如何判斷你的密碼是否被泄露——以及泄露後該怎麼辦 - 《華爾街日報》

過去，我們都會為各類網站和應用設置自己偏愛的密碼，那些易於記憶的短語組合，畢竟誰能記住那麼多密碼呢？但壞消息是，這些密碼很可能已在數據泄露事件中曝光。一旦黑客獲取了某個網站的密碼，他們就會在其他平台嘗試登錄，測試你是否重複使用了相同密碼。

那麼如何判斷密碼是否遭泄露？又該如何應對？

越來越多的應用和服務提供商開始提供登錄憑證泄露通知工具。今年五月，谷歌宣佈當用户郵箱出現在暗網（網絡犯罪分子買賣個人信息實施詐騙的場所）時，將向所有Gmail用户發送警報。去年，蘋果公司更新了密碼安全協議，對存儲在iCloud鑰匙串中的用户密碼自動識別常見弱點。

密碼管理器也提供類似功能，可檢測用户登錄信息是否已泄露。（專家長期推薦使用密碼管理器，它們不僅能生成複雜的唯一密碼，還能代為記憶。但密碼管理器同樣存在被黑客攻破的風險。）

通常這些工具會比對泄露憑證數據庫與用户存儲的信息（在電腦或移動設備上安全完成）。當發現匹配時，賬户服務商將顯示警告提示用户修改密碼。

然而，這裏存在一個挑戰。常見的情況是，你會收到類似這樣的報告：“您有87個密碼已泄露。”

要讓蘋果iCloud鑰匙鏈提醒您有關泄露密碼的情況，請打開iPhone上的“設置”應用，然後依次進入“密碼”、“安全建議”，再開啓“檢測已泄露密碼”功能圖片説明：Siung Tjia/WSJ這些通知本是為了提供便利，但也可能成為困擾：如何清理所有這些存在問題的密碼？

“對大多數人來説，處理這個問題太令人望而生畏了，”佛羅里達州萊克瑪麗網絡安全公司BlackCloak的首席執行官克里斯·皮爾森表示，“獲取信息固然好，但往往缺乏明確的後續行動路徑。對普通消費者來説，操作太難或步驟太多。”

此外，隨着人們每年創建更多在線賬户，密碼泄露的威脅也在增加。根據密碼管理公司Dashlane的報告，2022年北美地區近20%的密碼遭到泄露。

安全專家表示，許多人選擇忽略這些警告，無意中使自己成為網絡犯罪受害者的風險更高。有些人可能打算某天更改密碼，但從未付諸行動。

網絡安全專家指出，有些泄露的密碼需要您立即關注，而其他則可以稍後處理。按緊急程度對它們進行排序，然後逐步處理列表中的密碼，確保每個密碼都是唯一的，並在可能的情況下啓用雙重認證。

以下是詳細瞭解如何檢查您的密碼是否已泄露，以及在得知壞消息後應優先採取的措施。

查找已泄露的密碼

最流行的網絡平台和密碼管理器都提供功能，可告知您的密碼是否在暗網上泄露。

**iCloud鑰匙串：**在MacOS上，打開鑰匙串訪問應用程序。在iOS上，前往設置 > 密碼 > 安全建議。查看保存的密碼列表。鑰匙串可能會在已泄露的密碼旁邊顯示警告符號，並提供更改選項。

**Chrome：**谷歌的密碼檢查工具將顯示已泄露、重複使用和弱密碼。訪問passwords.google.com，然後選擇密碼檢查 > 檢查密碼。該網站將顯示哪些密碼應立即更改，並直接帶您前往相關網站。

谷歌的密碼檢查工具顯示已泄露、重複使用和弱密碼。 照片：華爾街日報**Microsoft Edge：**前往設置和更多 > 設置 > 個人資料 > 密碼，開啓密碼監視器，它將根據已知泄露密碼檢查瀏覽器中保存的密碼。如果有密碼泄露，將出現通知，提示您更改這些密碼。

