我的密碼外洩了嗎？｜專家論點【Huli】

之前我們談過了網站通常會怎麼保管你的密碼，也談過了該怎麼保護自己的密碼，只要一組密碼外洩，有可能導致其他服務也一併淪陷。而這次就讓我們單刀直入，直接問一個問題：「該怎麼知道自己的密碼是不是外洩了？」

如果你是用 Chrome 瀏覽器的話，在你登入某些網頁時，可能會看過一個彈出視窗上面寫著：「你使用的密碼已外洩，建議更改」之類的字眼，而 Chrome 又是怎麼知道的呢？除了 Chrome，有沒有別的服務可以使用呢？

原理是這樣的，有些服務（例如說 Chrome 的檢查密碼是否外洩的服務）會去搜集各種外洩的情報，這些資料在暗網或是某些資安廠商都有管道可以拿到或是買到，拿到了資料以後，就可以建一個外洩事件的資料庫，裡面有每一筆外洩的資料。當你輸入密碼的時候，這些服務就去資料庫裡面檢查，看這筆密碼或是這個帳號有沒有在資料庫裡面出現，有的話就代表你的個資早已外洩了。

這些資料庫裡面有些會有我們上一篇提過的，hash 過後的密碼，也有些網站的資安沒有做好，所以密碼直接以明文存在資料庫裡面，這種也是有。

而這類型的檢查服務有幾個，例如說 have I been pwned：https://haveibeenpwned.com/

只要輸入你的 email 就可以檢查，還有另外一個 Firefox 提供的服務：https://monitor.firefox.com/

一樣只要輸入 email，就會去資料庫查詢，告訴你外洩的資料庫中是否有這筆 email 的存在。除此之外，也會告訴你更多細節，例如說是哪個網站外洩，發生在什麼時候等等。雖然說資料庫裡面可能會有你的密碼存在，但這些服務並不會告訴你密碼是什麼，原因是如果有這個功能的話，遭到濫用的可能性很大。舉例來說，我可以輸入別人的 email，就得到它外洩的密碼，這樣不是很危險嗎？

因此，這些網站只會告訴你有沒有外洩，以及外洩了什麼資料，並不會告訴你外洩的資料內容是什麼。

建議大家都可以拿自己的 email 去查，去查查看是否密碼已經外洩，如果外洩的話，就代表這組密碼已經不安全了，強烈建議儘速換一組新的密碼。

話說上一篇裡面最後有提到密碼管理軟體，上次介紹的 LastPass 這幾天剛發生資安事件 ，在選擇這些密碼管理軟體時，也要注意這些軟體本身的安全性，可以多搜集一些資料再做決定。提供這類型服務的公司有不少，例如說另一個很有名的就是 1Password。如果自己懂技術的話，也有其他的開源方案可以選擇，不一定要選擇商用的服務。

雖然技術上來說，這些公司其實都沒有儲存你的密碼，你的密碼只有自己知道，他們存的都只是用你的主密碼加密後的結果，但還是選擇信譽良好的廠商會比較好。

瀏覽 2,384 次