安全专家特洛伊·亨特(Troy Hunt),运营着“我是否被泄露”(Have I Been Pwned),最近收到了20亿个唯一的电子邮件地址,这些地址来自多个恶意列表和互联网来源,包括13亿个独特的密码。与之前泄露的1.83亿个电子邮件地址相似,这些数据来自安全公司Synthient的汇总,该公司汇总了各种数据泄露的信息。

经过处理后,数据集现在仅包含被Infostealer软件捕获的唯一凭证(即没有重复组合)。这些凭证要么在互联网上免费获取,要么可以通过Telegram群组收集。你一定要去检查一下HIBP网站,看看你的账户是否被泄露。

数据是如何被检查的

数据是如何被检查的

在一篇 博客文章 中,特洛伊·亨特描述了他是如何检查数据记录的准确性和真实性的。首先,他输入了自己的姓名,发现了一个他在90年代曾用过的旧电子邮件地址。他还发现了几个相关的密码,但只有一个是他账户的密码。

然后,他联系了几位订阅他电子邮件列表的人,他们也被请来检查自己的数据。一些人表示他们找到了不再使用的旧密码,而其他人则发现了他们账户的最新登录信息。因此,一些数据可以追溯到数十年前,而其他数据则是近期的。

黑客也使用这种尝试不同组合的方法。这种方法被称为“凭证填充”,数据的年龄并不重要。由于许多人很少更改他们的密码,攻击者可以测试各种已知的凭证,直到成功为止。即使是一些不安全的密码(如“12345”)、出生日期或姓名也可以迅速被破解。

检查您的密码是否已经泄露

检查您的密码是否已经泄露

亨特将密码上传到他的 泄露密码 数据库,您可以在这里检查某个特定密码是否被破解过。这些密码保存时没有关联的电子邮件地址,因此只关乎密码本身的安全性。

出于安全考虑,无论您自己是否使用过不安全的密码,还是其他人使用过,都没有关系:“如果您的密码是‘Fido123!’,并且您发现它之前确实已经被泄露,那么无论它是针对您的电子邮件地址还是其他人的,都是一样的。这仍然是一个糟糕的密码,因为这个密码是以您的狗的名字命名,后面又跟着一个非常常见的模式。如果您有一个真正强大的密码,并且它出现在泄露密码的列表中,那么您可以比较有信心地认为它确实是您的。总之,您绝对不应该在任何地方再用这个密码。”