我刚刚收到来自 AbeBooks.com 的这封电子邮件:
您好 AbeBooks 客户,
这是来自 AbeBooks.com 的重要信息。
作为我们日常安全监控的一部分,我们了解到本周在线发布了一份电子邮件地址和密码列表。
虽然该列表与 AbeBooks 无关,但我们知道许多人在多个网站上重复使用他们的密码。我们相信您的电子邮件地址和密码设置在网上发布的列表中。
因此,我们采取了禁用您帐户密码的预防措施。对于由此造成的任何不便,我们深表歉意,但我们认为有必要帮助保护您和您的 AbeBooks 帐户。
我不太关心我的 AbeBooks.com 帐户,因为我几乎不使用它。但是,我很担心我的电子邮件和密码是在网上公布的。虽然我试图用谷歌搜索我的电子邮件,但没有找到任何东西。
我现在应该怎么办?我应该更改所有 50 多个帐户的密码吗?
最全面的可搜索受感染帐户数据库可能是haveibeenpwned.com。
如果您在多个地方重复使用了密码,那么是的,您应该假设密码已被泄露。我还建议尽可能启用双因素身份验证,因为这将降低一个帐户被盗用导致其他帐户被盗用的风险。
好消息是https://api.pwnedpasswords.com/range/ABCDE让您可以在不将密码暴露给任何人的情况下实现检查密码的目标。
它是如何工作的?
https://haveibeenpwned.com/Passwords链接到https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity,它描述了他们如何提供“k-匿名”。
基本上,不是发送您的实际密码,而是首先生成密码的 sha1 哈希,然后仅发送该密码的前 5 个字符。pwnedpasswords 服务将响应数百个可能匹配的列表,然后您从这些结果中搜索(使用密码的其余 sha1 散列)以查看其中是否真的与完整散列匹配你的密码。
使用这种方法,您的密码甚至密码的完整 sha1 哈希都不会通过 Internet 发送到 pwnedpasswords。
PS 例如,“P@ssw0rd”的 sha1 哈希是21BD1 2DC183F740EE76F27B78EB39C8AD972A757,并且https://api.pwnedpasswords.com/range/ 21bd1当前显示(当您从结果中搜索其余哈希时)它已被发现泄露了 52579 次。
您的 50 多个帐户的密码是否相同?如果没有,我认为你不应该担心。更改您的 AbeBooks 帐户的密码,也许还可以更改您在 Google 上搜索的电子邮件地址,这样就可以了。