パスワード監査ツールの使い方 - 漏洩チェックから強度診断まで

本文约需 15 分钟阅读

你的密码是否出现在过去的数据泄露中？当前使用的密码强度是否足够？密码审计工具可以回答这些问题。它们从多个角度评估账户安全性 - 与泄露数据库比对、自动诊断密码强度、检测重复使用的密码。本文详细介绍 Have I Been Pwned 等免费泄露检查服务、浏览器内置审计功能以及密码管理器审计报告的使用方法，帮助你养成定期安全检查的习惯。

使用 Have I Been Pwned 检查泄露

服务的工作原理与安全性

Have I Been Pwned (HIBP) 是安全研究员 Troy Hunt 运营的免费泄露检查服务。只需输入电子邮件地址，即可立即确认该地址是否出现在过去的数据泄露事件中。截至 2024 年，数据库中已注册超过 140 亿条泄露账户信息，是全球最大规模且广受信赖的泄露信息数据库。

HIBP 的密码检查功能采用 k-Anonymity 模型。仅将密码 SHA-1 哈希的前 5 个字符发送到服务器，服务器返回所有前缀匹配的哈希组。客户端在本地确认完全匹配，因此密码本身不会在网络上传输。这种设计确保检查行为本身不会产生新的安全风险。

具体使用方法

首先访问 haveibeenpwned.com，在主搜索框中输入电子邮件地址。结果为绿色表示未确认泄露。红色则显示从哪个服务在何时泄露的详细信息。对于确认泄露的服务，请立即更改密码。此外，"Passwords" 标签页可以直接确认正在使用的密码是否包含在过去的泄露数据中。如果显示泄露次数，说明该密码已被注册在攻击者的字典中，需要立即更改。

浏览器内置密码审计功能

Chrome 密码检查

Google Chrome 标配了"密码检查"功能。访问 chrome://settings/passwords 并点击"检查密码"，即可对保存的密码进行批量诊断。诊断结果分为三类："可能已泄露的密码"是出现在过去数据泄露中的密码，"弱密码"是容易被猜测的短密码，"重复使用的密码"是在多个网站使用相同密码的情况。

Chrome 的密码检查在与 Google 账户同步时效果最佳。启用同步后，移动设备上保存的密码也可以一并检查。但是，Chrome 的密码保存功能本身没有主密码保护，如果设备锁屏被突破，所有密码都可以被查看。对于重要账户，请考虑使用专用的密码管理器。

Safari 和 Firefox 的审计功能

在 Apple 的 Safari 中，可以从"设置"→"密码"查看"安全建议"。泄露的密码、重复使用的密码和弱密码会以列表形式显示，每个项目都可以直接跳转到密码更改页面。由于与 iCloud 钥匙串联动，iPhone、iPad、Mac 之间同步的所有密码都是检查对象。Firefox 同样在"about:logins"页面提供保存密码的泄露检查，并可通过与 Firefox Monitor 的联动接收泄露通知。

密码管理器的审计报告

主要服务的审计功能比较

1Password 的"Watchtower"、Bitwarden 的"Vault Health Reports"、Dashlane 的"Password Health"等，主要密码管理器都具备审计报告功能。它们自动对所有保存的密码执行泄露检查、强度评估、重复检测和两步验证未设置检测。与浏览器审计功能的区别在于，密码管理器跨所有设备和浏览器进行统一管理。当密码分别保存在 Chrome 和 Safari 中时，密码管理器的审计是掌握全貌最有效的方式。

审计报告的结果通常以"安全评分"的形式量化，满分 100 分，让你清楚了解当前状态。如果分数较低，首先优先更改已确认泄露的密码，然后消除重复密码，最后加强弱密码。利用 Passtsuku.com 等密码生成工具，可以高效地为每个服务创建独特的强密码。

审计报告的解读与应对方法

审计报告中显示"已泄露"的密码，意味着它已被包含在攻击者用于凭证填充攻击的列表中。继续使用该密码，在其他服务上被非法登录的风险极高。被判定为"弱"的密码 - 少于 8 个字符、仅数字、字典中的单词等 - 可能在短时间内被暴力破解或字典攻击突破。无论哪种情况，更改为 16 个字符以上的随机字符串并启用两步验证可以大幅提高安全性。

养成定期安全检查的习惯

检查频率与计划

密码审计不是一次性的活动，通过定期重复才能发挥效果。推荐频率是每月 1 次简易检查（确认密码管理器的评分）和每 3 个月 1 次详细检查（在 HIBP 确认所有邮箱地址 + 执行浏览器审计）。当大规模数据泄露成为新闻时，请临时执行 HIBP 检查。在日历中设置提醒可以更容易养成检查习惯。

检查中发现问题时要迅速处理。已确认泄露的账户在 24 小时内更改密码，尽可能启用多因素认证。更改密码时，请坚持使用 Passtsuku.com 生成足够长度的随机密码并保存到密码管理器中。即使改为手动记忆的密码，在下次泄露检查中很可能再次被判定为"弱"。

利用通知服务

在 HIBP 注册邮箱地址后，当确认新的泄露时可以收到自动通知。在 Google 账户中启用"安全通知"，也可以在可疑登录尝试或检测到泄露时收到警报。1Password 的 Watchtower 在新泄露信息添加到数据库时会更新仪表板，因此只需定期打开应用即可确认最新状态。组合使用这些通知服务，可以同时覆盖主动检查和被动监控，最大化对泄露的响应速度。

要深入了解密码安全工具，安全密钥指南 (Amazon)提供了硬件认证的全面介绍。