Panduan keselamatan
Cara Semak Jika Kata Laluan Telah Bocor
Pelajari cara selamat untuk bertindak balas terhadap kemungkinan kebocoran kata laluan tanpa menampal kata laluan sebenar ke laman web yang tidak dipercayai.
Ringkasan
Jika anda mengesyaki kata laluan telah bocor, tindakan paling selamat selalunya adalah menggantikannya daripada menampalnya ke laman web yang tidak diketahui. Semakan kebocoran hanya berguna apabila perkhidmatan tersebut mempunyai reka bentuk privasi yang boleh dipercayai dan anda memahami apa yang dihantar.
Gunakan pemeriksa kekuatan kata laluan untuk analisis corak setempat, tetapi jangan anggap ia sebagai pangkalan data pelanggaran.
Apa yang perlu dilakukan dahulu
Tukar kata laluan dari peranti yang dipercayai. Jika kata laluan yang sama digunakan semula, tukar setiap akaun yang terjejas. Mulakan dengan e-mel, perbankan, kerja, storan awan, dan akaun pemulihan pengurus kata laluan.
Semak status akaun
Tamatkan sesi aktif, semak tetapan e-mel dan telefon pemulihan, semak peraturan pemajuan, alih keluar akses aplikasi yang mencurigakan, dan dayakan MFA atau kunci laluan.
Panduan terperinci
Panduan ini memberi tumpuan kepada cara menyemak sama ada kata laluan mungkin muncul dalam pelanggaran tanpa mendedahkannya secara cuai. Ia ditulis untuk pengguna yang mendengar tentang pelanggaran dan ingin bertindak balas dengan selamat, jadi matlamat praktikal bukanlah untuk membuat tuntutan keselamatan yang dramatik. Matlamatnya adalah untuk memilih tabiat kata laluan yang boleh bertahan dalam penggunaan harian: borang log masuk, pengurus kata laluan, papan kekunci mudah alih, pemulihan akaun, peranti kongsi, dan perkhidmatan sekali-sekala dengan peraturan pengesahan yang pelik. Cadangan yang selamat hanya berguna jika orang sebenar boleh mengikutinya secara konsisten.
Titik permulaan paling selamat adalah rawak ditambah keunikan. Rawak bermaksud nilai dipilih dari ruang yang besar oleh sumber rawak yang sesuai secara kriptografi, bukan dicipta dari hari lahir, nama haiwan peliharaan, corak papan kekunci, atau petikan kegemaran. Keunikan bermaksud kata laluan yang sama tidak digunakan di tempat lain. Kata laluan yang panjang tetapi digunakan semula boleh gagal dengan cepat selepas satu pelanggaran yang tidak berkaitan, manakala kata laluan rawak yang unik mengehadkan kerosakan kepada satu akaun di mana ia digunakan.
Untuk topik ini, pratetap praktikal adalah analisis corak setempat dahulu, kemudian perkhidmatan amaran pelanggaran yang dipercayai apabila diperlukan. Anda boleh menggunakan pratetap itu dengan pemeriksa kekuatan kata laluan dan kemudian simpan nilai akhir dalam pengurus kata laluan yang dipercayai. PwdGen menjana nilai secara setempat dalam pelayar dengan Web Crypto; kata laluan yang dijana tidak dihantar ke pelayan PwdGen. Reka bentuk setempat itu mengurangkan pendedahan di sisi pelayan, tetapi ia tidak melindungi daripada setiap ancaman. Sambungan pelayar berniat jahat, peranti terjejas, halaman pancingan data, atau pengendalian papan klip yang tidak selamat masih boleh mendedahkan rahsia selepas ia dijana.
Masalah paling biasa yang perlu dielakkan adalah menaip kata laluan sebenar ke laman web yang tidak diketahui, mencari kata laluan tepat dalam log, dan menganggap tiada keputusan bermakna tiada risiko. Masalah ini penting kerana penyerang jarang perlu memaksa semua kemungkinan kata laluan apabila tabiat manusia memberi mereka jalan pintas. Serangan isian bukti kelayakan, pancingan data, senarai kata laluan bocor, dan penyalahgunaan pemulihan akaun selalunya lebih realistik daripada carian matematik tulen. Itulah sebabnya nasihat terbaik menggabungkan kualiti kata laluan dengan kawalan peringkat akaun seperti MFA, kunci laluan, penyimpanan kod pemulihan, dan semakan tetap tetapan e-mel atau telefon pemulihan.
Gunakan senarai semak ini semasa menggunakan cadangan:
- Tukar kata laluan yang digunakan semula selepas pelanggaran.
- Mulakan dengan e-mel dan akaun bernilai tinggi.
- Gunakan hanya alat pemberitahuan pelanggaran yang dipercayai.
- Jangan sekali-kali menampal kata laluan sensitif ke halaman rawak.
Jika laman web menolak tetapan ideal, jangan paksa kata laluan ke corak yang lebih lemah secara manual. Laraskan satu pembolehubah pada satu masa. Jika simbol ditolak, pastikan huruf besar, huruf kecil, dan nombor diaktifkan dan tingkatkan panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilai itu unik. Jika kata laluan perlu dibaca dengan kuat, dicetak, atau ditaip pada skrin televisyen atau penghala, pertimbangkan untuk mengecualikan aksara yang mengelirukan dan tingkatkan panjang untuk mengimbangi abjad yang lebih kecil.
Akhir sekali, ingat batasan nasihat kata laluan. Kata laluan yang kuat adalah satu lapisan pertahanan, bukan jaminan. Ia tidak boleh menjadikan halaman pancingan data selamat, membetulkan perisian hasad, atau mengimbangi perkhidmatan yang menyimpan bukti kelayakan dengan buruk. Tabiat yang berguna adalah membosankan tetapi tahan lama: jana nilai unik, simpan dengan selamat, lindungi laluan pemulihan, dan gantikannya dengan cepat jika anda mengesyaki pendedahan.
Langkah seterusnya yang selamat
Selepas membaca panduan ini, lakukan satu audit akaun kecil dan bukannya cuba membetulkan semuanya sekaligus. Pilih akaun yang akan menyebabkan masalah paling besar jika diambil alih, sahkan bahawa kata laluannya unik, dan semak e-mel pemulihan, telefon pemulihan, kaedah MFA, dan penyimpanan kod sandaran. Jika mana-mana bahagian rantai itu lemah, perbaiki bahagian itu sebelum beralih ke akaun berisiko rendah. Urutan ini memastikan kerja terkawal dan melindungi akaun yang paling mungkin digunakan oleh penyerang sebagai batu loncatan. Untuk cara menyemak jika kata laluan telah bocor, hasil terbaik adalah tabiat yang boleh diulang: jana secara setempat, simpan dengan teliti, dan elakkan penggunaan semula.
Soalan lazim
Perlukah saya menampal kata laluan ke laman web semakan kebocoran rawak?
Tidak. Hanya gunakan perkhidmatan semakan pelanggaran yang dipercayai dengan reka bentuk privasi yang jelas, atau tukar kata laluan daripada mengujinya.
Apa yang perlu saya lakukan selepas kebocoran?
Tukar kata laluan yang terjejas, tukar kata laluan yang digunakan semula, tamatkan sesi, semak tetapan pemulihan, dan dayakan MFA.
Bolehkah PwdGen menyemak pangkalan data pelanggaran?
Tidak. PwdGen menyediakan anggaran kekuatan dan masa retak setempat, bukan carian kata laluan bocor jauh.