รหัสผ่าน 16 พันล้านรายการรั่วไหล: วิธีตรวจสอบว่าคุณได้รับผลกระทบหรือไม่

ในเดือนมกราคม 2026 นักวิจัยด้านความปลอดภัยค้นพบฐานข้อมูลที่ไม่ปลอดภัย 30 ฐาน ซึ่งมีคู่ชื่อผู้ใช้-รหัสผ่านประมาณ 16 พันล้านรายการ — การรั่วไหลของข้อมูลรับรองที่ใหญ่ที่สุดในประวัติศาสตร์ ข้อมูลที่เปิดเผยรวมถึงข้อมูลรับรองการเข้าสู่ระบบสำหรับ Google, Apple, Facebook, GitHub, Telegram และแม้แต่แพลตฟอร์มของรัฐบาล

หากคุณใช้อินเทอร์เน็ต มีโอกาสสูงที่ข้อมูลรับรองของคุณอยู่ในการรั่วไหลนี้

สิ่งที่เปิดเผย

การรั่วไหลรวมถึง:

• ข้อมูลรับรองการเข้าสู่ระบบ 16 พันล้านรายการ ใน 30 ชุดข้อมูล
• บางชุดข้อมูลมีบันทึกถึง 3.5 พันล้านรายการในแต่ละชุด
• ข้อมูลรับรองจากบริการออนไลน์หลักเกือบทั้งหมด
• ทั้งข้อมูลการละเมิดเก่าและล็อก infostealer ใหม่
• โทเค็นเซสชัน คุกกี้ และเมตาดาต้าในหลายกรณี

นี่ไม่ใช่เพียงแค่ข้อมูลรีไซเคิลจากการละเมิดเก่า นักวิจัยพบข้อมูลที่คอมไพล์ใหม่ มีโครงสร้าง และพร้อมสำหรับการใช้ประโยชน์ — รวมถึงล็อกมัลแวร์ infostealer ล่าสุดที่มีโทเค็นเซสชันที่ใช้งานอยู่

วิธีตรวจสอบว่าคุณได้รับผลกระทบหรือไม่

ขั้นตอนที่ 1: ตรวจสอบ Have I Been Pwned

เข้าชม haveibeenpwned.com และป้อนที่อยู่อีเมลของคุณ ฐานข้อมูลนี้ได้รับการอัปเดตเป็นประจำด้วยข้อมูลการละเมิดและจะบอกคุณว่าการละเมิดใดรวมข้อมูลรับรองของคุณ

ขั้นตอนที่ 2: ใช้ตัวตรวจสอบการละเมิดของตัวจัดการรหัสผ่านของคุณ

ตัวจัดการรหัสผ่านส่วนใหญ่เสนอการตรวจสอบการละเมิด:

• 1Password: Watchtower แจ้งเตือนคุณเกี่ยวกับบัญชีที่ถูกบุกรุก
• Bitwarden: Data Breach Report แสดงข้อมูลรับรองที่เปิดเผย
• Dashlane: Dark Web Monitoring สแกนข้อมูลของคุณ
• Google Password Manager: ตรวจสอบรหัสผ่านที่ passwords.google.com

ขั้นตอนที่ 3: ตรวจสอบรายงาน Dark Web ของ Google

หากคุณมีบัญชี Google:

1. ไปที่ myaccount.google.com
2. ไปที่ Security → Dark web report
3. เรียกใช้การสแกนเพื่อดูว่าข้อมูลของคุณปรากฏบน dark web หรือไม่

ขั้นตอนที่ 4: ตรวจสอบบัญชีการเงินของคุณ

แม้ว่าอีเมลของคุณจะไม่ปรากฏในการละเมิดที่ทราบ ให้ตรวจสอบรายการธนาคารและบัตรเครดิตของคุณสำหรับกิจกรรมที่ไม่ได้รับอนุญาต ผู้โจมตีมักจะทดสอบข้อมูลรับรองในบริการทางการเงินก่อน

