——如果答案大於零,那個密碼應被視為受損。
更實際、更全面的方法是使用密碼管理器的內置洩露報告,它同時對照 HIBP Pwned Passwords 數據庫查核所有存儲的密碼。在1Password 中,這是 Watchtower(可從「設定」→「Watchtower」或從各個保險庫內訪問)——它識別出現在洩露資料中的密碼、在多個網站上使用的密碼(重用密碼)、弱密碼,以及支持 2FA 但您尚未啟用的網站。在 Bitwarden 中,進入「報告」→「被洩露的密碼」。在 iOS(使用內置密碼應用程式或 iCloud 鑰匙圈),進入「設定」→「密碼」→「安全建議」——系統自動標記與已知洩露資料匹配的密碼,並識別跨網站的重用密碼。逐一處理每個被標記的項目,首先優先考慮銀行、電郵和雲端存儲密碼。
如果您目前不使用密碼管理器,步驟1的電郵洩露查核提供了哪些服務涉及洩露的指南。將洩露列表與您使用相同密碼的服務進行交叉對照——在您使用與電郵賬戶相同密碼的電子商務網站發生的洩露,即使電郵服務本身未被洩露,也意味著您的電郵面臨風險。這就是密碼重用的根本問題:您注冊的每個服務都成為共享相同密碼的每個其他服務的潛在薄弱環節。完成密碼查核後,首要任務是確保所有賬戶都使用唯一密碼,使用密碼管理器生成和存儲它們。這個單一步驟消除了使被洩露密碼在最初受損服務之外危險的連鎖風險。
現代移動操作系統和主要在線服務包含暗網監控功能,大多數用戶從未啟用過。在運行 iOS 16 或更高版本的 iPhone 和 iPad 上,Apple 在 iOS 16.2+ 中提供了私隱報告和數據洩露偵測功能,可在「設定」→「私隱與安全」→「安全查核」下找到,更全面的功能通過 iCloud+ 訂閱者在「設定」→「[您的姓名]」→「iCloud」→「私隱與安全」→「監控數據洩露」下提供。此功能積極監控您的注冊電郵地址以對比洩露資料,並在偵測到洩露時發送通知。所有 Apple ID 持有者完全免費,除了初始選擇加入之外無需額外設置——如果您尚未查核此設置,請立即打開它,確保監控已啟用。
Google 提供一項名為 Google One 暗網報告的同等服務,供 Google 賬戶持有人使用。在 myaccount.google.com/security 訪問它——選擇「暗網報告」並注冊。Google 的服務監控您的 Gmail 地址,在某些地區還包括電話號碼和姓名等額外信息,以對比洩露資料和暗網來源。Google 還直接將洩露查核整合到 Chrome 的密碼管理器中——如果您在 Chrome 中保存密碼並且保存的網站遭到洩露,您將在 Chrome 中收到通知。在 Android 上,Google 密碼管理器的查核功能(可從 passwords.google.com 或通過 Chrome 設置訪問)提供與 iOS 密碼管理器查核相同的功能。這些內置工具通常被忽視,但代表著重要的免費監控資源。
除移動設備和 Google 之外,您可能已經使用的幾個其他服務提供洩露監控。account.microsoft.com 上的 Microsoft 賬戶包含一個顯示最近安全事件的安全部分。LinkedIn 在您的賬戶從異常位置訪問時通知您。金融服務越來越多地提供安全監控——香港的星展、匯豐和渣打加強了其應用內安全監控,以標記異常賬戶活動並發送推送通知。在您的銀行應用程式中激活每個可用的安全通知:每筆交易提醒、登錄通知和個人資料更改確認。考慮到香港的 SIM 卡交換風險,來自銀行的應用內通知比依賴短信進行安全提醒更可靠。
幾乎每個完成這些查核的人都會發現其至少一個電郵地址出現在過去的洩露中——這是正常且預期的,不必驚慌。過去十年全球數據洩露的規模意味著,大多數在2020年前注冊的電郵地址都出現在至少一個洩露數據集中。關鍵不是您是否遭受過洩露,而是洩露了什麼資料、多久以前,以及您是否已採取補救措施。如果電郵地址出現在2013年的 Adobe 洩露中,此後您已更改密碼,且洩露僅是電郵,沒有敏感個人資料,則無需進一步行動。令人擔憂的結果是:近期洩露(過去12個月內)、洩露了您仍在使用的密碼,以及洩露了香港身份證號碼、財務賬戶詳情或實際地址等敏感資料。
根據洩露內容的嚴重性調整您的應對措施。舊洩露中僅電郵洩露:注冊 HIBP 通知,如果您已更改相關密碼,則無需進一步行動。任何洩露中的密碼洩露:立即更改被洩露服務上的密碼,以及您在其他任何地方使用過相同或相似密碼的每個服務——使用密碼管理器生成唯一替換密碼。電話號碼、實際地址或身份文件洩露:激活覆蓋這些資料類型的付費暗網監控;申請 TransUnion 信用報告;未來6個月密切監控您的銀行賬戶。財務資料洩露(部分卡號、銀行賬戶號碼):聯絡您銀行的欺詐熱線報告洩露並申請監控;主動考慮申請新卡號。
完成初始查核和即時補救後,建立持續的監控節奏。為所有電郵地址在 HIBP 注冊自動通知。在銀行應用程式上啟用每個可用的應用內安全通知。設置定期日曆提醒,每月運行密碼管理器洩露報告。設置每6個月申請一次 TransUnion 信用報告的提醒。這種持續節奏確保未來的洩露能被及時發現——初始查核是一個快照,但監控是持續性的。對於具有高風險狀況的香港居民,推薦的額外步驟是訂閱涵蓋香港身份證和電話號碼的付費暗網監控服務,鑑於它們在香港身份生態系統中的核心作用,以及它們在針對香港居民的洩露資料中頻繁出現的情況。
