返回博客
Security
6分钟

160亿密码泄露:如何检查你是否受影响

史上最大规模密码泄露事件曝光了160亿条凭证。了解如何检查你的账户是否被泄露以及如何应对。

LOCK.PUB

160亿密码泄露:如何检查你是否受影响

2026年1月,安全研究人员发现了30个未受保护的数据库,包含约160亿个用户名-密码组合——史上最大的凭证泄露事件。泄露的数据包括谷歌、苹果、Facebook、GitHub、Telegram甚至政府平台的登录凭证。

如果你使用互联网,你的凭证很可能已经在这次泄露中。

泄露了什么

泄露内容包括:

  • 30个数据集中的160亿条登录凭证
  • 部分数据集各包含多达35亿条记录
  • 几乎所有主要在线服务的凭证
  • 包括旧的泄露数据和新的信息窃取器日志
  • 很多情况下还包括会话令牌、cookie和元数据

这不仅仅是旧泄露数据的重新包装。研究人员发现了新编译的、结构化的数据,可以直接被利用——包括带有活跃会话令牌的最新信息窃取恶意软件日志。

如何检查你是否受影响

第1步:检查 Have I Been Pwned

访问 haveibeenpwned.com 并输入你的电子邮件地址。这个数据库会定期更新泄露数据,会告诉你哪些泄露事件包含了你的凭证。

第2步:使用密码管理器的泄露监控

大多数密码管理器提供泄露监控:

  • 1Password:Watchtower 会提醒你被泄露的账户
  • Bitwarden:数据泄露报告显示暴露的凭证
  • Dashlane:暗网监控扫描你的信息
  • 谷歌密码管理器:在 passwords.google.com 检查密码

第3步:检查微信/支付宝安全

国内服务的情况:

  1. 微信:我 → 设置 → 账号与安全 → 登录设备管理
  2. 支付宝:我的 → 设置 → 安全设置 → 安全中心
  3. 如发现可疑登录,立即修改密码

第4步:监控金融账户

即使你的邮箱没有出现在已知泄露中,也要监控银行和信用卡账单是否有未授权活动。攻击者通常会先在金融服务上测试凭证。

如果确认被泄露该怎么办

立即行动

1. 立即更改被泄露的密码

从最重要的账户开始:

  • 电子邮件账户(用于密码重置)
  • 银行和金融服务
  • 云存储(谷歌云盘、iCloud、百度网盘)
  • 社交媒体账户

2. 在所有地方启用双因素认证

即使攻击者有你的密码,2FA也能阻止未授权访问:

  • 使用认证器应用(Google Authenticator、微软认证器)而非短信
  • 重要账户考虑使用硬件密钥(YubiKey)
  • 首先在邮箱启用2FA——它是其他一切的主密钥

3. 检查未授权访问

查看账户的最近活动:

  • 谷歌:myactivity.google.com
  • 微信:我 → 设置 → 账号与安全 → 登录设备管理
  • 支付宝:安全中心 → 近期活动

4. 撤销可疑会话

登出所有你不认识的设备和会话。大多数服务都有"登出所有设备"选项。

长期保护

为每个账户使用唯一密码

凭证泄露危险的原因是密码重用。如果你在多个网站使用相同密码,一次泄露就会危及所有账户。

使用密码管理器为每个账户生成和存储唯一的强密码。

考虑切换到通行密钥

通行密钥抗钓鱼且不会在数据泄露中泄露:

  • 谷歌、苹果、微软现在都支持通行密钥
  • 使用生物识别认证(指纹、面部)代替密码
  • 没有密码就没有可窃取的东西

设置泄露警报

  • 启用 Have I Been Pwned 通知
  • 打开密码管理器的泄露监控
  • 设置谷歌暗网监控

今后如何安全共享凭证

凭证最终被泄露的原因之一是不安全的共享做法。人们把密码粘贴在:

  • 微信或钉钉消息(存储在服务器上)
  • 电子邮件(通常未加密,可搜索)
  • 短信(备份到云端)
  • 共享文档(持久访问)

使用安全的、会过期的渠道

当你需要与他人共享密码时:

  1. 永远不要通过普通消息以明文发送密码
  2. 如果双方都使用同一个管理器,使用密码管理器的共享功能
  3. 一次性共享使用自动销毁的安全便签

LOCK.PUB 等服务允许你创建密码保护的便签:

  • 阅读一次后自动销毁
  • 在设定时间(1小时、24小时)后过期
  • 查看后无法再次访问

示例工作流程:

  • 创建包含密码的安全便签
  • 设置1小时后过期
  • 通过一个渠道发送链接
  • 通过另一个渠道发送访问密码
  • 查看后凭证无法再次获取

更大的图景

这160亿凭证泄露是更大问题的症状:密码从根本上是脆弱的

关键统计:

  • 94%的密码在账户间被重用
  • 只有3%的密码符合NIST复杂性要求
  • 基于凭证的攻击占所有泄露的近一半

行业正在转向通行密钥和无密码认证。在此期间:

  • 在所有地方使用唯一密码
  • 在所有账户启用2FA
  • 定期监控泄露
  • 只通过安全的、会过期的渠道共享凭证

现在就检查

不要等到发现未授权扣款或账户被锁定。今天花10分钟:

  1. 在 haveibeenpwned.com 检查你的电子邮件地址
  2. 运行密码管理器的泄露报告
  3. 在最重要的10个账户启用2FA
  4. 更改出现在泄露中的密码

泄露已经发生了。重要的是你多快做出响应。

用自动销毁的安全便签安全共享凭证 →

相关关键词

160亿密码泄露
检查密码是否泄露
数据泄露查询
密码泄露怎么办
凭证泄露2026
个人信息泄露检查

推荐阅读

AI代理安全风险:为什么给AI过多权限很危险

Claude Code、Devin等AI代理可以自主执行代码、访问文件和浏览网页。了解安全风险以及如何保护您的数据。

Security

AI聊天机器人数据泄露:当你把敏感信息粘贴到ChatGPT会发生什么

把敏感数据输入ChatGPT安全吗?了解AI聊天机器人的真实隐私风险、最近的数据泄露事件,以及如何保护你的机密信息。

Security

AI编程助手正在编写不安全的代码:开发者需要知道的事

GitHub Copilot和Cursor AI可能引入安全漏洞。了解2026年AI生成代码中发现的74个CVE以及如何保护您的代码库。

Security

立即创建密码保护链接

免费创建密码保护链接、加密备忘录和加密聊天。

免费开始
160亿密码泄露:如何检查你是否受影响 | LOCK.PUB Blog