如何判断您的密码是否被黑客攻击,以及如果被黑客攻击了应该怎么办 - WSJ
Dalvin Brown
过去,我们都有一些喜欢的密码,会用在各种网站和应用上,一组易于记忆的短语,因为谁能记住那么多密码呢?坏消息是,这些密码很可能都在数据泄露中泄露了。如果黑客拿到了一个网站的密码,他们可以尝试在其他网站上使用它,看看你是否重复使用了。
那么,当你的密码泄露时,你如何知道,以及该怎么处理呢?
越来越多的应用和服务提供商提供了工具,通知用户其登录凭据是否受到影响。今年五月,谷歌表示将开始警告所有Gmail用户,如果他们的电子邮件地址出现在暗网上,那里的网络犯罪分子购买和出售个人信息以进行欺诈。去年,苹果更新了其密码安全协议,自动识别用户密码中的常见弱点,当这些密码存储在iCloud钥匙串中时。
密码管理器也提供类似的工具,使用户能够检查他们的登录详细信息是否已经泄露。(专家们长期以来一直推荐使用密码管理器,它们不仅可以生成复杂的唯一密码,还可以为您记住这些密码。但密码管理器也可能被黑客攻击。)
通常,这些工具使用泄露凭据的数据库,并将其与用户存储的信息安全地在计算机或移动设备上进行比较。当发现匹配时,账户提供商将显示警告,提示用户更改密码。
然而,这里面存在一个挑战。经常发生的情况是,你会收到这样的报告:“您有 87 个泄露的密码。”
要让苹果的 iCloud 钥匙串提醒您有受损密码,请在您的 iPhone 上打开设置应用,然后转到密码,然后到安全建议,然后检测受损密码图片插图: Siung Tjia/WSJ这些通知旨在方便您,但它们也可能成为一个麻烦:您该如何清理所有这些糟糕的密码?
“对大多数人来说,这太艰巨了,”总部位于佛罗里达州莱克玛丽的网络安全公司 BlackCloak 的首席执行官克里斯·皮尔森说。“拥有这些信息是很好的。但通常没有明确的前进路径。对于普通消费者来说,这太难或者步骤太多。”
此外,随着人们每年创建更多的在线账户,受损密码的威胁也在增长。根据密码管理公司 Dashlane 的报告,2022 年在北美有近 20% 的密码被泄露。
许多人选择忽视这些警告,无意中使自己处于更高风险的受害者位置,安全专家说。有些人可能打算有一天更改他们的密码,但却从未实施。
网络安全专家表示,一些泄露的密码需要您立即关注,而另一些可以等待。按紧急程度对它们进行排序。然后,随着时间的推移逐个解决列表中的问题,确保每个密码都是唯一的,并在可能的情况下打开双因素认证。
这里有一个更详细的看法,关于如何找出你的密码是否已经泄露,以及一旦得到坏消息后你的优先事项应该是什么。
查找你的泄露密码
最受欢迎的网络平台和密码管理器提供功能,告诉你你的密码是否在暗网上泄露。
**iCloud 钥匙串:**在 MacOS 上,打开钥匙串访问应用程序。在 iOS 上,转到 设置 > 密码 > 安全建议。查看保存的密码列表。钥匙串可能会在泄露的密码旁边显示警告符号,并提供更改它们的选项。
**Chrome:**Google 的密码检查工具将显示泄露、重复使用和弱密码。转到 passwords.google.com,然后密码检查 > 检查密码。该网站将向您显示哪些密码应立即更改,并直接带您到该网站。
Google 的密码检查显示泄露、重复使用和弱密码。照片:华尔街日报**Microsoft Edge:**转到 设置和更多 > 设置 > 个人资料 > 密码,打开密码监视器,它将检查浏览器中保存的密码是否与已知泄露的密码匹配。如果有任何密码泄露,将出现通知,提示您更改这些密码。
**Dashlane:**Dashlane 每天运行安全检查,会自动显示哪些信息已经泄露。
你也可以自行启动暗网检查,Dashlane会扫描隐藏的网站,查找用户名、密码、信用卡、联系信息、社保号码和计算机IP地址。前往应用程序的暗网监控部分。选择“开始监控”。当你的个人信息出现时,Dashlane会通过电子邮件和应用程序弹出通知。
1Password: 导航到1Password的Watchtower或Security Audit部分,扫描你的密码以检查已知的泄露和漏洞。该应用程序将识别受损、弱或重复使用的密码,并建议更改它们。
分阶段处理哪些密码
阶段1:你最敏感的账户
优先处理关键账户的密码,如电子邮件、银行和金融机构以及与医疗相关的应用程序。
“任何涉及金钱的事情,你的Google、Apple或Microsoft电子邮件账户—骗子会试图攻击这些账户,”密码管理公司Keeper Security的首席技术官Craig Lurey说。
未经授权访问你的电子邮件地址的人可以了解很多关于你习惯的信息:你在哪里工作、你去过哪里、你何时旅行以及你花了多少钱。他们可以向联系人发送冒充你的电子邮件。他们可以锁定你的电子邮件,甚至尝试重置与你其他账户相关的密码。
医疗应用程序可能会向他们展示你的病史和保险详情,这可能被用来尝试欺诈性医疗索赔。
银行使用看不见的工具来限制未经授权的人可以做什么,但这并不意味着骗子不能溜过漏洞。
皮尔森说:“那些账户可能会让你或你的家人度过一个非常糟糕的一天。几乎其他所有事情都可以等待。”
第二阶段:社交媒体
社交媒体账户通常存储个人信息,包括你的姓名、电子邮件地址、电话号码、位置、照片和视频。
如果你的社交媒体账户遭到入侵,黑客可以滥用这些信息进行身份盗窃、社会工程攻击或有针对性的网络钓鱼尝试。他们可以向联系人发送欺诈性消息。有人在社交媒体上冒充你可能会损害你的声誉。
皮尔森说:“账户被接管是可怕的,你不想重新建立追随你的全部1万人。”
第三阶段:你购物的地方
购物应用程序和其他存储信用卡信息的账户通常包含额外的个人和财务详细信息,如账单地址、联系信息和订单历史。
黑客可能会尝试使用你存储的付款信息进行未经授权的购买。通过更改密码,你可以有效地阻止他们的访问并最小化财务损失的风险。
“网站上内置了许多防欺诈保护措施,以防止他人使用你的信用卡,但如果有人登录你的亚马逊账户并更改你的密码,现在你就无法登录了,这仍然可能很烦人,”IT安全公司Delinea的首席执行官阿特·吉利兰德说。
第四阶段:其他一切
有些账户并不那么紧急,您可能根本不必担心更改它们。
网络安全专家表示,不存储敏感信息的非金融网络服务账户,如在线论坛、新闻网站或非交易平台,通常风险较低。
这些账户遭到入侵可能引发隐私问题,或者未经授权的人可能会滥用某些账户功能,但潜在影响比涉及金融或个人数据的账户要轻微。
“除了知道您在阅读内容外,他们无法窃取任何东西的账户,您可以不太在意那些账户,” Gilliland说。
忠诚度或奖励计划账户可能属于这一类别,因为它们通常不存储高度敏感的个人或财务信息。
Dalvin Brown为《华尔街日报》报道个人科技。您可以通过以下方式联系他:[email protected]。要获取更多《华尔街日报》科技分析、评论、建议和头条新闻,请订阅我们的每周新闻简报。
发表于2023年6月7日的印刷版上,标题为“您的密码已被盗。现在怎么办?”。