1密码泄露触目惊心!泄漏密码查询方法回到顶部
【PConline杂谈】这一天,边肖的邮箱收到了一个账号登录出现异常的通知。我赶紧登录账号查看自己最近的活动,忙着修改密码,然后自己查看系统。不过由于我已经很久没有登录账号了,基本可以排除账号密码被木马盗取的可能。不过网站的安全性还是有一定保障的,基本上可以排除泄密的可能。长此以往,可能会撞库。
于是我让一个师傅用他的付费账号帮我在一个黑暗的社工数据库里搜索。不一会儿,师傅发来了一长串截图。这张截图中的一条记录带回了边肖已经遗忘多年的一个论坛的所有注册账户。真的是泪流满面。
图1高手帮忙导出的让我哭笑不得的Excel表格。
接下来,边肖只能选择一些重要的账号进行密码修改,还有一些账号因为太久没有登录,被卖给了网站或者论坛。有些根本不用,只是网站没有提供pin码的功能!
嗯,边肖之前犯了很多网友犯的错误,就是用了通用账号密码。简单来说就是用同一个帐户名和登录密码做全网通的注册账号,结果很惨。
图2你用一般账户密码吗?
因为任何一个网站或者论坛的账号密码泄露,这些泄露的账号密码都会被黑客用来冲击数据库,也就是利用获得的账号密码尝试登录其他网站,看能否获得有用的信息。然而,这些黑客攻击导致拖库,进而盗取大量用户账号密码的事件并不仅限于小网站和论坛。更别说,最近好几个大型网站都中毒了。
很多用户在不同网站注册时习惯用同一个账号密码注册新账号,这也是很多用户的无奈之举。毕竟目前还没有更好的认证方式。指纹、瞳孔、声纹、人脸识别等。还不流行。在电脑上,账号密码还是比较常用的。如果要求用户每个网站都有一个账号密码的话,记起来会比较麻烦。当然,写下来是个好主意,但是你不能总是带着密码纸。
2015年后,边肖没有使用通用账号密码注册重要网站,如淘宝、微博等。重点网站全部使用非通用账号,密码为复杂密码。为了防止遗忘,边肖还派了KeePass来帮助他们记忆。
接下来,我们进入正题。看看在哪里可以查到你的账号密码有没有泄露。然后,再来看看你的密码是否可靠,以及如何安全存储你的账号密码,如何开启二次验证功能让你的账号密码更加安全。
1.你的账号密码被泄露了吗?两个可以查询泄露账号密码的网站
一开始,边肖让师傅查询账号密码泄露的网址。当时是暗网,而且是会员制,会员费也不低。当然,信息是最全面和最新的。至于网址,由于法律法规的原因,不能在这里显示。但目前仍能提供两个免费的密码泄露查询网站,供公众查询。当然里面的信息可能不是最新最全的。
密码安全检查我被密码了吗
首先是国外的安检口——我有没有被pwned,是1Password设置的。用户可以在这个网站上输入自己的邮箱地址,查看你的账号是否在泄露账号名单中,找出泄露的站点。点击这里进入我被pwn了吗?
图3我被催眠了吗
操作很简单。在网站的搜索框中输入你的邮箱或常用账号,然后点击pwned?按钮,就可以得到结果。
在搜索结果中,如果是“好消息—没有找到pwnage!”,说明目前在其数据库中还没有发现同样的信息,至少目前这个网站收集的泄露数据库中没有任何信息。
图4暂时显示了安全性。
但是如果搜索结果显示“哦不—pwned!”,证明你查询的邮箱或账号已经泄露,下面也显示了有多少网站在泄露的数据中找到了该账号。
图5被泄露。
别急,往下拖,可以看到具体泄露的网站,也可以看到网站泄露了哪些具体内容,比如邮箱、账号、密码等。好吧,边肖在这里找到了另一个被遗忘在九霄云外的在线账户。
