Have I Been Pwned 結果：出現問題

資料外洩基本知識：駭客如何竊取密碼

幾乎每週都有新聞報導資料外洩，或者你認識的人透露自己的帳戶遭到駭客入侵。

發生這種事情時，我們自然會想問：為什麼這種情況會不斷發生？犯罪分子使用哪些技術來竊取帳戶憑證？我該怎麼做才能保護自己免於密碼外洩？

先從前兩個問題開始。以下是駭客最常用的技術：

社交工程與網路釣魚

社交工程是試圖操縱你分享個人資料 (例如你的密碼或電話號碼) 的手法。攻擊者會嘗試冒充你認識或信任的人來欺騙你 (可能是你的主管、銀行或大學老友)，並編個可信的理由，說服你向其提供資訊。

每次駭客這麼做時，都是透過「網路釣魚」獲取資訊。社交工程可以透過電子郵件、簡訊或電話 (又稱為「語音釣魚」) 的形式進行。攻擊者通常會撒下一張大網，將網路釣魚攻擊內容傳送給數百或數千人，等待有人上鉤。

密碼外洩和憑證填充

駭客不太會坐在自己的電腦前，嘗試用不同的密碼入侵你的帳戶。這麼做太耗時了，而且嘗試幾次失敗後，帳戶很可能被鎖定。相反，他們會嘗試使用以前安全漏洞外洩的憑證。

攻擊者知道普通人很少使用不同的密碼。因此，如果他們知道舊 MySpace 帳戶的使用者名稱和密碼，則用相同的憑證很可能也能登入 Yahoo 帳戶。實際上，駭客會用專門的軟體，在網路上大規模測試被盜憑證。這種類型的攻擊稱為憑證填充。

字典攻擊和破解雜湊密碼

想像一下，攻擊者發現了一個密碼資料庫。要解決的問題只有一個：每個憑證均透過雜湊演算法進行打亂處理，以對其加以保護。攻擊者可以透過常用雜湊演算法處理所有可能的密碼，然後檢查結果是否與資料庫中的任何內容相符。但這種方法效率極低。

相反，攻擊者會嘗試使用預先定義清單中的常見單字、片語或先前外洩的密碼。駭客找到匹配項後，就可以嘗試使用現在已破解的密碼來存取關聯帳戶，或者檢查該匹配項是否用於擁有者的其他線上帳戶。

好了，我們已經介紹完駭客如何盜取密碼。那麼，為保護自己免受這些手法和資料外洩的侵害，你可以做些什麼？

為每項服務設定唯一密碼，以保護自己。

在線上保護自己的最佳方法是，每個帳戶都使用唯一的強式密碼。這樣一來，即使有一個網站的資料遭盜用，其他網站的資料依舊安全。你無法建立或記住數百個不同的密碼，但密碼管理器可以。若要節省時間，可使用 1Password 內建密碼產生器，針對每個網站和服務 (包括 Amazon、Instagram 和 Gmail) 建立安全密碼。

啟用多重要素驗證

多重要素驗證能為線上帳戶提供一層額外保護。啟用後，除了使用者名稱和密碼外，還需要第二個要素 (通常是限時驗證碼) 才能登入。1Password 會告訴你哪些網站支援多重要素驗證，並作為身分驗證器，用於複製及自動填入你的一次性特殊代碼。

使用 Watchtower，掌握安全威脅

Watchtower 會通知你有關 1Password 中所儲存項目的資料外洩和其他安全問題，其中包括你目前使用弱密碼或重複使用密碼的網站，以及你尚未使用通行金鑰的服務。遵循 Watchtower 中的通知採取行動是很可靠的方法，可提升安全性並降低個人資訊出現在暗網上的機會。