为什么重复使用密码很危险？

当一个服务的密码泄露时，攻击者会自动在其他服务上尝试这些凭据（撞库攻击）。重复使用密码意味着一次泄露会危及所有账户。

稍微修改的密码（如 password1、password2）安全吗？

不安全。攻击者会自动尝试对泄露密码进行末尾数字更改或添加符号等变换。请为每个服务使用完全随机的不同密码。

如何检查自己的密码是否已泄露？

在 Have I Been Pwned (haveibeenpwned.com) 输入邮箱地址，可以确认是否包含在过去的数据泄露中。如果发现泄露，请立即更改相关服务的密码。

密码重复使用的危险性

本文约需 9 分钟阅读

密码重复使用是最危险的习惯，一个服务的泄露可能直接导致所有账户被入侵。仅一次数据泄露，就可能导致电子邮件、社交媒体和金融服务账户被连锁劫持。

你是否因为"记密码太麻烦"而在多个服务中重复使用同一个密码？ Google 和 Harris Poll 2019 年的联合调查显示， 65% 的受访者在多个服务中重复使用相同密码。截至 2025 年，情况并未显著改善 - Bitwarden 2024 年的调查显示， 36% 的受访者仍然依赖记忆来管理密码。本文将从攻击手法的角度解释密码重复使用的危险性，并介绍如何利用 passtsuku.com 进行安全管理。

什么是凭证填充攻击？

凭证填充是一种攻击方式，攻击者将过去数据泄露中流出的电子邮件和密码组合（凭证）自动大量输入到其他服务的登录页面，以尝试非法访问。攻击者使用专用工具在短时间内尝试数百万个凭证。

这种攻击成功的最大因素是密码重复使用。如果你在其他服务上使用了从某个服务泄露的相同密码，攻击者就能成功登录。根据 Verizon 2024 年数据泄露调查报告 (DBIR)，约 31% 的 Web 应用程序入侵源于被盗的凭证，凭证填充攻击的成功率估计为 0.1-2%。由于尝试次数达数百万次，实际受害数量是巨大的。

这种攻击之所以能高效运作，背后是自动化工具的进化。攻击者使用配备 CAPTCHA 绕过和代理轮换功能的专用工具，每小时可执行数十万次登录尝试。此外，泄露的数据库在暗网上以低价交易，数亿条凭证列表仅需几十美元即可获得。由于攻击成本极低，即使成功率只有 0.1% 也足以获利。

容易与凭证填充混淆的攻击是密码喷洒攻击。密码喷洒是对大量账户尝试"123456"、"password"等常见密码的手法，不需要泄露数据。而凭证填充使用的是实际泄露的"正确"凭证，因此成功率要高得多。

密码泄露是如何发生的？

密码泄露不仅因个人用户的疏忽而发生，也会因服务提供商的安全漏洞而发生。过去，大型社交媒体平台、在线购物网站、云服务等各行各业都报告了大规模数据泄露事件。根据 IBM 2024 年数据泄露成本报告，每次数据泄露的平均损失达 488 万美元，从发现到遏制的平均时间为 258 天。

泄露的凭证在暗网上被买卖，最终落入攻击者手中。从泄露到攻击的时间差很短，信息泄露后数小时内就遭到非法访问尝试的情况并不罕见。由于无法预测你使用的服务何时会成为泄露目标，事前防范至关重要。关于泄露发生时的具体应对步骤，请参阅数据泄露发生时的应对方法。

泄露的主要原因

通过非法入侵服务器窃取数据库
内部人员泄露信息
因配置错误导致数据公开暴露
通过钓鱼攻击窃取认证信息
因恶意软件感染通过键盘记录器记录

一个常见的误解是认为"大型服务是安全的"，但实际上，即使是大型企业也反复发生大规模泄露事件。无论服务规模大小，避免密码重复使用是最可靠的自我保护措施。

密码重复使用导致的连锁损害

当你重复使用密码时，一个服务的泄露可能引发连锁损害。例如，即使你认为不重要的游戏网站密码泄露了，如果你的电子邮件账户使用了相同的密码，你的邮箱就会被劫持。

一旦电子邮件账户被劫持，就可以重置其他服务的密码，存在连锁入侵与银行账户和信用卡信息关联的服务的风险。这种连锁反应的原理很简单：大多数在线服务都使用电子邮件作为密码重置的手段。电子邮件账户实际上充当了所有在线账户的"万能钥匙"，一旦被突破，整个防线就会瞬间崩溃。关于利用密码重置功能的攻击详情，请参阅密码恢复的陷阱。要打破这种连锁反应，只能为每个服务设置不同的密码。

