你的密碼泄露沒？觸目驚心的密碼泄露該如何查防

這一天，小編的郵箱收到通知，某账戶登錄存在異常，趕緊登陸該账戶查看了一下近期活動，有異地登陸現象，忙修改密碼，然後自查系統，不過由於好久都沒登陸過該账戶，基本上可以排除账號密碼被木馬盜取的可能性。而該網站的安全性還是有些保障的，基本上可以排除泄露的可能，一來二去就可能是被撞庫了。

於是拜託某高手用他的付費账號在某暗網社工庫中幫忙搜索了一下，不一會兒，高手發來一長串截圖，好吧，這張截圖裡的某條記錄把小編忘記多年的在某論壇注冊的账號都找回來了，真是淚流滿面啊。

圖1 高手幫忙導出的讓我哭笑不得的Excel表格

接下來小編就只能挑選著一些重要的账號進行密碼更改操作了，還有些账號因為太久沒有登陸都給網站或論壇銷號了。還有些已經根本用不上了，可是網站卻沒有提供銷號功能啊！

嗯，小編以前也犯了很多網友所犯的錯誤，那就是使用通用的账號密碼，簡單的來說，就是利用同一個账號名稱和同一個登錄密碼來做全網通用的注冊账號，結果就是慘兮兮的。

圖2 你是不是使用通用的账號密碼呢？

因為隨便一個網站或論壇裡的账號密碼遭到泄露，這些泄露出來的账號密碼就會給黑客們利用來撞庫，也就是利用所獲得的账號密碼來嘗試登陸其它網站，看看能不能得到有用的資訊。而這些被黑客入侵導致拖庫進而大批量用戶的账號密碼被竊取的事件，不僅限於小網站小論壇，不說遠的，最近的就有幾個大型網站慘遭荼毒。

許多用戶都習慣於在不同的網站注冊時使用相同的帳號密碼來注冊新帳戶，這也是是許多用戶的無奈之舉。畢竟，目前還沒有更好的身份驗證方式，指紋、瞳孔、聲紋、人臉識別等等都還未普及，在電腦上，更多的使用的依然是账號密碼登陸方式，要用戶一個網站一個账號密碼，那記憶起來可就麻煩一些了，當然，把它寫下來是個不錯的主意，但是你不能隨時攜帶著密碼紙吧。

小編在2015年後就沒使用通用的账號密碼注冊重要的網站了，比如淘寶、比如微博等的，重點網站都使用了非通用账號，而密碼則是複雜密碼，為了防止忘記，小編還出動了KeePass來幫忙記憶。

接下來我們進入正題，來看看上哪裡可以查詢自己的账號密碼有無泄漏，再來看看你的密碼靠不靠譜，還有就是如何安全的存儲账號密碼，如何開啟將自己的账號密碼變得更安全的二次驗證功能。

一、你的账戶密碼被泄漏沒？兩個可以查詢泄漏账戶密碼的網站

開篇時小編拜託高手查詢账號密碼泄露的網址，那是暗網，而且是會員製，會費也不低，當然資料也是最全面最新的，至於網址這裡就因法律法規而無法顯示。不過還是能提供兩個目前大眾可以查詢的免費密碼泄露查詢網站，當然裡邊的資料可能不是最新最全的。

首先是一個由 1Password組建的一個國外的安全檢查站 - have i been pwned，用戶可以在該網站輸入自己的郵箱，來檢測你的账號是否在泄露账號列表中，並可查詢出泄露站點。

圖3 have i been pwned

操作很簡單，在網站的搜索框輸入你的Email 或常用的帳號，再點擊pwned？按鈕，就可以獲得結果。

在搜索結果中，如果是顯示“Good news — no pwnage found!”，就表明目前在它的資料庫中還沒有找到相同的資料，至少目前該網站收集到的泄露庫中沒有資料。

圖4 暫時表示安全

但是如果搜索結果顯示“Oh no — pwned!”，就證明你所查詢的郵箱或账戶已經遭到泄露，下邊還顯示了在多少個網站泄露的數據中找到了該账號，

圖5 慘遭泄露

別急，往下拖，你可以看到具體泄露的網站，還能看到該網站泄露了哪些具體的內容，比如email地址、账號、密碼等內容。嗯，在這裡小編又找到了一個已經忘在九霄雲外的某網账號。

圖6 查看具體泄露網站

在have i been pwned中，還可以看到具體有哪些網站曾經被泄露過用戶資料資訊。

圖7 查看泄露網站

想看看你的密碼安全不？多少用戶在使用相同的密碼以防止暴力破解，在have i been pwned中也能夠查詢，在Passwords選項中輸入你所使用的密碼，就可以查看到該密碼的通用性。

圖8 查看密碼通用性

14億！連密碼都能輕鬆看到的查詢庫

再來看看另一號稱有14億郵箱密碼數據庫的密碼查詢網站，訪問該網站後，用戶可以按照用戶名或郵箱地址來查詢特定郵箱是否存在密碼泄露。與have i been pwned不同的是，該網站的查詢結果全為明文的泄露密碼資訊，也就是說可以完整的看到账號與密碼資料，你可以查詢到其它人也可以輕鬆查看到，所以查到有泄露，抓緊修改密碼。

