Säkerhetsguide
Hur du kontrollerar om ett lösenord har läckt ut
Lär dig säkra sätt att hantera misstänkta lösenordsläckor utan att klistra in riktiga lösenord på opålitliga webbplatser.
Sammanfattning
Om du misstänker att ett lösenord har läckt ut är det oftast säkrast att byta ut det istället för att klistra in det på okända webbplatser. En läckagekontroll kan vara användbar endast när tjänsten har en pålitlig integritetsdesign och du förstår vad som skickas.
Använd lösenordsstyrkekontrollen för lokal mönsteranalys, men behandla den inte som en databas över läckor.
Vad du ska göra först
Byt lösenordet från en betrodd enhet. Om samma lösenord har återanvänts, byt på alla berörda konton. Börja med e-post, bank, arbete, molnlagring och konton för lösenordshanterare.
Granska kontots status
Återkalla aktiva sessioner, kontrollera återställnings-e-post och telefoninställningar, granska vidarebefordringsregler, ta bort misstänkt appåtkomst och aktivera MFA eller lösenordsnycklar.
Detaljerad vägledning
Denna guide fokuserar på att kontrollera om ett lösenord kan ha förekommit i läckor utan att exponera det slarvigt. Den är skriven för användare som hört talas om en läcka och vill agera säkert, så det praktiska målet är inte att skapa ett dramatiskt säkerhetspåstående. Målet är att välja en lösenordsvana som fungerar i vardagen: inloggningsformulär, lösenordshanterare, mobila tangentbord, kontorelatering, delade enheter och enstaka tjänster med konstiga valideringsregler. En säker rekommendation är bara användbar om en verklig person kan följa den konsekvent.
Den säkraste utgångspunkten är slumpmässighet plus unikhet. Slumpmässighet innebär att värdet väljs från ett stort utrymme med en kryptografiskt lämplig slumpkälla, inte uppfunnet från en födelsedag, ett husdjursnamn, ett tangentbordsmönster eller ett favoritcitat. Unikhet innebär att samma lösenord inte används någon annanstans. Ett långt men återanvänt lösenord kan snabbt bli komprometterat efter en orelaterad läcka, medan ett unikt slumpmässigt lösenord begränsar skadan till det enskilda kontot där det användes.
För detta ämne är en praktisk förinställning först lokal mönsteranalys, sedan betrodda läckagemeddelandetjänster vid behov. Du kan tillämpa den förinställningen med lösenordsstyrkekontrollen och sedan lagra slutvärdet i en betrodd lösenordshanterare. PwdGen genererar värden lokalt i webbläsaren med Web Crypto; det genererade lösenordet skickas inte till en PwdGen-server. Den lokala designen minskar exponeringen på serversidan, men skyddar inte mot alla hot. En skadlig webbläsartillägg, en komprometterad enhet, en nätfiskesida eller osäker hantering av urklipp kan fortfarande exponera en hemlighet efter att den genererats.
De vanligaste problemen att undvika är att skriva in riktiga lösenord på okända webbplatser, söka efter exakta lösenord i loggar och anta att inget resultat innebär ingen risk. Dessa problem är viktiga eftersom angripare sällan behöver brute-force varje möjligt lösenord när mänskliga vanor ger dem en genväg. Credential stuffing, nätfiske, läckta lösenordslistor och missbruk av kontorelatering är ofta mer realistiska än en ren matematisk sökning. Därför kombinerar den bästa rådgivningen lösenordskvalitet med kontonivåkontroller som MFA, lösenordsnycklar, lagring av återställningskoder och regelbunden granskning av återställnings-e-post eller telefoninställningar.
Använd denna checklista när du tillämpar rekommendationen:
- Byt återanvända lösenord efter en läcka.
- Börja med e-post och högvärdiga konton.
- Använd endast betrodda läckagemeddelandeverktyg.
- Klistra aldrig in ett känsligt lösenord på slumpmässiga sidor.
Om en webbplats avvisar den ideala inställningen, tvinga inte lösenordet till ett svagare mönster för hand. Justera en variabel i taget. Om symboler avvisas, behåll versaler, gemener och siffror aktiverade och öka längden. Om en maximal längd är låg, använd den största accepterade längden och se till att värdet är unikt. Om ett lösenord måste läsas högt, skrivas ut eller skrivas på en tv- eller routerskärm, överväg att utesluta förvirrande tecken och öka längden för att kompensera för det mindre alfabetet.
Slutligen, kom ihåg gränsen för lösenordsråd. Ett starkt lösenord är ett lager av försvar, inte en garanti. Det kan inte göra en nätfiskesida säker, åtgärda skadlig programvara eller kompensera för en tjänst som lagrar uppgifter dåligt. Den användbara vanan är tråkig men hållbar: generera ett unikt värde, lagra det säkert, skydda återställningsvägen och byt ut det snabbt om du misstänker exponering.
Ett säkert nästa steg
Efter att ha läst denna guide, gör en liten kontogranskning istället för att försöka fixa allt på en gång. Välj det konto som skulle orsaka mest problem om det togs över, bekräfta att dess lösenord är unikt och kontrollera återställnings-e-post, återställningstelefon, MFA-metod och lagring av säkerhetskopieringskoder. Om någon del av den kedjan är svag, förbättra den delen innan du går vidare till konton med lägre risk. Denna ordning håller arbetet hanterbart och skyddar de konton som angripare mest sannolikt använder som en språngbräda. För hur du kontrollerar om ett lösenord har läckt ut är det bästa resultatet en repeterbar vana: generera lokalt, lagra noggrant och undvik återanvändning.
Vanliga frågor
Ska jag klistra in mitt lösenord på slumpmässiga läckagekontrollsidor?
Nej. Använd endast betrodda läckagemeddelandetjänster med tydlig integritetsdesign, eller byt lösenordet istället för att testa det.
Vad ska jag göra efter en läcka?
Byt det påverkade lösenordet, byt återanvända lösenord, återkalla sessioner, granska återställningsinställningar och aktivera MFA.
Kan PwdGen kontrollera läckagedatabaser?
Nej. PwdGen tillhandahåller lokal styrka och uppskattningar av knäckningstid, inte en fjärrsökning av läckta lösenord.