自助檢查密碼 外洩網站變開源 Have I Been Pwned推自動匯入資料工具

自助檢查密碼 外洩網站變開源 Have I Been Pwned推自動匯入資料工具

專門開放讓網民 自助檢查密碼 及電郵地址曾否被外洩的網站 Have I Been Pwned ,宣布已通過 .NET 基金會成為開源項目,計劃提供 API 接口,供其他機構將相關資料匯入,建立一個更齊全的外洩查詢網站。美國 FBI 已確認未來會將手上資料匯入網站,實在是一個好消息!

目錄

自助檢查密碼外洩網站之誕生

FBI確認提供外洩數據

查閱敏感資料須確認身份

外洩事故其他檢查方法

自助檢查密碼 外洩網站之誕生

 Have I Been Pwned 網站由安全研究人員 Troy Hunt 於 2013 年創立,他會將已曝光的個人私隱資料放進資料庫,至今網站已儲存了超過 100 億個外洩帳戶資料, Facebook 於 2019 年外洩的 5.3 億用戶資料亦被收錄其中。網站每月的使用量更高達 10 億次,可說是最知名的 DIY 檢查網站。Have I Been Pwned 的使用方法非常簡單,只要進入網站並輸入自己的電郵帳戶即可,系統便會顯示該電郵地址曾涉及哪一次外洩事故。另外,網民也可選擇輸入自己的密碼,查詢這組密碼是否曾被外洩。

FBI確認提供外洩數據

FBI 今次決定提供資料予 Have I Been Pwned ,發言人指原因是了解到網站的確有助公眾查閱自己曾否被牽涉入外洩事故之中,如有發現可盡早修改使用相關電郵地址作登記的帳戶,減少個人帳戶被盜用作非法用途的情況,特別是有不少人會採用相同電郵、密碼登記不同帳戶,因此才有今次的決定。不過, FBI 表明有關資料不會以明文(plain text)傳送,而是會經過 SHA-1 及 NTML 演算法加密資料,因此不用擔心過程中會出現二次外洩。

查閱敏感資料須確認身份

事實上, Have I Been Pwned 網站接收執法機關提供的外洩資料已非首次,例如銀行木馬病毒 Emotet 集團年初被國際刑警取締時檢獲的 430 萬筆電郵地址資料,便早已交予 Have I Been Pwned 網站。不過,由於有部分電郵地址屬於企業或政府機構,未必適合開放讓公眾查詢,因此必須當事人通過帳戶驗證後,網站才會將查詢結果直接電郵給對方。

今次經 .NET 基金會成為開源項目後,其他機構便可使用其特製的 API 接口,將手頭上持有的電郵外洩資料匯入 Have I Been Pwned 的資料庫,建構一個更會完整的外洩自助檢查網站。

外洩事故其他檢查方法

Google Chrome 的密碼管理服務,除了可記下用戶的不同帳戶登入資料,它更會自動為用戶監控所使用的登入資料有否涉及外洩事故,如有發現便會發出警告及建議用戶立即修改。而在最近 Google 更宣布會推出升值功能,新的 Chrome 密碼管理服務更會配合人工智能 Duplex on the Web ,如用戶有需要更改其他帳戶的密碼,人工智能便會自動引領用戶完成整個修改程序,毋須再由用戶自己到目標網站尋找,非常方便,為定期修改密碼提供強大誘因。

詳情:https://zd.net/3c88Yaa