**Dashlane：**Dashlane每天對所有保存的信息進行一次安全檢查，並自動顯示哪些信息已泄露。

你也可以自行啓動暗網檢查，Dashlane會掃描隱藏網站中的用户名、密碼、信用卡、聯繫信息、社會安全號碼和計算機IP地址。前往應用的“暗網監控”部分，選擇“開始監控”。當你的任何個人信息出現時，Dashlane會向你的電子郵件發送通知，並在應用內彈出提示。

1Password： 導航至1Password的“瞭望塔”或“安全審計”部分，掃描你的密碼是否涉及已知的數據泄露和漏洞。該應用會識別出已遭泄露、弱密碼或重複使用的密碼，並建議更改它們。

分階段處理哪些密碼

第一階段：你最敏感的賬户

優先處理電子郵件、銀行和金融機構以及醫療相關應用等關鍵賬户的密碼。

“任何涉及金錢、你的谷歌、蘋果或微軟電子郵件賬户的內容——騙子會試圖攻擊這些目標，”密碼管理公司Keeper Security的首席技術官克雷格·盧雷説。

未經授權訪問你電子郵件地址的人可以瞭解到你的很多習慣：你在哪裏工作、去過哪裏、何時旅行以及花費多少。他們可以冒充你向聯繫人發送電子郵件。他們可以鎖定你的電子郵件，甚至嘗試重置與你其他賬户關聯的密碼。

醫療應用可能會向他們展示你的病史和保險詳情，這些信息可用於嘗試欺詐性醫療索賠。

銀行會運用隱形工具限制未授權方的操作，但這並不意味着騙子就無機可乘。 

“這些賬户可能讓你或家人遭遇糟心時刻，“皮爾森表示，“其他賬户問題幾乎都可以暫緩處理。”

第二階段：社交媒體

社交媒體賬户通常存儲着包括姓名、電子郵箱、電話號碼、定位信息、照片視頻在內的個人資料。

若社交媒體賬户遭入侵，黑客可能盜用這些信息實施身份盜竊、社會工程攻擊或定向釣魚嘗試。他們能向聯繫人發送欺詐信息。冒名頂替者在社交媒體上的行為可能損害你的聲譽。

“賬户被劫持非常可怕，你肯定不想重新積累上萬名粉絲，“皮爾森説道。

第三階段：購物平台

存儲信用卡信息的購物應用及其他賬户，通常還包含賬單地址、聯繫信息和訂單歷史等財務細節。

黑客可能利用存儲的支付信息進行未授權消費。及時修改密碼可有效阻斷其訪問，降低財務損失風險。

“雖然網站設有防欺詐機制防止信用卡盜用，但當有人登錄你的亞馬遜賬户修改密碼導致你無法登錄時，依然會非常麻煩，“IT安全公司Delinea首席執行官阿特·吉里蘭表示。

第四階段：其他所有事項

部分賬户並不緊急，甚至可能完全無需擔心修改。

網絡安全專家表示，不存儲敏感信息的非金融類網絡服務賬户（如在線論壇、新聞網站或非交易平台）通常風險較低。

這些賬户被盜用可能會引發隱私問題，或導致未授權人員濫用某些賬户功能，但其潛在影響遠不及涉及財務或個人數據的賬户嚴重。

“那些除了知道你瀏覽內容外無可竊取的賬户，你可以不那麼在意，“吉利蘭指出。

會員積分或獎勵計劃賬户可能屬於此類，因為它們通常不存儲高度敏感的個人或財務信息。

《華爾街日報》科技記者達爾文·布朗負責個人科技領域報道，聯繫方式：[email protected]。獲取更多WSJ科技分析、評測、建議及頭條新聞，請訂閲我們的每週通訊。

本文發表於2023年6月7日印刷版，原標題為《密碼被盜後該怎麼辦？》。