暗网与密码泄露的关系

本文约需 8 分钟阅读

当新闻报道"数亿密码泄露"时，很多人觉得与自己无关。然而，泄露的密码在哈希被破解后，在被称为暗网的匿名网络上买卖，并被用于实际的非法访问。根据 Identity Theft Resource Center 2024 年报告，2024 年全球公开的数据泄露事件达 3,158 起，受影响人数约 3.4 亿。2025 年这一趋势仍在持续，大规模泄露事件层出不穷。此外，Digital Shadows 的调查显示，暗网上流通的泄露凭证累计超过 240 亿条，相当于全球人口的约 3 倍。随着 AI 驱动的自动凭证填充工具的普及，泄露数据的滥用速度也在加快。本文将介绍暗网的运作机制、泄露数据如何被滥用，以及如何利用 パスつく.com 进行有效防御。

什么是暗网

互联网大致可分为三个层次：通过普通搜索引擎可访问的"表层网络"、需要登录的会员网站和数据库等"深层网络"，以及必须使用 Tor 等特殊软件才能访问的"暗网"。

暗网本身在技术上是中立的，但其高度匿名性使其成为非法交易的温床。被盗的信用卡信息、个人数据和密码数据在暗网上被日常买卖，形成了网络犯罪生态系统。Tor 网络的通信通过多个中继节点加密传输，因此极难追踪通信来源。这一技术特性是执法机构难以打击暗网犯罪的根本原因。

泄露数据交易的实态

当企业或服务遭受网络攻击导致数据库泄露时，攻击者会将这些信息发布到暗网市场上。交易使用比特币等加密货币进行，难以追踪。

泄露数据的价格因内容而异。电子邮件和密码组合每条仅需几美分，但如果包含银行账户或信用卡信息，价格可能高达数十美元以上。大规模泄露事件发生后，由于数据大量涌入市场，价格会下降，但随着时间推移，经过"验证"的数据集价值会逐渐上升。

尤其严重的是，泄露数据一旦流通就不可能完全回收。副本会被无限复制，落入多个攻击者团伙手中。即使泄露发生数年后，如果密码未更改，被利用的风险仍然存在。

组合列表的机制与威胁

组合列表是将多次泄露事件中收集的电子邮件地址（或用户名）和密码组合汇总到一个列表中的产物。攻击者利用该列表对各种服务自动尝试登录。这种攻击手法被称为"凭证填充"。

组合列表之所以有效，是因为许多用户在多个服务中重复使用密码。现实是，从一个服务泄露的凭证在其他服务上也能直接使用的情况多得惊人。攻击者将数百万条组合列表加载到自动化工具中，在短时间内尝试入侵大量账户。

更高级的攻击者会分析泄露密码的模式，推测用户更改后可能设置的密码。例如，如果"Password2023"被泄露，他们会尝试"Password2024"或"Password2023!"。人类设计的密码更改模式本质上是可预测的。需要注意的是，仅在密码末尾添加一个数字或符号的更改方式，已经被攻击工具的字典收录，几乎没有防御效果。

关于凭证填充的实态，密码列表攻击解说书 (Amazon)也可供参考。

如何确认自己的信息是否已泄露

有方法可以确认您的电子邮件地址或密码是否包含在过去的泄露事件中。Have I Been Pwned (haveibeenpwned.com) 是一个高度可靠的服务，可以跨多个泄露数据库进行搜索。只需输入电子邮件地址，即可确认它包含在哪些泄露事件中。

如果确认发生了泄露，请立即更改相关服务的密码。如果您在其他服务中也使用了相同的密码，则需要将所有服务的密码更改为不同的密码。一个常见的误解是"如果泄露的是旧密码就没问题"，但攻击者会从过去的密码推测更改模式，因此更换为完全随机的新密码至关重要。

关于泄露确认和应对的具体步骤，信息泄露检测与应对指南 (Amazon)也可供参考。

使用 パスつく.com 随机密码的防御策略

对抗组合列表和凭证填充最有效的防御策略是为每个服务使用完全随机的密码。パスつく.com 使用密码学安全的随机数生成密码，确保不包含任何人类习惯或可猜测的模式。

以下是利用 パスつく.com 应对暗网威胁的要点：

• 为每个服务生成不同的密码，彻底杜绝密码重复使用
• 使用 16 个字符以上的长度，包含大写字母、小写字母、数字和符号
• 使用 パスつく.com 的强度计确认熵值达到 80 位以上
• 一旦发现服务发生泄露，立即使用 パスつく.com 重新生成密码
• 将生成的密码保存在密码管理器中，不依赖记忆

パスつく.com 生成的随机密码出现在组合列表中的可能性几乎为零。生成的密码请使用密码管理器管理。即使一个服务发生泄露，其他服务设置的是完全不同的密码，因此可以切断损害链。了解密码重复使用的风险至关重要。由于所有密码生成处理都在浏览器内完成，生成的密码本身也不存在外泄风险。关于发现泄露时的具体应对步骤，请参阅数据泄露发生时的应对方法和个人事件响应。

泄露防护自查清单

请确认以下各项，检查您对暗网泄露数据滥用的防御态势。

• 是否已在 Have I Been Pwned 上确认电子邮件地址的泄露情况？
• 是否已更改所有确认泄露的服务的密码？
• 是否在所有服务中使用了不同的密码？
• 密码是否为 16 个字符以上的随机字符串？
• 是否已为重要账户设置了双重认证？
• 是否使用密码管理器集中管理凭证？
• 是否已注册泄露通知服务（如 Have I Been Pwned 的邮件通知）？

现在就能做的事

1. 在 Have I Been Pwned (haveibeenpwned.com) 上确认电子邮件地址的泄露情况，并注册泄露通知邮件
2. 立即将已确认泄露的服务密码更改为 パスつく.com 生成的 16 个字符以上的随机密码
3. 列出所有重复使用密码的服务，依次将它们全部更改为不同的密码
4. 为重要账户（电子邮件、金融服务）设置双重认证
5. 引入密码管理器，建立集中管理所有凭证的体制

常见问题

能查到自己的密码是否在暗网上被出售吗？

可以在 Have I Been Pwned (haveibeenpwned.com) 上搜索您的邮箱地址来确认。无需直接访问暗网，使用这类正规的监控服务是安全的方法。

密码泄露到暗网后会怎样？

泄露的密码会被整理成列表，用于凭证填充攻击（对其他服务的自动登录尝试）。它们以几美元到数千个账户的套装形式出售，购买者使用自动化工具进行大规模未授权登录尝试。密码重复使用会导致连锁损害。

个人能做什么来防止密码流入暗网？

泄露本身是服务方的问题，个人无法防止，但可以将损害降到最低。为每个服务使用不同的随机密码并启用双因素认证。即使一个服务发生泄露，对其他账户的影响也为零。