สิ่งที่ต้องทำหากคุณถูกบุกรุก

การดำเนินการทันที

1. เปลี่ยนรหัสผ่านที่ถูกบุกรุกทันที

เริ่มต้นด้วยบัญชีที่สำคัญที่สุดของคุณ:

• บัญชีอีเมล (ใช้สำหรับการรีเซ็ตรหัสผ่าน)
• บริการธนาคารและการเงิน (PromptPay, ธนาคาร, TrueMoney)
• การจัดเก็บบนคลาวด์ (Google Drive, Dropbox)
• บัญชีโซเชียลมีเดีย (LINE, Facebook, Instagram)

2. เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัยทุกที่

แม้ว่าผู้โจมตีจะมีรหัสผ่านของคุณ 2FA ก็ปิดกั้นการเข้าถึงที่ไม่ได้รับอนุญาต:

• ใช้แอปยืนยันตัวตน (Google Authenticator, Authy) แทน SMS
• พิจารณาคีย์ฮาร์ดแวร์ (YubiKey) สำหรับบัญชีที่สำคัญ
• เปิดใช้งาน 2FA บนอีเมลของคุณก่อน — เป็นกุญแจหลักสำหรับทุกอย่างอื่น

3. ตรวจสอบการเข้าถึงที่ไม่ได้รับอนุญาต

ตรวจสอบกิจกรรมล่าสุดในบัญชีของคุณ:

• Google: myactivity.google.com
• Facebook: การตั้งค่า → ความปลอดภัย → ที่ที่คุณเข้าสู่ระบบ
• LINE: การตั้งค่า → บัญชี → อุปกรณ์ที่เข้าสู่ระบบ
• Instagram: การตั้งค่า → ความปลอดภัย → กิจกรรมการเข้าสู่ระบบ

4. เพิกถอนเซสชันที่น่าสงสัย

ออกจากระบบจากอุปกรณ์และเซสชันทั้งหมดที่คุณไม่รู้จัก บริการส่วนใหญ่มีตัวเลือก "ออกจากระบบจากอุปกรณ์ทั้งหมด"

การปกป้องระยะยาว

ใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับทุกบัญชี

เหตุผลที่การรั่วไหลของข้อมูลรับรองอันตรายมากคือการใช้รหัสผ่านซ้ำ หากคุณใช้รหัสผ่านเดียวกันในหลายไซต์ การละเมิดหนึ่งครั้งก็บุกรุกทั้งหมด

ใช้ตัวจัดการรหัสผ่านเพื่อสร้างและจัดเก็บรหัสผ่านที่ไม่ซ้ำกัน แข็งแรงสำหรับทุกบัญชี

พิจารณาเปลี่ยนไปใช้ passkeys

Passkeys ทนทานต่อฟิชชิงและไม่สามารถรั่วไหลในการละเมิดข้อมูล:

• Google, Apple และ Microsoft รองรับ passkeys แล้ว
• พวกเขาใช้การยืนยันตัวตนด้วยไบโอเมตริก (ลายนิ้วมือ ใบหน้า) แทนรหัสผ่าน
• ไม่มีรหัสผ่านหมายความว่าไม่มีอะไรให้ขโมย

ตั้งค่าการแจ้งเตือนการละเมิด

• เปิดใช้งานการแจ้งเตือนจาก Have I Been Pwned
• เปิดการตรวจสอบการละเมิดของตัวจัดการรหัสผ่านของคุณ
• ตั้งค่าการตรวจสอบ dark web ของ Google

วิธีแชร์ข้อมูลรับรองอย่างปลอดภัยในอนาคต

เหตุผลหนึ่งที่ข้อมูลรับรองจบลงในการละเมิดคือการปฏิบัติการแชร์ที่ไม่ปลอดภัย ผู้คนวางรหัสผ่านใน:

