如何確認自己的密碼是否泄漏

現在數據泄露事件頻發，可能大家印象比較深刻的是去年公布的「雅虎數據泄露門」：雅虎全球所有30億用戶的個人信息全被泄露，包括姓名、聯繫方式、密碼以及安全問答等敏感內容。

而暗網上已經有3000多個資料庫包含超過200萬個賬戶信息可以被公開訪問，你一定不想自己的郵箱、微信或支付寶密碼在上面可以被找到。

那如何確認自己的密碼是否已經泄露了呢？

之前比較經典的方式是網路安全專家Troy Hunt推出的Have I Been Pwned網站：https://haveibeenpwned.com/

該網站於2013年12月4日創建，收錄了251個數據泄露事件以及超過48億個帳戶的記錄。截至2017年11月，Have I Been Pwned網站每天接待約六萬名訪客，該網站擁有超過170萬活躍的電子郵件訂閱者。

現在我們又有了第二種方式：密碼管理器1Password新推出「pwned password」功能。相比於Have I Been Pwned網站驗證你的郵箱地址是否被泄露，「pwned password」可以直接驗證你的密碼是否被泄露。

不過其工作原理還是將之前的Have I Been Pwned網站數據集成到1Password的資料庫中，現在它擁有5億個已經被泄露的密碼。

在使用時，登錄你的1Password帳戶，點擊Open Vault並選擇要檢驗的密碼，按Shift + Control + Option + C（Mac用戶），或Shift + Ctrl + Alt + C（Windows用戶），然後單擊密碼旁邊的檢查密碼按鈕即可。

視頻：

你在檢查自己的密碼是否泄露時，可能會懷疑我向第三方輸入自己的密碼豈不是也可能會泄露？這是「pwned password」功能進步的地方，1Passwrod公司使用SHA-1散列演算法散列密碼，檢驗時僅會將40個字元散列的前五個字元上傳網路。

然後伺服器發回一個以這五個字元開頭的已泄漏密碼哈希列表，1Password在本地與該列表相比較以查看是否匹配。

另外還有一種可能是，如果一個人的密碼與資料庫中的密碼相匹配，並不一定意味著它是數據泄露的一部分。相反，這可能是別人正在使用相同的密碼。無論哪種方式，用戶在這種情況下都應更改密碼。

「這個可能性還是存在的，畢竟資料庫中存儲了超過5億個密碼，而很多人的密碼設置的又非常簡單。」

「pwned password」服務的下載地址：http://1Password.com

WTT資訊-最新科技資訊，實時網安信息www.wttech.org

歡迎關注我們：

@W-Pwn