如何检查密码是否已泄露

数据泄露事件不断发生。大公司、小应用、在线服务都可能被黑客攻击，数百万条用户名和密码在暗网上流传。令人不安的事实是，你的某些账户信息可能已经泄露了——而你可能毫不知情。

本文将指导你如何检查密码是否已被泄露、哪些工具值得信赖，以及发现泄露后该采取什么措施。

为什么要检查密码泄露

当一家公司遭遇数据泄露时，被盗数据通常包括邮箱地址和经过哈希处理（有时甚至是明文）的密码。攻击者会利用这些数据进行：

• 撞库攻击 — 用泄露的邮箱/密码组合在数百个其他网站上尝试登录
• 定向攻击 — 利用你的信息制作钓鱼邮件
• 账户接管 — 直接访问你的邮箱、银行或社交媒体账户

如果你在多个服务中重复使用同一个密码，一次泄露就可能引发连锁反应。

工具一：Have I Been Pwned (HIBP)

Have I Been Pwned是安全研究员Troy Hunt创建的、最受信赖的泄露检查服务。它汇集了已知泄露事件的数据，支持通过邮箱地址搜索。

使用方法

1. 访问 haveibeenpwned.com
2. 输入你的邮箱地址
3. 点击 "pwned?"
4. 查看包含你邮箱的泄露列表

结果解读

• 绿色（"No pwnage found"） — 在已知泄露数据库中未发现你的邮箱
• 红色（"Oh no — pwned!"） — 你的邮箱出现在一个或多个泄露中，页面会列出涉及的服务和暴露的数据类型

密码专项检查

HIBP还有一个 Pwned Passwords 功能，可以检查某个特定密码是否出现在任何泄露中。该功能使用k-anonymity技术——只有部分哈希值被发送到服务器，你的完整密码绝不会被传输。

工具二：Google密码检查

如果你使用Chrome浏览器或拥有Google账户，Google的密码检查功能已经内置在你的工作流程中。

使用方法

1. 访问 passwords.google.com
2. 用Google账户登录
3. 点击 "前往密码检查"
4. 点击 "检查密码"

Google会扫描所有已保存的密码，并标记出：

• 出现在已知数据泄露中的密码
• 在多个网站重复使用的密码
• 被认为强度不够的密码

工具三：浏览器和操作系统内置功能

Apple（Safari / iCloud钥匙串）

• iPhone/iPad：设置 > 密码，Mac：系统设置 > 密码
• 泄露的密码会显示警告图标
• Apple自动将你的密码与已知泄露数据库进行比对

Firefox Monitor

• 访问 monitor.firefox.com
• 输入邮箱检查泄露情况
• 可设置新泄露包含你邮箱时的提醒

密码泄露后该怎么办

第一步：立即更改泄露的密码

登录受影响的服务并更改密码。使用至少12个字符的强密码，最好是密码短语。

第二步：更改所有重复使用该密码的地方

如果你在其他网站也使用了相同的密码，必须全部更改。这是最关键的一步，因为攻击者会自动在大量服务上尝试泄露的凭证。

第三步：启用双重认证（2FA）

为受影响的账户和其他重要账户开启2FA。认证应用（如Google Authenticator、Authy）比基于短信的2FA更安全。

第四步：检查是否有未授权活动

查看最近的登录记录、已连接设备和账户活动：

• 来自陌生位置或设备的登录
• 账户设置的更改（邮箱、手机号、恢复选项）
• 未授权的购买或消息

第五步：考虑使用密码管理器

如果这次泄露暴露了你在多个服务中重复使用的密码，是时候使用密码管理器了。1Password、Bitwarden等工具可以为每个账户生成唯一的密码。

如何防止未来的泄露

做法	为什么有效
每个账户使用唯一密码	将泄露损害限制在单个服务
重要账户启用2FA	即使密码泄露也能阻止攻击
使用密码管理器	让唯一密码变得切实可行
用HIBP提醒监控邮箱	新泄露包含你时立即通知
不以明文分享密码	防止凭证留在聊天记录中

最后一点比大多数人意识到的更重要。通过微信发送密码意味着它会永久留在聊天记录中。如果需要分享凭证，使用LOCK.PUB创建一个带有效期的加密备忘录。设定的时间过后信息就会消失。

应该多久检查一次

• 设置HIBP邮箱通知 — 新泄露包含你的邮箱时自动提醒
• Google密码检查 — Chrome用户每3-6个月运行一次
• Apple/Firefox泄露警告 — 设置中出现时立即查看

不要等到收到可疑登录通知才行动。主动检查远比事后应对有效得多。

现在就去检查

在haveibeenpwned.com输入你的邮箱看看。如果有账户被泄露，今天就更改密码。如果需要安全地分享新密码，在LOCK.PUB创建一个带有效期的加密备忘录——别让密码留在聊天记录里。

创建加密备忘录 -->