数据泄露发生时的应对方法
本文约需 11 分钟阅读
您是否曾收到过所使用的服务发来的"您的信息可能已泄露"的通知?数据泄露事件逐年增加,即使是大型企业也不例外。根据 IBM 2024 年版 Cost of a Data Breach Report,每次数据泄露的平均损失达到 488 万美元(约 3500 万人民币),创下历史新高。此外,从发现泄露到遏制平均需要 258 天,在此期间攻击者会最大限度地利用窃取的信息。关键在于泄露被发现后能否迅速且妥善地应对。本文将介绍收到数据泄露通知后的具体应对步骤,以及如何利用 Passtsuku.com 高效更新密码。
收到泄露通知后首先要做的事
收到数据泄露通知后,请先冷静地确认通知的真伪。已有报告显示攻击者会发送虚假的泄露通知邮件进行钓鱼攻击。不要点击邮件中的链接,而是通过浏览器直接访问该服务的官方网站,确认有关泄露的官方公告。
需要注意的是,即使是正规的泄露通知邮件,发件人地址也可能来自与平时不同的域名。这是因为在大规模泄露时,外部安全公司可能会代为发送通知。如果难以判断,最安全的做法是不要点击邮件中的任何链接,而是通过搜索引擎访问该服务的官方网站进行确认。
确认通知为正规通知后,请掌握以下信息。
- 泄露信息的类型(电子邮件地址、密码、信用卡信息、个人信息等)
- 泄露发生的时间
- 服务方采取的措施(强制重置密码、使会话失效等)
- 建议用户采取的应对措施
泄露数据流向何处
了解泄露数据的利用途径有助于正确判断应对的紧迫程度。关于账户被入侵后会发生什么,请参阅被黑客攻击后会怎样一文。一般来说,泄露数据会经历以下阶段扩散。首先,攻击者将窃取的数据在暗网市场上出售。根据 Chainalysis 2024 年报告,暗网数据交易市场的年交易额估计超过 15 亿美元。出售的数据被多个买家购买,用作凭证填充攻击的输入列表。随着时间推移,数据会作为免费数据库公开,任何人都可以访问。也就是说,泄露后时间越长,攻击者越多,风险呈加速增长。收到泄露通知后,请以"数小时内"而非"数天内"为目标进行应对。
哈希密码的破解过程
如果密码的哈希值被泄露,攻击者可能正在尝试离线破解。哈希化是通过单向函数将密码转换为固定长度字符串的处理,理论上无法还原为原始密码。但实际上,攻击者会使用预先计算了大量候选密码哈希值的彩虹表,或利用 GPU 进行暴力破解。
破解难度因哈希算法而异。 MD5 和 SHA-1 等旧算法计算速度快,使用最新 GPU(NVIDIA RTX 4090)每秒可尝试约 1640 亿次 MD5 哈希,8 位字母数字密码几分钟内即可破解。而 bcrypt 和 Argon2 等现代算法采用了故意减慢计算速度的设计(拉伸),即使使用同样的 GPU 也只能每秒尝试数万次。由于泄露源服务使用的算法通常不会公开,请假设最坏情况并尽快更改密码。
密码更改的优先级
确认泄露后,请分阶段更改密码。试图一次性更改所有密码会造成混乱,因此请按优先级进行应对。关于密码重复使用为何危险,请参阅密码重复使用的危险性。
最高优先级:泄露服务的密码
首先,立即更改被泄露服务的密码。请使用 Passtsuku.com 生成 20 个字符以上、包含大写字母、小写字母、数字和符号的密码。关于泄露后的初步应对,数据泄露初步应对相关书籍 (Amazon) 也可供参考。
高优先级:使用相同密码的其他服务
如果其他服务使用了与泄露服务相同的密码,也请尽快更改。攻击者会通过凭证填充攻击尝试入侵其他服务,因此重复使用的密码是最大的风险。根据 Verizon 2024 年 DBIR(数据泄露调查报告),约 31% 的泄露相关事件涉及被盗凭证,密码重复使用是扩大损害的主要因素。
中优先级:电子邮件账户
电子邮件账户尤为重要,因为许多服务的密码重置都依赖它。为安全起见,也请更改在泄露服务中注册的电子邮件地址的密码。
一般优先级:金融服务和重要账户
还请检查并更新与资金直接相关的账户密码,如网上银行、证券账户和支付服务等。
使用 Have I Been Pwned 确认泄露情况
Have I Been Pwned(HIBP)是安全研究员 Troy Hunt 运营的免费服务,可以确认您的电子邮件地址或密码是否包含在过去的数据泄露事件中。截至 2024 年,HIBP 已登记超过 140 亿条泄露账户信息,覆盖 800 多起泄露事件。
使用方法很简单。只需访问 haveibeenpwned.com 并输入电子邮件地址,即可显示包含该地址的泄露数据库列表。如果发现泄露,请立即更改相关服务的密码。
