如何檢查密碼是否已外洩
了解如何檢查你的密碼是否在資料外洩中被暴露。逐步指導使用Have I Been Pwned、Google密碼檢查工具,以及發現外洩後該怎麼做。
如何檢查密碼是否已外洩
資料外洩事件不斷發生。大公司、小型應用程式、線上服務都可能被駭客攻擊,數百萬筆使用者名稱和密碼在暗網上流傳。令人不安的事實是,你的某些帳戶資訊可能已經外洩了——而你可能完全不知道。
本文將指導你如何檢查密碼是否已被外洩、哪些工具值得信賴,以及發現外洩後該採取什麼措施。
為什麼要檢查密碼外洩
當一家公司遭遇資料外洩時,被竊的資料通常包括電子郵件地址和經過雜湊處理(有時甚至是明文)的密碼。攻擊者會利用這些資料進行:
- 撞庫攻擊 — 用外洩的郵件/密碼組合在數百個其他網站上嘗試登入
- 針對性攻擊 — 利用你的資訊製作釣魚郵件
- 帳戶接管 — 直接存取你的電子郵件、銀行或社群媒體帳戶
如果你在多個服務中重複使用同一組密碼,一次外洩就可能引發連鎖效應。
工具一:Have I Been Pwned (HIBP)
Have I Been Pwned是資安研究員Troy Hunt建立的、最受信賴的外洩檢查服務。
使用方法
- 前往 haveibeenpwned.com
- 輸入你的電子郵件地址
- 點擊 "pwned?"
- 查看包含你郵件的外洩清單
結果解讀
- 綠色("No pwnage found") — 在已知外洩資料庫中未發現你的郵件
- 紅色("Oh no — pwned!") — 你的郵件出現在一個或多個外洩事件中
密碼專項檢查
HIBP還有Pwned Passwords功能,可以檢查特定密碼是否出現在任何外洩中。使用k-anonymity技術,只有部分雜湊值被傳送到伺服器,完整密碼絕不會被傳輸。
工具二:Google密碼檢查
如果你使用Chrome瀏覽器或擁有Google帳戶,Google的密碼檢查功能已經內建在你的工作流程中。
使用方法
- 前往 passwords.google.com
- 用Google帳戶登入
- 點擊 「前往密碼檢查」
- 點擊 「檢查密碼」
Google會掃描所有已儲存的密碼,並標記出:
- 出現在已知資料外洩中的密碼
- 在多個網站重複使用的密碼
- 被認為強度不足的密碼
工具三:瀏覽器與作業系統內建功能
Apple(Safari / iCloud鑰匙圈)
- iPhone/iPad:設定 > 密碼,Mac:系統設定 > 密碼
- 外洩的密碼會顯示警告圖示
- Apple自動將你的密碼與已知外洩資料庫比對
Firefox Monitor
- 前往 monitor.firefox.com
- 輸入電子郵件檢查外洩情況
- 可設定新外洩包含你郵件時的提醒
密碼外洩後該怎麼辦
第一步:立即更改外洩的密碼
登入受影響的服務並更改密碼。使用至少12個字元的強密碼。
第二步:更改所有重複使用該密碼的地方
如果你在其他網站也使用了相同的密碼,必須全部更改。攻擊者會自動在大量服務上嘗試外洩的憑證,這是最關鍵的步驟。
第三步:啟用雙重驗證(2FA)
為受影響的帳戶和其他重要帳戶開啟2FA。驗證應用程式比簡訊驗證更安全。
第四步:檢查是否有未授權活動
查看最近的登入記錄、已連接裝置和帳戶活動。注意是否有來自陌生位置的登入、帳戶設定變更或未授權的購買。
第五步:考慮使用密碼管理器
如果這次外洩暴露了你在多個服務中重複使用的密碼,是時候使用密碼管理器了。
如何防止未來的外洩
| 做法 | 為什麼有效 |
|---|---|
| 每個帳戶使用唯一密碼 | 將外洩損害限制在單一服務 |
| 重要帳戶啟用2FA | 即使密碼外洩也能阻擋攻擊 |
| 使用密碼管理器 | 讓唯一密碼變得切實可行 |
| 用HIBP提醒監控郵件 | 新外洩包含你時立即通知 |
| 不以明文分享密碼 | 防止憑證留在聊天記錄中 |
最後一點比大多數人意識到的更重要。用LINE傳送密碼代表它會永久留在聊天記錄中。如果需要分享憑證,使用LOCK.PUB建立一個有到期時間的加密備忘錄。設定的時間過後資訊就會消失。
應該多久檢查一次
- 設定HIBP郵件通知 — 新外洩包含你的郵件時自動提醒
- Google密碼檢查 — Chrome使用者每3-6個月執行一次
- Apple/Firefox外洩警告 — 設定中出現時立即查看
不要等到收到可疑登入通知才行動。主動檢查遠比事後應對有效得多。
現在就去檢查
在haveibeenpwned.com輸入你的電子郵件看看。如果有帳戶被外洩,今天就更改密碼。如果需要安全地分享新密碼,在LOCK.PUB建立一個有到期時間的加密備忘錄。