我的密碼外洩了嗎?|專家論點【Huli】
之前我們談過了網站通常會怎麼保管你的密碼,也談過了該怎麼保護自己的密碼,只要一組密碼外洩,有可能導致其他服務也一併淪陷。而這次就讓我們單刀直入,直接問一個問題:「該怎麼知道自己的密碼是不是外洩了?」
如果你是用 Chrome 瀏覽器的話,在你登入某些網頁時,可能會看過一個彈出視窗上面寫著:「你使用的密碼已外洩,建議更改」之類的字眼,而 Chrome 又是怎麼知道的呢?除了 Chrome,有沒有別的服務可以使用呢?
原理是這樣的,有些服務(例如說 Chrome 的檢查密碼是否外洩的服務)會去搜集各種外洩的情報,這些資料在暗網或是某些資安廠商都有管道可以拿到或是買到,拿到了資料以後,就可以建一個外洩事件的資料庫,裡面有每一筆外洩的資料。當你輸入密碼的時候,這些服務就去資料庫裡面檢查,看這筆密碼或是這個帳號有沒有在資料庫裡面出現,有的話就代表你的個資早已外洩了。
這些資料庫裡面有些會有我們上一篇提過的,hash 過後的密碼,也有些網站的資安沒有做好,所以密碼直接以明文存在資料庫裡面,這種也是有。
而這類型的檢查服務有幾個,例如說 have I been pwned:https://haveibeenpwned.com/
只要輸入你的 email 就可以檢查,還有另外一個 Firefox 提供的服務:https://monitor.firefox.com/
一樣只要輸入 email,就會去資料庫查詢,告訴你外洩的資料庫中是否有這筆 email 的存在。除此之外,也會告訴你更多細節,例如說是哪個網站外洩,發生在什麼時候等等。雖然說資料庫裡面可能會有你的密碼存在,但這些服務並不會告訴你密碼是什麼,原因是如果有這個功能的話,遭到濫用的可能性很大。舉例來說,我可以輸入別人的 email,就得到它外洩的密碼,這樣不是很危險嗎?
因此,這些網站只會告訴你有沒有外洩,以及外洩了什麼資料,並不會告訴你外洩的資料內容是什麼。
建議大家都可以拿自己的 email 去查,去查查看是否密碼已經外洩,如果外洩的話,就代表這組密碼已經不安全了,強烈建議儘速換一組新的密碼。
話說上一篇裡面最後有提到密碼管理軟體,上次介紹的 LastPass 這幾天剛發生資安事件 ,在選擇這些密碼管理軟體時,也要注意這些軟體本身的安全性,可以多搜集一些資料再做決定。提供這類型服務的公司有不少,例如說另一個很有名的就是 1Password。如果自己懂技術的話,也有其他的開源方案可以選擇,不一定要選擇商用的服務。
雖然技術上來說,這些公司其實都沒有儲存你的密碼,你的密碼只有自己知道,他們存的都只是用你的主密碼加密後的結果,但還是選擇信譽良好的廠商會比較好。
瀏覽 2,711 次