HIBP 还提供名为"Pwned Passwords"的功能,可以确认特定密码是否包含在过去的泄露数据中。该功能采用 k-匿名性(k-Anonymity)技术,仅将密码 SHA-1 哈希值的前 5 个字符发送到 API,其余匹配在本地完成,因此确认对象的密码本身不会泄露到外部。使用 Passtsuku.com 生成的随机密码包含在泄露数据库中的可能性极低,但确认一下会更安心。关于泄露数据在暗网上的交易方式,请参阅暗网与密码泄露的关系。
确认并启用两步验证
发生数据泄露时,请在更改密码的同时确认两步验证的状态。如果已经启用,请确认认证应用的密钥是否泄露,必要时重新设置。
如果还有未启用两步验证的服务,请借此机会进行设置。即使密码泄露,启用两步验证也能大大提高防止未授权登录的可能性。关于两步验证的机制和设置方法,请参阅两步验证的重要性。要在泄露后加强账户保护,FIDO2 硬件安全密钥相关产品 (Amazon) 也可供参考。
一个常见的误解是认为基于短信的两步验证就足够安全,但通过 SIM 卡交换攻击拦截短信的案例正在增加。美国 FBI 报告称 2023 年 SIM 卡交换攻击造成的损失达到 4860 万美元。如果可能,请优先设置认证应用(TOTP)或硬件安全密钥。比较各认证方式的抗钓鱼能力:短信因拦截风险最弱,TOTP 应用对实时钓鱼仍有脆弱性,FIDO2 安全密钥通过来源验证具有最高的抗钓鱼能力。
泄露后的应对检查清单
这是收到数据泄露通知时确保全面应对的实用检查清单。请从上到下依次执行。
- 在官方网站确认通知的真伪(不要点击邮件中的链接)
- 掌握泄露信息的类型和范围
- 使用 Passtsuku.com 将泄露服务的密码更改为 20 个字符以上
- 找出所有使用相同密码的服务,逐一更改
- 更改电子邮件账户的密码
- 检查并更新金融服务的密码
- 为尚未设置两步验证的服务启用两步验证(推荐 TOTP 或安全密钥)
- 在 Have I Been Pwned 上确认电子邮件地址的泄露情况
- 如果信用卡信息泄露,请联系发卡公司申请重新发卡
- 检查可疑的登录记录和账户活动
- 将所有新密码保存到密码管理器中
使用 Passtsuku.com 批量更新密码
当需要一次性更新多个服务的密码时,Passtsuku.com 的批量生成功能非常有用。将生成数量设置为需要更新的服务数量,即可批量生成密码。
推荐的步骤如下。
- 在 Passtsuku.com 上设置 20 个字符以上,并开启全部 4 种字符类型
- 批量生成与需要更新的服务数量相同的密码
- 将生成的密码保存到密码管理器中
- 按优先级依次更改各服务的密码
- 从已完成更改的服务开始启用两步验证
Passtsuku.com 生成的所有密码都基于加密安全的随机数,每个服务的密码都是完全不同的字符串。即使一个密码泄露,也不会影响其他服务。
防止再次发生的对策
完成数据泄露的应对后,请采取预防措施以将未来的损害降到最低。
- 为所有服务使用不同的密码。使用 Passtsuku.com 逐一生成
- 尽可能启用两步验证
- 注册 Have I Been Pwned 的通知功能,及早发现新的泄露
- 定期检查可疑的登录通知和账户活动
- 如果信用卡信息泄露,请联系发卡公司申请重新发卡
一个常见的误解是认为"大型服务很安全"或"我不会成为目标"。泄露数据并非针对特定个人进行利用,而是通过自动化工具对大量账户同时发起攻击。泄露数据库中的所有账户都面临同等风险,因此不可掉以轻心。如果不断收到泄露通知和更改密码让您感到疲惫,您并不孤单,请参阅安全疲劳与倦怠一文了解如何在不精疲力竭的情况下保持安全。事件响应的基础在于事前准备和迅速的初步行动。虽然数据泄露难以完全防止,但通过适当的准备和迅速的应对可以将损害降到最低。请使用 Passtsuku.com 为每个服务设置强密码,为可能的泄露做好准备。
现在就能做的事
- 在 Have I Been Pwned (haveibeenpwned.com) 上确认您的电子邮件地址是否在泄露列表中,并注册通知功能
- 立即使用 Passtsuku.com 将已确认泄露的服务密码更改为 20 个字符以上
- 找出所有使用相同密码的服务,将每个更改为独立的随机密码
常见问题
- 如何检查我的密码是否已泄露?
- 在 Have I Been Pwned (haveibeenpwned.com) 输入您的邮箱地址,可以检查是否出现在已知的泄露数据库中。Google Chrome 的密码检查功能也可以批量检查已保存密码的泄露情况。
- 收到数据泄露通知后首先应该做什么?
- 立即更改受影响服务的密码。如果您在其他服务上也使用了相同的密码,也需要全部更改。然后启用双因素认证,并检查是否有可疑的登录活动。
- 如果信用卡信息泄露了该怎么办?
- 联系发卡机构冻结卡片并申请补发。检查近期账单是否有未授权的交易,如有需要请提出争议。同时删除在线购物网站上保存的卡片信息。
这篇文章对您有帮助吗?