• ข้อความ LINE หรือ Messenger (เก็บบนเซิร์ฟเวอร์)
• อีเมล (มักไม่เข้ารหัส ค้นหาได้)
• ข้อความ SMS (สำรองข้อมูลไปยังคลาวด์)
• เอกสารที่แชร์ (การเข้าถึงถาวร)

ใช้ช่องทางที่ปลอดภัยและหมดอายุ

เมื่อคุณต้องการแชร์รหัสผ่านกับใครสักคน:

1. อย่าส่งรหัสผ่านเป็นข้อความธรรมดา ผ่านการส่งข้อความปกติ
2. ใช้คุณสมบัติการแชร์ของตัวจัดการรหัสผ่าน หากทั้งสองฝ่ายใช้ตัวจัดการเดียวกัน
3. ใช้บันทึกความปลอดภัยที่ทำลายตัวเอง สำหรับการแชร์ครั้งเดียว

บริการเช่น LOCK.PUB ช่วยให้คุณสร้างบันทึกที่ป้องกันด้วยรหัสผ่านที่:

• ทำลายตัวเองหลังจากอ่านครั้งเดียว
• หมดอายุหลังจากเวลาที่กำหนด (1 ชั่วโมง, 24 ชั่วโมง)
• ไม่สามารถเข้าถึงได้อีกหลังจากดู

ตัวอย่างเวิร์กโฟลว์:

• สร้างบันทึกความปลอดภัยด้วยรหัสผ่าน
• ตั้งค่าให้หมดอายุใน 1 ชั่วโมง
• ส่งลิงก์ผ่านช่องทางหนึ่ง
• ส่งรหัสผ่านการเข้าถึงผ่านช่องทางอื่น
• ข้อมูลรับรองจะไม่สามารถเรียกคืนได้อีกหลังจากดู

ภาพใหญ่

การรั่วไหลของข้อมูลรับรอง 16 พันล้านนี้เป็นอาการของปัญหาที่ใหญ่กว่า: รหัสผ่านเสียหายโดยพื้นฐาน

สถิติสำคัญ:

• 94% ของรหัสผ่านถูกใช้ซ้ำในบัญชีต่างๆ
• เพียง 3% ของรหัสผ่านตรงตามข้อกำหนดความซับซ้อนของ NIST
• การโจมตีที่ใช้ข้อมูลรับรองคิดเป็นเกือบครึ่งหนึ่งของการละเมิดทั้งหมด

อุตสาหกรรมกำลังก้าวไปสู่ passkeys และการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน ในระหว่างนี้:

• ใช้รหัสผ่านที่ไม่ซ้ำกันทุกที่
• เปิดใช้งาน 2FA ในทุกบัญชี
• ตรวจสอบการละเมิดเป็นประจำ
• แชร์ข้อมูลรับรองผ่านช่องทางที่ปลอดภัยและหมดอายุเท่านั้น

ตรวจสอบตัวเองตอนนี้

อย่ารอจนกว่าคุณจะสังเกตเห็นค่าใช้จ่ายที่ไม่ได้รับอนุญาตหรือบัญชีถูกล็อก ใช้เวลา 10 นาทีวันนี้เพื่อ:

1. ตรวจสอบ haveibeenpwned.com สำหรับที่อยู่อีเมลของคุณ
2. เรียกใช้รายงานการละเมิดของตัวจัดการรหัสผ่านของคุณ
3. เปิดใช้งาน 2FA ใน 10 บัญชีที่สำคัญที่สุดของคุณ
4. เปลี่ยนรหัสผ่านใดๆ ที่ปรากฏในการละเมิด

การรั่วไหลเกิดขึ้นแล้ว สิ่งที่สำคัญตอนนี้คือคุณตอบสนองเร็วแค่ไหน

แชร์ข้อมูลรับรองอย่างปลอดภัยด้วยบันทึกที่ทำลายตัวเอง →