图6查看具体泄露的网站
在我被pwned了吗,也可以看到哪些网站被泄露了用户信息。
图7查看泄露的网站
想看看自己的密码是否安全?有多少用户在使用同一个密码来防止暴力破解?也可以在我被pwn了吗中查询。在密码选项中输入你的密码,就可以看到这个密码的通用性。
图8查看密码普遍性
你的密码够强吗?惠鼎殿
14亿!查询库,甚至可以很容易地看到密码
再来看看另一个号称拥有14亿邮箱数据库的密码查询网站。用户访问该网站后,可以根据自己的用户名或邮箱地址查询特定邮箱是否存在密码泄露的情况。与《我被pwned了吗》不同的是,这个网站的查询结果都是明文泄露的密码信息,也就是说你可以完整的看到账号和密码信息,你可以查询给其他人,也可以很容易的查看,所以你要尽快修改密码。
图9密码泄露查询网站
这个网站查询速度慢,要等一段时间才能得到查询结果。结果是已经泄露了,如果没有,请暗自庆幸。
图10查询结果
没关系。我不是大人物。黑客怎么会针对我这个无名小卒?不不不。
黑客入侵各个网站获得的信息会建立一个全面的查询数据库,然后在暗网被查询甚至作为会员出售。综合从各个网站获取的账号密码和信息短信,在大数据分析下,可以从你在社交网站的云备份中获取你的兴趣爱好、网购记录、照片、视频甚至难以形容的机密内容。甚至可以获取你的身份证信息(嗯,目前国内所有游戏都需要实名认证,评论也需要认证),然后你就可以用获取的信息做很多你认为不可能的事情。
黑客可能会用你的手持证件照开网店卖假货。更严重的是,他们会用你的信息去借网贷。一些不正规的应急贷款认证非常宽松,坏人利用你的身份去借钱就消失了。你可能要还钱。
所以,千万不要把证件照存在云存储里,尤其是手持的证件照!!!
有了一个收录在社工库中的QQ号,你就可以查到用户用过什么密码,绑定过什么邮箱,在哪里用过,他的朋友,他加入的QQ群。
第二,你的密码可靠吗?常用密码不能用,弱密码也不能用。
根据密码泄露查询,很多用户使用的是弱密码。所谓弱密码,就是容易破译的密码,多为数字、账号相同的数字、英文单词、键盘上相邻的键或常用名的简单组合,如“123456”、“abc123”、“Michael”等。,8位数以下的也属于弱密码范畴。
这种弱密码容易被黑客暴力破解。根据某网站的测试结果,“六位密码“pYDbL6”需要CPU 90分钟,GPU 4秒,而七位密码“fh0GH5h”需要CPU 4天,GPU 17分30秒。如果是八九位数以上,大小写随机混合的密码,GPU需要48天,而CPU当然需要,这是几年前的数据。现在应该快了。你的密码是弱密码吗?你可以通过这个网站测试一下,上面会详细给出你的密码强度得分、复杂度、加分和扣分。
图11查看您的密码是否安全。
那么创建一个不易被暴力破解的强密码的要领是什么呢?
◆密码位数应足够长(至少8位)
◆密码应该由字母+数字+特殊字符组成。
◆密码不能与登录账户相似。
◆密码不要用键盘按键,比如“qwertyuiop”
◆密码不需要生日、姓名拼音等个人信息。,很容易被猜到和破解。
看看这个“ppnn13%dkstFeb.1st”,号称史上最有诗意的密码。当然属于强密码的范畴,有个有才的网友直接把意思翻译成“13年多,豆蔻二月初”,太有才了。
3如何才能防止账号密码泄露回置顶?
