近日,有一个叫 TruePeopleSearch 的网站在美国社交媒体上疯狂传播,因为在上面你能查到很多人的隐私訊息,包括曾经和现在的居住地,电话号码,可能的亲属等。这引起了很多网友的恐慌。咕噜前几天出了一篇攻略『住处、电话、亲戚,隐私訊息全部被这网站公开,我该怎么办?』,建议你应该如何处理。
这让基叔联想到了另一个问题,相对于这些虽然敏感但被拿到也不会有直接损失的訊息,也许网站密码、信用卡号等数据对你来说更重要,于是写了这篇攻略,给大家推荐一些解决方案。
Have I Been Pwned?
近年来,黑客屡屡侵入大型网站的服务器,窃取密码和其他数据,例如地址、信用卡数据等,最可怕的是,这其中的很多被黑客批量上传到了网上。这里面涉及面比较大而且知名的包括:
- Exploit.In - 2016年底,一份包含接近6亿用户名密码的组合(来自多个网站)被泄露。类似的列表还有例如 Anti Public Combo List(用户名密码)、River City Media Spam List(邮箱、IP、名字、居住地址)。
- Myspace(3亿多)、网易(2亿多)、Linkedin(1亿多)、Adobe(1亿多)、优酷(接近1亿)、Dropbox(6千多万)、Tumblr(6千多万)的账户密码泄露。
这些数据被盗的后果是什么?
- 账号的冒用。
- 黑客或者居心不良的分子获得訊息后,会使用这些訊息在其他渠道盗用你的账号或身份。比如偷了你 A 网站的用户名/密码,去 B 网站使用。
- 敏感訊息被放到网上。
然而,被盗的訊息那么多,我怎么知道我是不是中标了?有好心人做了一个网站,叫做 https://haveibeenpwned.com/,在这里,你只要输入邮箱或者用户名,就能看到自己的账号是否有被黑并放到网上。
如上图,这个网站会显示所有包含你敏感訊息的被泄露的数据库,例如基叔在机锋网的账号就被盗过。而且它会很详细地告诉你哪些訊息可能被盗了。
那么我该怎么办呢?
第一件事,如果是用户名密码组合,想想自己在其他网站是否有类似的用户名密码组合,全部改掉;如果是信用卡,可以申请一张新的卡号不同的;如果是地址,好像也没有什么办法了。
第二件事,如果其他人也知道 https://haveibeenpwned.com/ 这个网站,和你的用户名,他们也可以知道你的訊息被从哪些渠道泄露了,如果他们有一定的 IT 能力的话,也许是找得到这些訊息的,这对你来说可能不利,所以 haveibeenpwned 提供了一个 Opt Out 的功能,你可以把自己的记录从该网站隐掉。
如上图操作后,你只需要到你的邮箱里点一下确认,你的訊息就会从 haveibeenpwned 消失了。
第三件事,haveibeenpwned 这个数据库是会一直更新的,万一未来有什么账号被黑,它也是可以邮件提醒你的,这就需要使用通知功能。
如上图操作后,你还是需要到邮箱里确认一下即可。
重要:养成良好的密码管理习惯
看到这里,有些朋友可能要抓狂了,因为他们在大部分网站上的用户名密码组合都是一样的。这其实是几大不好的密码管理习惯之一,其他几个包括:使用过于简单的密码、使用和个人訊息有关(例如生日、名字、门牌号)的密码组合等。
现在由于安全考虑,不同网站有不同的密码复杂度要求,有些还常常需要你更改,造成了跨网站的密码很难记,而你越是想用好记的方法,就越容易被窃取。
比较好的方式是:每个网站的用户名密码组合都是随机的、不同的、复杂的。你可以借助工具来管理和『记录』这些用户名密码。1Password 就是这样一个工具,它是一个跨平台的工具,iOS、Mac、Windows、Android 上都有,也可以安装浏览器插件,非常方便。至于如何使用我这里就不多说了,因为它是一个上手即会的工具。
