近日,微软的软件工程师 @夏睿Harry 在微博上爆出,自己的Instagram和Netflix接连被盗号。
而就在上个月底,国内某偶像 @尤长靖 的Instagram账号同样被疑似中东的黑客盗号,并发布了许多图片。
虽然在互联网时代,大家对于密码泄露已经习以为常,但我们仍然不能对它掉以轻心。
据 @夏睿Harry 了解到,自己的邮箱密码正是在今年1月份纰漏的Collection #1事件里被泄露的。
今年1月17日,微软区域总监Troy Hunt在博客上详细记载了有关Collection #1的所有信息。
Collection #1泄漏的数据包含了7.73亿个不同的邮箱地址,以及与之对应的明文密码。
为了帮助大家检测自己的邮箱密码是否被泄露,Troy Hunt推荐了自己之前在HIBP中构建的密码搜索功能,名叫haveibeenpwned。
它为人们构建了一个系统的数据库,以便大家对已知的泄露数据进行对照,从而检查自己的密码是否安全。
截至目前,Collection#1中的所有密码已添加到其中,haveibeenpwned共收录了347个网站、76亿多已被纰漏的账户密码。
但它的FAQ里依然强调道,“Absence of evidence is not evidence of absence”——你在网站上没查到不代表没有泄露,只能说相对情况较好,因为还有许多数据只在网络黑市中流通。
在haveibeenpwned上输入自己的邮箱,如果显示【Oh no — pwned!】,往下滑就能看到自己被泄露的究竟是哪些网站的账户了。
比如小编的邮箱就显示被Collection#1和优酷泄露过,而优酷这次正好是2016年“密码泄露门”中所曝光的。
与此类似的,如果你曾经收到过网站官方邮件提示更改过密码,就不需要再改密码了。
但由于Collection #1泄露的是明文密码,没有加密。
因此用户可以再上Pwned Passwords确认泄露的密码是哪个密码,用这一组邮箱和密码注册的网站都需要立即修改。
Pwned Passwords收录了先前在数据泄露事件中暴露的551,509,767个真实密码。
据 @夏睿Harry 测试,只有用SHA1加密过的密码的前五位会发送过去,这点信息无法反推出密码。
因此,用户可以放心使用该数据库,保证安全。
网友评论