第三,拒绝通用密码和弱密码。请索要一个可靠的账号密码保险箱。
账号密码的使用还是那么多限制,每个网站需要使用不同的密码。不知道用什么密码,也不知道怎么记住那么多网站的密码。我真的需要一个笔记本来记下它们吗?但是笔记本也不安全!没关系。接下来请一个小软件“KeePass”帮你创建、管理、记录、使用密码。你要做的就是记住软件的主密码。重要的是它有手机版,可以随身携带。
KeePass:是一个密码管理器,可以帮助用户生成不同的强密码,记录这些密码,自动填写密码。
密码管理工具(KeePass)软件版本:2.36应用工具立即查看
KeePass是英文软件,但是用户可以下载简体中文语言包(将语言包解压到KeePass安装目录),然后“KeePass主界面菜单栏→查看→更改语言→简体中文”就可以变成简体中文操作界面。
图12 KeePass主界面
第一次使用KeePass时,需要创建一个新的存储数据库。你可以选择数据库的存储位置,然后在做备份的时候只需要备份数据库。创建数据库时,需要创建管理密码,也可以生成密钥文件(没有密钥文件,即使知道管理密码也无法解锁)。
图13设置管理密码
然后进入数据库配置界面,用户需要输入数据库名称,设置保密算法,密钥次数,实时内存保护(防止其他程序恶意读取),是否压缩数据库,还需要设置推荐/强制更改密码的周期。从以上设置可以看出,KeePass对存储的密码采取了多重安全措施,基本排除了被破解的可能。与一些用明文记录用户名和密码的网站相比,KeePass要靠谱得多。
图14数据库配置界面
KeePass的界面简洁,主界面右侧是密码分类栏。右边是存储在每个类别中的密码列表。
图15 KeePass的主界面
很难记住每个网站应该使用不同的密码。在电脑上用记事本记录是非常不安全的。需要拿纸和笔来记录吗?KeePass支持密码管理功能,可以帮助用户记录网站、程序等的账号密码。,还可以在加密的数据库中附加附加文件(比如注册时的截图)。
用户需要存储密码,只需选择分类,然后使用密码列表区右键菜单中的“添加记录”即可添加新的密码记录。
新记录窗口也包含了很多内容,包括标题、用户名、密码(用户输入的密码质量可以自动检测并直接生成)、密码对应的URL、字符串字段和附件。
图16新记录窗口
KeePass支持搜索功能,用户可以通过搜索框快速找到需要的密码。
图17搜索功能
提取密码的方式也很慎重。KeePass解锁时,用户可以直接将相应的密码记录拖拽到其他程序的密码输入框中,完成相应的密码输入。也可以直接双击对应的记录,复制到剪贴板。复制完成后,剪贴板的内容默认会在12秒后自动清空空。
图18复制的密码会自动清除空
KeePass为用户提供了一个密码生成工具,用户可以通过设置多种密码生成条件来生成高强度的密码。
图19密码生成工具
那么KeePass可以自动为用户填写密码吗?当然可以,而且KeePass是虚拟键的形式,不仅可以处理大部分密码输入框(包括网页和程序)还支持拒绝复制粘贴的密码框。
比如你需要填写淘宝的账号密码。因为淘宝的密码输入框有安全控件监控,大部分自动填表软件都很无奈。看看KeePass能不能搞定。
具体操作:KeePass→添加记录→随便填标题→用用户名和密码填写Taobao.com的账号密码→自动进入选项栏→添加→在目标窗口中找到预先打开的淘宝窗口(支持任何浏览器)→确定”。
图20选择预打开的淘宝窗口。
然后,当KeePass确定解锁后,使用刚刚打开淘宝的浏览器进入登录界面,再按快捷键Ctrl+Alt+A,用户名和密码就会自动输入。
对于程序类的密码输入框,KeePass也可以完成填表操作,用户可以在设置过程中自定义击键过程。以此类推,网游等游戏程序也可以使用KeePass自动填写账号密码。
比如默认的按键设置{ username } { tab } { password } { enter }就是KeePass进行“输入账号→tab →输入密码→回车”等操作。
不要用KeePass,记得退出或者锁定,以免被有心人利用。当然,用户可以在选项设置中设置KeePass空空闲多长时间自动锁定或退出。
KeePass也有手机版。用户可以在手机中安装KeePass,然后将数据库复制到手机上。使用手机版KeePass打开数据库,他们可以用管理密码查看存储的数据。
图21 KeePass移动版
第四,二次验证使账户更安全
现在很多网站都加强了防范,开启了二次验证的功能。所谓二次验证,就是用户用账号密码登录时,需要接收短信或邮件收到的验证码,才能输入或访问敏感信息。开启该功能后,即使别人拿到了你的账号密码,也无权做任何事情。例如,当访问微软账户中的敏感信息时,用户将被要求进行验证。
图22微软账户的二次验证功能
对于苹果设备用户,请加强自己Apple ID账号的密码安全,开启双重验证,避免因账号密码泄露导致设备被恶意锁死勒索。
图23 Apple ID的双重验证
对于二级认证设备,您可以使用安全邮箱或SMS认证。目前126邮箱使用网页版登录查看部分网站发送的验证邮件,需要验证短信模式才能查看,安全性提高了不少。
图24您需要验证SMS才能查看验证电子邮件。
还有,现在的手机号可以重置很多网站的密码,所以请在手机卡上加一个pin码,避免因手机丢失导致手机卡被盗。
摘要
总之,不要用一般的账号密码,尤其是在重要网站上。开启安全认证功能,比如可以开启异地登录,需要验证手机甚至每次登录,还需要开启设备锁。大数据时代,一切都是安全的,开车千万小心!
仕佳光子申购时间是几号