如何判断你的密码是否被泄露——以及泄露后该怎么办 - 《华尔街日报》

过去，我们都会为各类网站和应用设置自己偏爱的密码，那些易于记忆的短语组合，毕竟谁能记住那么多密码呢？但坏消息是，这些密码很可能已在数据泄露事件中曝光。一旦黑客获取了某个网站的密码，他们就会在其他平台尝试登录，测试你是否重复使用了相同密码。

那么如何判断密码是否遭泄露？又该如何应对？

越来越多的应用和服务提供商开始提供登录凭证泄露通知工具。今年五月，谷歌宣布当用户邮箱出现在暗网（网络犯罪分子买卖个人信息实施诈骗的场所）时，将向所有Gmail用户发送警报。去年，苹果公司更新了密码安全协议，对存储在iCloud钥匙串中的用户密码自动识别常见弱点。

密码管理器也提供类似功能，可检测用户登录信息是否已泄露。（专家长期推荐使用密码管理器，它们不仅能生成复杂的唯一密码，还能代为记忆。但密码管理器同样存在被黑客攻破的风险。）

通常这些工具会比对泄露凭证数据库与用户存储的信息（在电脑或移动设备上安全完成）。当发现匹配时，账户服务商将显示警告提示用户修改密码。

然而，这里存在一个挑战。常见的情况是，你会收到类似这样的报告：“您有87个密码已泄露。”

要让苹果iCloud钥匙链提醒您有关泄露密码的情况，请打开iPhone上的“设置”应用，然后依次进入“密码”、“安全建议”，再开启“检测已泄露密码”功能图片说明：Siung Tjia/WSJ这些通知本是为了提供便利，但也可能成为困扰：如何清理所有这些存在问题的密码？

“对大多数人来说，处理这个问题太令人望而生畏了，”佛罗里达州莱克玛丽网络安全公司BlackCloak的首席执行官克里斯·皮尔森表示，“获取信息固然好，但往往缺乏明确的后续行动路径。对普通消费者来说，操作太难或步骤太多。”

此外，随着人们每年创建更多在线账户，密码泄露的威胁也在增加。根据密码管理公司Dashlane的报告，2022年北美地区近20%的密码遭到泄露。

安全专家表示，许多人选择忽略这些警告，无意中使自己成为网络犯罪受害者的风险更高。有些人可能打算某天更改密码，但从未付诸行动。

网络安全专家指出，有些泄露的密码需要您立即关注，而其他则可以稍后处理。按紧急程度对它们进行排序，然后逐步处理列表中的密码，确保每个密码都是唯一的，并在可能的情况下启用双重认证。

以下是详细了解如何检查您的密码是否已泄露，以及在得知坏消息后应优先采取的措施。

查找已泄露的密码

最流行的网络平台和密码管理器都提供功能，可告知您的密码是否在暗网上泄露。

**iCloud钥匙串：**在MacOS上，打开钥匙串访问应用程序。在iOS上，前往设置 > 密码 > 安全建议。查看保存的密码列表。钥匙串可能会在已泄露的密码旁边显示警告符号，并提供更改选项。

**Chrome：**谷歌的密码检查工具将显示已泄露、重复使用和弱密码。访问passwords.google.com，然后选择密码检查 > 检查密码。该网站将显示哪些密码应立即更改，并直接带您前往相关网站。

谷歌的密码检查工具显示已泄露、重复使用和弱密码。 照片：华尔街日报**Microsoft Edge：**前往设置和更多 > 设置 > 个人资料 > 密码，开启密码监视器，它将根据已知泄露密码检查浏览器中保存的密码。如果有密码泄露，将出现通知，提示您更改这些密码。

**Dashlane：**Dashlane每天对所有保存的信息进行一次安全检查，并自动显示哪些信息已泄露。

你也可以自行启动暗网检查，Dashlane会扫描隐藏网站中的用户名、密码、信用卡、联系信息、社会安全号码和计算机IP地址。前往应用的“暗网监控”部分，选择“开始监控”。当你的任何个人信息出现时，Dashlane会向你的电子邮件发送通知，并在应用内弹出提示。

1Password： 导航至1Password的“瞭望塔”或“安全审计”部分，扫描你的密码是否涉及已知的数据泄露和漏洞。该应用会识别出已遭泄露、弱密码或重复使用的密码，并建议更改它们。

分阶段处理哪些密码

第一阶段：你最敏感的账户

优先处理电子邮件、银行和金融机构以及医疗相关应用等关键账户的密码。

“任何涉及金钱、你的谷歌、苹果或微软电子邮件账户的内容——骗子会试图攻击这些目标，”密码管理公司Keeper Security的首席技术官克雷格·卢雷说。

未经授权访问你电子邮件地址的人可以了解到你的很多习惯：你在哪里工作、去过哪里、何时旅行以及花费多少。他们可以冒充你向联系人发送电子邮件。他们可以锁定你的电子邮件，甚至尝试重置与你其他账户关联的密码。

医疗应用可能会向他们展示你的病史和保险详情，这些信息可用于尝试欺诈性医疗索赔。

银行会运用隐形工具限制未授权方的操作，但这并不意味着骗子就无机可乘。 

“这些账户可能让你或家人遭遇糟心时刻，“皮尔森表示，“其他账户问题几乎都可以暂缓处理。”

第二阶段：社交媒体

社交媒体账户通常存储着包括姓名、电子邮箱、电话号码、定位信息、照片视频在内的个人资料。

若社交媒体账户遭入侵，黑客可能盗用这些信息实施身份盗窃、社会工程攻击或定向钓鱼尝试。他们能向联系人发送欺诈信息。冒名顶替者在社交媒体上的行为可能损害你的声誉。

“账户被劫持非常可怕，你肯定不想重新积累上万名粉丝，“皮尔森说道。

第三阶段：购物平台

存储信用卡信息的购物应用及其他账户，通常还包含账单地址、联系信息和订单历史等财务细节。

黑客可能利用存储的支付信息进行未授权消费。及时修改密码可有效阻断其访问，降低财务损失风险。

“虽然网站设有防欺诈机制防止信用卡盗用，但当有人登录你的亚马逊账户修改密码导致你无法登录时，依然会非常麻烦，“IT安全公司Delinea首席执行官阿特·吉里兰表示。

第四阶段：其他所有事项

部分账户并不紧急，甚至可能完全无需担心修改。

网络安全专家表示，不存储敏感信息的非金融类网络服务账户（如在线论坛、新闻网站或非交易平台）通常风险较低。

这些账户被盗用可能会引发隐私问题，或导致未授权人员滥用某些账户功能，但其潜在影响远不及涉及财务或个人数据的账户严重。

“那些除了知道你浏览内容外无可窃取的账户，你可以不那么在意，“吉利兰指出。

会员积分或奖励计划账户可能属于此类，因为它们通常不存储高度敏感的个人或财务信息。

《华尔街日报》科技记者达尔文·布朗负责个人科技领域报道，联系方式：[email protected]。获取更多WSJ科技分析、评测、建议及头条新闻，请订阅我们的每周通讯。

本文发表于2023年6月7日印刷版，原标题为《密码被盗后该怎么办？》。