数据泄露严重的今天,怎么判断密码是不是安全的?
最近几乎每周都有某个大型网站的数据库惨遭泄露,大量个人信息和账号数据在暗网被公开售卖的消息。
如果你会关注 Freebuf 的安全资讯,你会发现现实就是这么残酷,不断地有公司、机构被入侵,数据库被别人打包带走。
由于很多泄露的数据中包含电子邮件(通常用作登录的用户名)以及用户设置的密码(不少为明文),以至于有的时候我们正在使用的密码可能并不安全。
相信有不少人出于方便,会在各个网站用同一个密码。
在信息泄露非常严重的今天,这其实很不安全。设想一下,你在 A、B、C、D、E 等网站全部使用同一个邮箱、同一个密码注册账号,而很不巧的是,B 网站在某日被黑客攻击了,用户的账号密码被泄露,更不巧的是,B 网站是用邮箱和密码登录的。
如果黑客碰巧拿到了你的邮箱和你设置的账号密码,那么他很大概率可以很轻松地在 A、C、D、E 等网站登录你的账号,然后从里面收集你的个人信息。
如果很不巧,你的邮箱刚好使用的也是这个密码,那么黑客将很轻松地利用找回密码机制盗窃你的账号。
因而只使用一个密码的做法在现在的互联网上是非常非常不安全的,稍有不慎,你的大量账号就会沦陷,个人信息被别人窃走。笔者严重建议所有的关键账号最好使用独立的密码,以便被有心之人轻松攻破。
你可能会觉得,即使黑客拿到了几百万、几千万的账户数据,他也没有那么多闲心去一个个试这些账号密码,没有那么多的时间去你的账号里翻找可能存在的个人信息。
所以即使泄露了,你的账号还有可能是安全的。
这你就大错特错了。黑客们早就有了批量处理这些数据、自动收集个人信息编成数据集的自动化工具,一些黑客手上的计算资源多,一秒钟处理成百上千个账号都是没问题的。
再大量的数据,在几天到十几天的时间里都能被自动化地处理完。
为了确认你的账号(邮箱)以及密码是否还是安全的,笔者今天给大家推荐一个非常实用的网站,这个网站叫「Have I Been Pwned」。
这是一个国外的网站,它收集了并导入了网络上大量泄露的账户密码信息,包括最近数据量大到令人发指的「Collection #1」(笔者的某个常用密码就因这个数据集的泄出不幸中招)。
不用担心,这个网站并不会用这些数据去做坏事,而且这些数据集在泄露出来的时候就已经被黑灰产利用了。
你只需要在你的输入框中填入你的邮箱,它就会自动地在这些数据集中查询有没有你的记录。如果有,那么它会提示你你所用的密码已经不安全了。
在页面的下方你还可以看到你的账号密码是被包含在了哪个数据集中,这可以帮助你确定到底是哪个密码已经不安全了。
出于安全考虑,Have I Been Pwned 不会直接给出到底是哪些密码不安全了(如果这样做的话,它对社会的危害是巨大的),它最多只会做到这一步。具体是哪个密码不安全,需要你自己去回忆和尝试。
除了这些数据集,Have I Been Pwned 也会检测 Paste,也就是在线的剪贴板或便签,用于更加私密地交换信息或是一些数据。
如果你的账号信息在 Paste 中被检测到了,它也会提示你。这将意味着你的账号信息有可能已经被利用了甚至是在某些时间被小范围公开了,你需要倍加小心。
如果你的邮箱以及相关账号并没有任何安全问题,它会告诉你没有查询在案的记录。
在笔者看来,像 QQ、微信、支付宝、Steam 等需要重点保护的账号需要用独立的、复杂的密码保护起来,密码组合尽量和你的常用密码区别开,这样一来即使你的常用密码出现了问题,这些重点保护的账号也还是安全的。
笔者不太推荐你在这些独立密码中使用排列组合和你常用密码很相似的密码,例如你的常用密码是 123456,而你的独立密码是 123456AB,这样的做法是很不安全的,因为黑客有自动化的工具可以加工出暴力破解密码的字典,如果有的人想拓宽攻击的范围,那么你的独立密码很有可能也会中招。
Have I Been Pwned 的一个笔者个人认为最大的优势在于,在全球范围内出现了新的信息泄露时,只要它里面包含了你的账号信息,它会第一时间通过邮件通知你,让你知晓你的账号信息已经不安全了。
这一点也同样适用于 Have I Been Pwned 对 Paste 的检测。
国内的用户因为一些原因往往对第三方都不是很信任,实际上国外已经过很多网友习惯于使用安全、可靠的第三方密码管理器,在你注册每个账号的时候,它会给你的账号分配独立、高强度的密码,并且通过确保安全的方式存储,在你需要登录的时候帮你自动填写密码。
这么一来你可以不用操心密码的安全问题,也可以省去必须要记住很多密码的麻烦(有的人不愿意记复杂的密码因而密码往往设置的很简单,这很不安全)。如果你比较在乎自己的账户安全问题,你可以使用这样的密码管理器来增强你的账户安全。