很多人在设置账号密码时,由于安全意识不足、贪图便利等原因,会重复使用同一套账号密码,这就为黑客采用「撞库」攻击盗取账号提供了可能。例如当你的微博账号和密码被泄露时,黑客可能会将这一套账号密码,去尝试登陆优酷、微信等其他平台。
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。
为避免撞库攻击,在不同平台注册时使用不同的密码,是很有必要的。但是对于那些已经泄露并被公开在网络上的密码,我们要怎么做呢?方法也很简单,首先查找出这些已经泄露的密码以及对应的网站或平台,然后修改密码。这一切,用 1Password 就能轻易实现。
1Password 开发商 AgileBits 与 Troy Hunt 合作,后者曾开发设计了 Pwned Passwords,在互联网上搜集了超过 32 亿条被公开泄露的密码,用户可以在该数据库搜索自己使用的密码是否被泄露。
此番 1Password 与 Pwned Passwords 合作,将检索泄露密码功能直接集成在 1Password 中,一键就可以鉴别自己的密码是不是被泄露了,而不必挨个粘贴到 Troy 的网站中检索。检索后,一旦 1Password 提示密码不安全「Oops, this password was found.」,你就需要修改密码了。
在 1Password 中检查密码
目前,这项服务仅在 1Password 网页版中提供,你可以执行步骤:
- 在 1Password.com 中登陆你的帐户;
- 打开密码保险箱 Vault,并查看密码详情;当光标移动到密码附近时,会出现「Copy」「Reveal」 和 「Largr Type」 三个按钮
- 按下快捷键 Shift + Control + Option + C ,密码附近会出现第四个按钮「Check Password」,点击它就能检查密码是否被泄露。
当然,即使你的密码在 Troy 的数据库中被找到,也并不意味着你的账号被攻破,因为可能是别人和你在用同一个密码。不过,我也建议你尽快将其修改成独一无二的密码。
推荐阅读:《科普:帐号泄露事件频发,到底什么样的密码才安全?》
在别人的数据库中检查自己的密码安全吗?
1Password 官方 并未以任何方式将你的密码发送给第三方,并且采用了非常安全的方式与 Pwned Passwords 数据库中的密码进行验证。
首先 1Password 将密码进行不可逆的哈希转换,得到一个面目全非的字符串,然后截取前五位字符发送给 Pwned Passwords。随后 Pwned Passwords 数据库会发送以这五位字符为首的泄露密码,然后 1Password 在本地进行匹配检查。如果结果匹配,说明该密码可能已经被泄露了。
目前这项功能仅在 1Password 网页版中提供,官方表示未来将集成在 1Password 应用中,集成在 Watchtower 中。
关于 1Password 的使用,你可以查看 少数派先前推出的文章,以及付费教程 《用 1Password 做好密码管理》。