你密码泄露了吗？

七年前，我的博客域名被盗，二级域名被挂了一大堆垃圾链接。

当时我通过朋友找到一个白帽子黑客X哥，X哥在他的社工库帮我查了一下，立刻就知道我是DNSPOD账户被盗，而年少无知的我在Godaddy使用了同一套密码组合，于是被人撞库。

后来虽然历经曲折找了回来，但那个域名基本上就报废了。

从这以后，我记住了一件事——

在互联网上使用同一套邮箱/用户名+密码组合

无异于自杀

后来，有一次我输入密码的时候，Safari浏览器弹出一个提醒，吓出我一身冷汗。

看来以前真的是无知，竟然一个密码闯荡互联网。没有被锤得太惨，真是是不幸中的万幸。

Safari除了提醒我有相同密码之外，还提醒我这个密码已经被泄露了。

这让我十分好奇，究竟自己的哪些密码泄露了，毕竟这些年陆陆续续听说太多网站遭遇不同规模的用户信息泄露，有些面积之广、影响之深让人后怕。

最简单直接的方法是通过传说中的各种“社工库”来查询，但我想了想还是放弃了，谁知道这些地方会不会是“钓鱼”呢？

一番折腾之下，发现有两种比较简单有效的方法。

1

通过Have I Been Pwned 网站

「haveibeenpwned.com」这个网站是澳大利亚网络安全专家Troy Hunt在2013年12月4日创建的，目前收集了496个发生数据泄露网站的100亿个泄露账号信息。

我查了一下自己的几个常用邮箱，基本上都沦陷了，最多的一个邮箱在9个网站被泄露。

不过，这个网站只能查询账户泄露的情况，密码是否泄露则未可知。

2

通过 1Password管理器

「1Password」是一款很有名的密码管理器，它有一个叫做“pwned password”的功能，可以直接验证你的密码是否被泄露。

其实，“pwned password”也是上面提到的那位Troy Hunt开发的，但被「1Password」整合，其工作原理还是把已经泄露的密码数据集成到数据库中，再通过对比检查。

也许你要问，这样不也可能导致自己的密码被「1Password」获取吗？

这就是「1Password」比一般“社工库”安全的地方。

“pwned password”使用SHA-1散列算法散列密码，检验时仅会将40个字符散列的前五个字符上传网络，“pwned password”即会回传符合前5个字元的所有密码，再于「1Password」端进行比对，所以相对来说安全得多。

无论你的邮箱和密码是否已经泄露，都要养成良好的使用习惯。这些习惯包括但不仅限于以下7条：

不要随意注册

定期更换密码

尽量设置二级验证

不同地方使用不同密码

不重要的地方使用备用邮箱和手机号

不重要的地方使用系统随机密码或验证码

使用1Password、Lastpass等密码管理器

感觉有些繁琐有些累，但是和真正遇到泄露事件之后的麻烦相比，这点儿实在算不上什么，相信我。