我们经常听到电子邮件、社交网络、新闻和其他类型网站发生大规模数据泄露事件。许多用户可能在网站遭受入侵时被要求更改密码,甚至收到过数据泄露通知邮件。
但如果我们能随时查询自己的密码是否以明文形式暴露在网上,将会非常有用。好消息是安全博主Troy Hunt创建了一个网站http://haveibeenpwned.com/,您可以输入电子邮件地址(常用登录凭证)来查询对应密码是否在泄露网站曝光。坏消息是它仅涵盖黑客将泄露密码列表发布在PasteBin等粘贴网站上的数据泄露事件。这仅代表已曝光密码的一小部分,而且很可能在漏洞被发现前,黑客已有一段时间可以访问您的账户。这也意味着任何知道您电子邮件地址的人(朋友、敌人、欺凌者、前任、亲戚、竞争对手和同事)都可以检查您的密码,并有选择地针对您。
我对所有网络公民的建议,特别是在发现密码泄露后:
-
永远不要重复使用已泄露的密码,也不要跨网站使用相同密码。一次泄露可能会对您的在线资产造成连锁损害。如果您在多个网站使用相同密码,请立即全部更改。
-
使用双重认证,大多数网站都提供此功能,可以限制泄露密码的使用。
-
每3个月更改一次密码,以缩短暴露窗口期。在大规模数据泄露中,黑客可能需要时间锁定您的账户,如果您已更改密码,就能幸免于难。
-
一旦发现数据泄露,立即更改密码,快速反应是减少损失的关键。