圖9 某密碼泄露查詢網站

該網站的查詢速度慢，得稍等片刻才能獲得查詢結果。有結果就是遭到泄露了，沒有則竊喜一下吧。

圖10 查詢結果

沒關係，我又不是大人物，黑客怎麽會盯上我這個小人物呢？非也非也！

黑客們入侵各個網站所獲得的資料，會建立一個綜合查詢庫，然後會在暗網中以會員形式查詢甚至出售。綜合各個網站得到的账號密碼和資料消息，還有在大數據分析下，在社交網站中可以得出你的興趣愛好、網購記錄、在你的雲備份裡獲得照片、影片甚至不可描述的需保密內容。甚至可以獲得你的身份證資訊（嗯，目前國內所有遊戲都需要實名認證，發表評論也需認證），進而可以憑借獲得的資訊乾出許多你自認為不可能的事兒。

黑客可能會用你的手持身份證照片開網店賣假貨，更嚴重點的，他們會用你的資訊借網貸，一些不太正規的應急借貸認證非常寬鬆，壞人用你的身份借了錢就消失不見了，這筆錢可能就要你這個冤大頭去還了。

所以，千萬不要在雲存儲中存儲證件照片，特別是手持身份證照片！！！

憑借一個就被納入社工庫的QQ號，就可以查詢到該用戶用過什麽密碼，綁定過什麽郵箱，使用地點、好友關係、加入的QQ群。

二、你的密碼靠不靠譜？通用密碼不能用，弱密碼一樣不能用

據密碼泄漏查詢中可以看到，不少用戶使用的都是弱密碼，所謂的弱密碼即容易破譯的密碼，多為簡單的數字組合、帳號相同的數字組合、英文單詞、鍵盤上的相鄰鍵或常見姓名，例如“123456”、“abc123”、“Michael”等，並且密碼位數少於8位的亦屬於弱密碼範疇。

這類的弱密碼極易遭到黑客的暴力破解，據某網站的測試結果“六位數密碼 "pYDbL6" ，CPU需要90分鐘，GPU只要四秒，而七位數密碼 "fh0GH5h" ，CPU需要四天的時間，而GPU只需17分30秒，如果是八位或九位數以上，隨機大小寫混合的密碼，則GPU需要算48天，而CPU需要算43年。”當然，這是幾年前的數據了，現在的應該更快，你的密碼算是弱密碼麽？可以通過這個網站來進行測試，該網站將詳細的給出你的密碼強度分數、複雜程度、加分及扣分條件。

圖11 查看你的密碼強壯不

那麽要創建一個較為強壯不易被暴力破解的密碼有那些要領呢？

◆ 密碼位數要足夠長（最少8位）

◆ 密碼需由字母+數字+特殊字元組成

◆ 密碼不能與登陸帳號相似

◆ 密碼不要用鍵盤鍵位排列順序 比如“qwertyuiop”

◆ 密碼不要個人資訊如生日、姓名拚音等 容易被猜測破解

來看看這個被譽為史上最牛最詩意密碼“ppnn13%dkstFeb.1st”它當然屬於強密碼範疇，而某位有才的網友直接將其意義翻譯出來“娉娉嫋嫋十三余，豆蔻梢頭二月初”，這太有才了。

三、拒絕通用密碼與弱密碼 請個靠譜的账號密碼保險箱

使用账號密碼還有那麽多的限制，又要每個網站使用不同的密碼，都不知道該用啥密碼好了，也不知道如何記住這麽多網站的密碼，真的要拿個本子寫下來麽？可是本子也不安全啊！沒關係，接下來請出一個小軟體“KeePass”來幫你創建、管理、記錄、使用密碼，你要做的就是記住該軟體的主密碼就可以了。重要的是它有手機版，可以隨身攜帶。

KeePass：它是一個密碼管理器，可以幫助用戶產生不同的強密碼，也可以幫助用戶記錄這些密碼，還能幫助用戶自動填寫密碼。

KeePass為英文軟體，不過用戶可以通過下載簡體中文語言包（將語言包解壓到KeePass安裝目錄），然後“KeePass主界面目錄欄→View→change language →simplified chinese”即可將其轉為簡體中文操作界面。

圖12 KeePass主界面

首次使用KeePass需要新建一個存儲數據庫，用戶可選擇該數據庫的存儲位置，之後做備份時就只需要備份該數據庫即可，創建數據庫時需要創建管理密碼，亦可生成密匙檔案（沒有密匙檔案即使知道管理密碼也無法解鎖）。

圖13 設定管理密碼

然後進入數據庫配置界面，這裡用戶需要輸入數據庫名稱，設定機密算法、密匙次數、記憶體實時保護（防止其它程式惡意讀取）、是否壓縮數據庫、還能設定建議/強製更改密碼周期。從以上設定中可以看到KeePass對存儲的密碼進行了多重的保密措施，基本上杜絕了被破解的可能，比起某些網站使用明文記錄用戶名與密碼可靠譜得多。

