這幾年大型網路服務被駭客入侵、竊取洩漏個資密碼的安全事件層出不窮,無論個人多謹慎小心,終究無法避免使用的服務因漏洞而蒙受風險損失,但又不可能完全不用網路服務,因此要隨時關注類似的新聞。預防勝於治療,最好的方法還是將預設「兩步驟驗證」啟用,即使密碼外流也不用擔心帳戶被陌生人登入使用,算是現階段最安全可靠的防護措施。
如果你還有印象,之前 Gmail 和 Dropbox 都曾爆發過數百數千萬帳戶遭到駭客入侵、公佈密碼的新聞,既然這些世界級公司都無法避免類似問題,使用者就只能自求多福!每年都會看到網路文章公佈最容易被破解的 10 大密碼,要使用者盡量避免這些密碼組合,但你知道嗎?你目前使用的密碼可能早就洩漏,而且已在網路上流傳。
Pwned Passwords 來自「Have I been pwned?」,就是揭露這幾次大型網路服務被駭客入侵洩漏密碼的網站,創辦人 Troy Hunt 是一位澳洲籍資訊安全專家,也是微軟安全領域 MVP。透過這項服務可以檢查你目前使用的密碼組合是不是曾經被駭客洩漏過,如果是的話,為了避免日後成為安全問題,盡量把它換成從沒使用過的密碼吧!
當然要把密碼輸入 Pwned Passwords 網站檢測可能不是每個人都願意這麼做,因為你不知道網站會不會記錄密碼,不過大可放心,Have I been pwned? 是可信任的網站。假如你不想這麼做那也沒關係,試著使用一些常見數字組合(例如生日、手機號碼等等)做個實驗吧!至少可以知道這個網站的運作方式為何。
網站名稱:Pwned Passwords
網站鏈結:https://haveibeenpwned.com/Passwords
使用教學
STEP 1
在我寫這篇介紹時,Pwned Passwords 已經取得三份網路上流傳的密碼檔,密碼總數一共超過三億筆!相當可觀。簡單來說,這個工具會幫你快速比對密碼清單(或者可以說是字典檔)有沒有相同的密碼組合,如果有的話雖然沒有立即危險,但也顯示密碼已經不夠安全。
這三份檔案公開、提供其他想研究密碼的開發者下載,但為了確保原始密碼安全(因為有些密碼包含個人身分資訊),網站已將密碼使用 SHA1 演算法加密過,該列表可以被放入其他系統中並使用於密碼驗證工具。三份密碼檔的檔案大小分別為 5.3GB、250MB 和 7.6MB。
STEP 2
試著輸入一串我曾經使用過的密碼組合,因為在之前駭客事件中已經遭殃,測試結果不意外的是出現紅色警訊「Oh no ─ pwned!」。若你看到這個訊息,代表密碼與 Pwned Passwords 密碼檔有相同記錄,可以的話就換一組密碼比較安全。
假如測試結果顯示綠色的「Good news ─ no pwnage found!」訊息,恭喜你,你的密碼還未出現在之前外洩的密碼檔裡,可以繼續使用。
STEP 3
Pwned Passwords 網站有個很特別的功能「Notify me」,未來發現你的密碼出現於網路外洩密碼檔時可自動發送 Email 通知你,只要點擊下方的「Notify me when I get pwned」輸入信箱並驗證後就能使用。換個角度想這好像也是另外一種風險,如果沒有必要其實不一定要訂閱通知,需要時打開網頁查詢即可。
值得一試的三個理由:
- 被竊取密碼資料庫,可線上比對你的密碼是否受害
- 公開 SHA1 加密後的密碼檔下載
- 可使用 Email 訂閱通知,未來密碼遭竊時可收到提醒