需要注意的是，只更改密码的一部分来重复使用（例如："MyPass_Amazon"、"MyPass_Google"）的模式也是危险的。攻击者会自动生成并尝试这些派生模式，因此这不是根本性的对策。具体来说，攻击工具具有"基于规则的转换"功能，可以对泄露的密码自动应用数百种转换，如添加服务名称、递增数字、大小写互换等。你需要为每个服务使用完全不同的随机字符串。家庭成员之间共享密码也存在类似的风险。

关于家庭成员之间共享密码的风险和安全共享方法，请参阅家庭密码共享指南。

要系统地了解密码重复使用的危险性，Amazon 上的信息安全风险管理相关书籍也可作为参考。

停止密码重复使用的实践清单

为那些了解密码重复使用的危险性但不知从何入手的人，我们准备了按优先级排列的实践清单。不需要一次完成所有事项，请从上到下依次进行。

最优先更改电子邮件账户密码（因为它是所有账户的起点）
更改金融服务（银行、证券、支付）的密码
更改社交媒体账户密码（防止被劫持后的二次损害）
更改电商网站（注册了信用卡信息的服务）的密码
在支持的服务上启用双重认证
依次更改其余服务的密码

更改每个密码时，请使用 passtsuku.com 生成 16 个字符以上的随机密码，并将其注册到密码管理器中。使用密码管理器，即使为数十个服务设置了不同的密码，你只需要记住一个主密码。

使用 passtsuku.com 的批量生成功能安全运营

即使被告知要为每个服务设置不同的密码，当你使用数十个服务时，手动管理是不现实的。这就是 passtsuku.com 的批量生成功能派上用场的地方。

使用 passtsuku.com，你可以通过指定生成数量一次创建多个密码。例如，如果你想更改 10 个服务的密码，只需将生成数量设置为 10，就会立即为每个服务生成不同的随机密码。生成的密码可以使用批量复制功能一次性复制到剪贴板，使密码管理器的注册工作更加高效。

密码管理方法比较

停止密码重复使用后，下一个课题是如何管理多个密码。以下比较主要管理方法的优缺点。

专用密码管理器：在加密保险库中集中管理，支持自动填充。主密码的管理是最重要的课题。详情请参阅密码管理最佳实践
浏览器内置保存功能：方便，但跨浏览器同步和安全级别因产品而异。在共享 PC 环境中需要注意
纸质笔记：由于离线，对远程攻击有抵抗力，但存在物理丢失或被盗的风险。需要保存在保险箱等安全的地方
电子表格或文本文件：由于未加密，不推荐使用。如果 PC 感染了恶意软件，所有密码可能一次性泄露

如何检查密码泄露

你可以使用可信的泄露检查服务来确认自己的电子邮件地址或密码是否包含在过去的泄露事件中。 Have I Been Pwned 是安全研究员 Troy Hunt 运营的服务，数据库中拥有超过 130 亿条泄露记录。请定期检查，如果确认泄露，请立即更改相关服务的密码。届时，使用 passtsuku.com 生成新的随机密码，可以快速准备安全的字符串。

关于泄露数据如何在暗网上流通和被利用的详情，请参阅暗网与密码泄露的关系。

总结 - 停止密码重复使用的第一步

密码重复使用是凭证填充攻击的首要目标。你不需要一次更改所有服务的密码。首先从金融服务和电子邮件账户等高优先级服务开始，切换到使用 passtsuku.com 生成的唯一密码。使用批量生成功能，你可以高效地准备多个密码。一小步就能大大提高所有账户的安全性。

现在就能做的事

使用 passtsuku.com 生成 16 个字符以上的密码，更改主要电子邮件账户的密码（电子邮件是所有账户的起点）
在 Have I Been Pwned (haveibeenpwned.com) 上检查你的电子邮件地址是否包含在泄露列表中
列出你正在重复使用的密码，从金融服务开始依次更改为独立密码
引入密码管理器，集中管理每个服务的不同密码
在重要账户上设置双重认证，防止密码泄露时的损害

常见问题

为什么重复使用密码很危险？: 当一个服务的密码泄露时，攻击者会自动在其他服务上尝试这些凭据（撞库攻击）。重复使用密码意味着一次泄露会危及所有账户。
稍微修改的密码（如 password1、password2）安全吗？: 不安全。攻击者会自动尝试对泄露密码进行末尾数字更改或添加符号等变换。请为每个服务使用完全随机的不同密码。
如何检查自己的密码是否已泄露？: 在 Have I Been Pwned (haveibeenpwned.com) 输入邮箱地址，可以确认是否包含在过去的数据泄露中。如果发现泄露，请立即更改相关服务的密码。

这篇文章对您有帮助吗？

生成密码 →