Sikkerhetsveiledning
Slik sjekker du om et passord er lekket
Lær trygge måter å reagere på mulige passordlekkasjer uten å lime inn ekte passord på upålitelige nettsteder.
Sammendrag
Hvis du mistenker at et passord er lekket, er den tryggeste responsen ofte å bytte det ut i stedet for å lime det inn på ukjente nettsteder. En lekkasjesjekk kan være nyttig bare når tjenesten har en pålitelig personverndesign og du forstår hva som sendes.
Bruk passordstyrkesjekkeren for lokal mønsteranalyse, men ikke behandle den som en brudddatabase.
Hva du bør gjøre først
Endre passordet fra en pålitelig enhet. Hvis samme passord ble gjenbrukt, endre alle berørte kontoer. Start med e-post, bank, jobb, skylagring og passordbehandlerens gjenopprettingskontoer.
Gjennomgå kontotilstand
Tilbakekall aktive økter, sjekk gjenopprettings-e-post og telefoninnstillinger, gjennomgå videresendingsregler, fjern mistenkelig apptilgang, og aktiver MFA eller passnøkler.
Detaljert veiledning
Denne veiledningen fokuserer på å sjekke om et passord kan ha dukket opp i datainnbrudd uten å eksponere det uforsiktig. Den er skrevet for brukere som har hørt om et datainnbrudd og ønsker å reagere trygt, så det praktiske målet er ikke å skape et dramatisk sikkerhetskrav. Målet er å velge en passordvane som kan overleve daglig bruk: innloggingsskjemaer, passordbehandlere, mobile tastaturer, kontogjenoppretting, delte enheter og sporadiske tjenester med rare valideringsregler. En sikker anbefaling er bare nyttig hvis en ekte person kan følge den konsekvent.
Det tryggeste utgangspunktet er tilfeldighet pluss unikhet. Tilfeldighet betyr at verdien er valgt fra et stort rom av en kryptografisk egnet tilfeldig kilde, ikke oppfunnet fra en bursdag, et kjæledyrnavn, et tastaturmønster eller et favorittsitat. Unikhet betyr at samme passord ikke brukes noe annet sted. Et passord som er langt, men gjenbrukt, kan svikte raskt etter ett urelatert datainnbrudd, mens et unikt tilfeldig passord begrenser skaden til den ene kontoen der det ble brukt.
For dette emnet er en praktisk forhåndsinnstilling lokal mønsteranalyse først, deretter pålitelige bruddvarslingstjenester ved behov. Du kan bruke den forhåndsinnstillingen med passordstyrkesjekkeren og deretter lagre den endelige verdien i en pålitelig passordbehandler. PwdGen genererer verdier lokalt i nettleseren med Web Crypto; det genererte passordet sendes ikke til en PwdGen-server. Det lokale designet reduserer eksponering på serversiden, men beskytter ikke mot alle trusler. En ondsinnet nettleserutvidelse, en kompromittert enhet, en phishing-side eller utrygg håndtering av utklippstavlen kan fortsatt eksponere en hemmelighet etter at den er generert.
De vanligste problemene å unngå er å skrive inn ekte passord på ukjente nettsteder, søke etter eksakte passord i logger, og anta at intet resultat betyr ingen risiko. Disse problemene betyr noe fordi angripere sjelden trenger å brute-force alle mulige passord når menneskelige vaner gir dem en snarvei. Credential stuffing, phishing, lekkede passordlister og misbruk av kontogjenoppretting er ofte mer realistiske enn et rent matematisk søk. Derfor kombinerer det beste rådet passordkvalitet med kontonivåkontroller som MFA, passnøkler, lagring av gjenopprettingskoder og regelmessig gjennomgang av gjenopprettings-e-post eller telefoninnstillinger.
Bruk denne sjekklisten når du følger anbefalingen:
- Endre gjenbrukte passord etter et datainnbrudd.
- Start med e-post og høyverdige kontoer.
- Bruk kun pålitelige bruddvarslingsverktøy.
- Lim aldri inn et sensitivt passord på tilfeldige sider.
Hvis et nettsted avviser den ideelle innstillingen, ikke tving passordet inn i et svakere mønster manuelt. Juster én variabel om gangen. Hvis symboler avvises, behold store bokstaver, små bokstaver og tall aktivert og øk lengden. Hvis en maksimal lengde er lav, bruk den største aksepterte lengden og sørg for at verdien er unik. Hvis et passord må leses høyt, skrives ut eller tastes inn på en TV- eller ruterskjerm, vurder å ekskludere forvirrende tegn og øke lengden for å kompensere for det mindre alfabetet.
Til slutt, husk grensen for passordråd. Et sterkt passord er ett lag med forsvar, ikke en garanti. Det kan ikke gjøre en phishing-side trygg, fikse skadelig programvare eller kompensere for en tjeneste som lagrer legitimasjon dårlig. Den nyttige vanen er kjedelig, men holdbar: generer en unik verdi, lagre den trygt, beskytt gjenopprettingsveien, og bytt den ut raskt hvis du mistenker eksponering.
Et trygt neste steg
Etter å ha lest denne veiledningen, gjør én liten kontorevisjon i stedet for å prøve å fikse alt på en gang. Velg kontoen som ville forårsake mest trøbbel hvis den ble overtatt, bekreft at passordet er unikt, og sjekk gjenopprettings-e-post, gjenopprettingstelefon, MFA-metode og lagring av sikkerhetskopikoder. Hvis noen del av den kjeden er svak, forbedre den delen før du går videre til lavere risikokontoer. Denne rekkefølgen holder arbeidet håndterbart og beskytter kontoene som angripere mest sannsynlig vil bruke som et springbrett. For hvordan du sjekker om et passord er lekket, er det beste resultatet en repeterbar vane: generer lokalt, lagre nøye, og unngå gjenbruk.
Ofte stilte spørsmål
Bør jeg lime inn passordet mitt på tilfeldige lekkasjesjekk-nettsteder?
Nei. Bruk kun pålitelige bruddsjekktjenester med tydelig personverndesign, eller bytt passordet i stedet for å teste det.
Hva bør jeg gjøre etter en lekkasje?
Endre det berørte passordet, endre gjenbrukte passord, tilbakekall økter, gjennomgå gjenopprettingsinnstillinger, og aktiver MFA.
Kan PwdGen sjekke brudddatabaser?
Nei. PwdGen gir lokale styrke- og knekketidsestimater, ikke et eksternt oppslag for lekkede passord.