圖14 數據庫配置界面

KeePass的界面簡單，主界面右側為密碼分類欄。右側則為各分類所存儲的密碼列表。

圖15 KeePass的主界面

要每個網站都用不同的密碼，這可難以記住了，在電腦上用記事本記錄起來可是非常不安全的事兒，難不成要拿紙和筆記錄起來？KeePass支持密碼管理功能，可以幫助用戶記錄網站、程式等的帳戶密碼，還能將附加檔案（如注冊時的截屏圖片）附加入加密數據庫中。

用戶需要存儲密碼，只需要選擇分類後在密碼列表區域使用右鍵目錄的“添加記錄”即可添加一條新的密碼記錄。

新記錄視窗包含的內容也非常的多，包含了標題、用戶名、密碼（自動檢測用戶輸入的密碼品質、可直接生成）、密碼對應網址、字串資料欄、附件。

圖16 新記錄視窗

KeePass支持搜索功能，用戶可以通過搜索框快速的找到需要的密碼。

圖17 搜索功能

提取密碼的方式也很檢點，當KeePass為解鎖狀態時，用戶可以直接拖動密碼記錄中的對應記錄到其它程式的密碼輸入框中就可完成對應的密碼輸入。亦可直接雙擊對應記錄則是複製到剪貼板中，複製後剪貼板內容默認在12秒後自動清空。

圖18 複製的密碼將自動清空

KeePass為用戶提供了密碼生成工具，用戶可以利用該工具設定多種密碼生成條件進而生成高強度密碼。

圖19 生成密碼工具

那麽KeePass能為用戶自動填寫密碼麽？當然能，而且KeePass採用的是虛擬按鍵形式，不僅可以應付大多數的密碼輸入框(包括網頁與程式)還能支持對拒絕複製粘貼類型的密碼框。

例如需要填寫淘寶網的帳戶密碼，由於淘寶網的密碼輸入框採用了安全控件監控，使得多數自動填表軟體無可奈何，來看看KeePass能否應付。

具體操作：KeePass→添加記錄→標題隨便填→用戶名與密碼填寫淘寶網的帳戶密碼→自動輸入選項欄→添加→目標視窗中找到預先打開的淘寶視窗（支持任意瀏覽器）→確定”。

圖20 選中預先打開的淘寶視窗

然後在確定KeePass為解鎖狀態時，使用剛才打開淘寶的瀏覽器進入登陸界面，然後按快捷鍵Ctrl+Alt+A，用戶名與密碼就自動完成輸入了。

對於程式類的密碼輸入框 KeePass同樣能完成填表操作，在設定過程中用戶可以自定義擊鍵過程。以此類推，網遊等的遊戲程式亦可使用KeePass進行自動填寫帳戶密碼。

如默認擊鍵設定指的是KeePass進行“輸入帳戶→tab鍵→輸入密碼→按回車鍵”這些操作。

不用KeePass記得退出或者鎖定，免得被有心之人利用哦。當然用戶可以在選項設定中設定當KeePass空閑多少時間後自動鎖定或退出。

KeePass也有手機版，用戶可以在手機中安裝KeePass，然後將數據庫拷貝到手機中，使用KeePass手機版打開該數據庫就可以憑借管理密碼查看存儲的數據。

圖21 KeePass手機版

四、二次驗證讓账號更安全

現在許多網站都加強了防範措施，開啟了二次驗證功能，所謂的二次驗證，就是當用戶使用账號密碼登陸時，需要接收手機簡訊或者email所收到的驗證碼才能進入或者才能訪問敏感資訊。開啟該功能後，即使別人拿到你的账號密碼也沒有權限做啥事兒。比如訪問微軟账戶裡的敏感資訊時就會要求用戶進行驗證。

圖22 微軟账戶的二次驗證功能

對於蘋果設備用戶，請加強你的Apple ID账戶密碼安全，開啟雙重驗證，避免因為账號密碼泄露而導致設備被惡意鎖機勒索的事情發生。

圖23 Apple ID雙重驗證

對於二次驗證設備，可以使用一個安全的郵箱也可以使用手機簡訊驗證方式。目前126郵箱對於某些網站發來的驗證郵件採用了需要網頁版登陸查看，而且需要驗證手機簡訊方式才能查看，安全性提升了不少。

圖24 需驗證手機簡訊才能查看驗證郵件

還有就是，現在的手機號能重置許多網站的密碼，所以請為你的手機卡加上pin碼，避免因為手機丟失而導致手機卡被盜用的情況。

總結

總結就是，不要用通用的账號密碼，特別是在重要的網站上。開啟安全認證功能，比如可開啟異地登陸需要驗證手機甚至每次登陸需要驗證，還有開啟設備鎖，在大數據時代，一切安全為上，小心駛得萬年船！

內容轉載自：太平洋電腦網