安全指南

如何檢查密碼是否已洩漏

學習安全的方式來應對可能的密碼洩漏，而無需將真實密碼貼到不可信的網站。

摘要

如果您懷疑密碼已洩漏，最安全的回應通常是直接更換密碼，而不是將其貼到未知網站。只有在服務具有可信賴的隱私設計，且您了解傳送了什麼資料時，密碼洩漏檢查才有用。

使用密碼強度檢查器進行本機模式分析，但不要將其視為外洩資料庫。

優先處理

從受信任的裝置更換密碼。如果該密碼被重複使用，請更換所有受影響的帳戶。從電子郵件、銀行、工作、雲端儲存和密碼管理器恢復帳戶開始。

審查帳戶狀態

撤銷活躍的工作階段、檢查恢復電子郵件和電話設定、審查轉發規則、移除可疑的應用程式存取權限，並啟用多因素驗證（MFA）或通行密鑰。

詳細指引

本指南專注於如何在不輕率暴露密碼的情況下，檢查密碼是否可能出現在外洩事件中。這是為那些聽說有外洩事件並希望安全應對的使用者所寫，因此實際目標不是製造戲劇性的安全宣稱，而是選擇一個能在日常使用中存活的密碼習慣：登入表單、密碼管理器、行動鍵盤、帳戶恢復、共用裝置，以及偶爾遇到驗證規則奇怪的服務。一個安全的建議只有在真實的人能夠一致遵循時才有用。

最安全的起點是隨機性加上唯一性。隨機性意味著該值是由密碼學上合適的隨機源從大空間中選出，而不是從生日、寵物名、鍵盤模式或喜愛的名言中發明。唯一性意味著同一個密碼不在其他地方使用。一個長但重複使用的密碼可能在一次不相關的外洩後迅速失效，而一個唯一的隨機密碼則將損害限制在使用該密碼的單一帳戶。

針對這個主題，一個實用的預設是先進行本機模式分析，然後在需要時使用可信賴的外洩警報服務。您可以使用密碼強度檢查器來應用此預設，然後將最終值儲存在受信任的密碼管理器中。PwdGen 使用 Web Crypto 在瀏覽器中本機生成值；生成的密碼不會發送到 PwdGen 伺服器。這種本機設計減少了伺服器端的暴露，但並不能防範所有威脅。惡意的瀏覽器擴充功能、受感染的裝置、釣魚頁面或不安全的剪貼簿處理仍然可能在密碼生成後將其暴露。

最常見的問題是將真實密碼輸入未知網站、在日誌中搜尋確切密碼，以及假設沒有結果就代表沒有風險。這些問題之所以重要，是因為攻擊者很少需要暴力破解所有可能的密碼，當人類習慣給了他們捷徑時。憑證填充、釣魚、洩漏的密碼列表和帳戶恢復濫用通常比純數學搜尋更實際。這就是為什麼最好的建議結合了密碼品質與帳戶層級的控制，例如 MFA、通行密鑰、恢復碼儲存，以及定期審查恢復電子郵件或電話設定。

在應用建議時，請使用此檢查清單：

• 在外洩後更換重複使用的密碼。
• 從電子郵件和高價值帳戶開始。
• 僅使用受信任的外洩通知工具。
• 切勿將敏感密碼貼到隨機頁面。

如果網站拒絕理想的設定，不要手動強迫密碼進入較弱的模式。一次調整一個變數。如果符號被拒絕，保留大寫、小寫和數字，並增加長度。如果最大長度很短，使用可接受的最大長度，並確保該值是唯一的。如果密碼必須大聲朗讀、列印或在電視或路由器螢幕上輸入，考慮排除容易混淆的字元，並增加長度以補償較小的字母集。

最後，記住密碼建議的邊界。強密碼是一層防禦，而不是保證。它不能讓釣魚頁面安全、修復惡意軟體，或補償一個儲存憑證不當的服務。有用的習慣是無聊但持久的：生成唯一值、安全儲存、保護恢復路徑，並在懷疑暴露時迅速更換。

安全的下一步

閱讀本指南後，進行一個小帳戶審計，而不是試圖一次修復所有問題。選擇一個如果被接管會造成最大麻煩的帳戶，確認其密碼是唯一的，並檢查恢復電子郵件、恢復電話、MFA 方法和備份碼儲存。如果該鏈條的任何部分薄弱，在轉向低風險帳戶之前先改善該部分。這個順序讓工作可管理，並保護攻擊者最可能用作跳板的帳戶。關於如何檢查密碼是否已洩漏，最好的結果是一個可重複的習慣：本機生成、小心儲存、避免重複使用。

常見問題

我應該將密碼貼到隨機的洩漏檢查網站嗎？

不。僅使用具有明確隱私設計的可信賴外洩檢查服務，或者直接更換密碼而不是測試它。

外洩後我該怎麼做？

更換受影響的密碼、更換重複使用的密碼、撤銷工作階段、審查恢復設定，並啟用 MFA。

PwdGen 可以檢查外洩資料庫嗎？

不行。PwdGen 提供本機強度和破解時間估計，而不是遠端外洩密碼查詢。