网络安全专家发现了一批被公开的数据集,其中包含160亿条由信息窃取恶意软件获取的登录凭证。不过,只要遵循良好的密码安全守则,用户仍可安然无恙。
生活中总有人——或许就是您本人——会定期提醒家人注意密码安全的重要性。虽然常会遭遇白眼和不耐烦的敷衍,但最新曝光的这起数据泄露事件或许能让人真正重视起来。
网络安全媒体Cybernews研究团队发现,30个包含超160亿条被盗凭证的数据集曾在网上短暂出现。研究人员尚未查明这些数据集的所有者,但其规模之巨足以令绝大多数数据泄露事件黯然失色。每个数据集包含的凭证数量从数千万到35亿不等,每条记录都包含网址、登录名和密码信息。
由于不同数据集间存在重复,目前难以估算实际受影响人数。其中最大的数据库包含35亿条记录,主要涉及葡萄牙语用户;另有4.45亿条记录来自俄罗斯用户。从苹果到Telegram、Facebook等各类应用服务的登录信息均有涉及,仅Telegram就有至少6000万条记录遭泄露。
这些数据似乎源自恶意软件和信息窃取程序。它们既可能感染个人设备,也可能直接攻击网站,因此很难归咎于特定主体。
面对如此惊人的数据泄露,我们更应意识到:仅靠用户名密码的认证方式早已过时。首要之务是必须使用密码管理器——这已不仅是便利工具,更是数字生命线。无论使用iPhone、Android、Windows、Mac还是Linux设备,都有相应解决方案。以苹果的“密码”应用为例,它能预警重复使用的密码,并直接跳转网站进行修改。1Password(1密码)等付费服务还能在登录信息出现在已知泄露事件时发出警报。
对多数用户而言,设备自带的密码管理器已足够使用。重点不在于存储功能,而在于其核心价值:确保每个密码都是独一无二的。以笔者为例,密码管理器里保存着429条由苹果随机生成的独立密码。
其次,要为所有支持双重认证的账户启用该功能。虽然短信验证可能遭遇SIM卡交换攻击,但总比没有防护强。若应用支持验证码生成器,苹果“密码”应用同样能生成动态码;遇到二维码时,长按即可通过“密码”应用打开。
完成这些设置后,仅需面容ID或触控ID即可登录所有账户,无需记忆任何凭证。用户还可配合苹果的“隐藏邮件地址”功能创建账户,既能减少垃圾邮件,又能增加黑客关联账户的难度。
最新防护手段是通行密钥(passkeys),其通过硬件设备配合生物识别来替代传统密码。虽然部分应用将其误用作双重认证,但仍是安全升级。在极端情况下,用户还可使用U盘等物理安全密钥进行认证,不过这类措施通常仅建议政要、公众人物等可能遭遇定向攻击的人群采用。
这160亿条凭证很可能被用于设计钓鱼骗局以获取更多用户数据。需谨记:安全防护中最薄弱的环节永远是人。切勿点击陌生号码或邮件中的链接,拒绝在电话中透露个人信息(除非确认对方身份)。iOS 26系统已为未知来电和短信设立独立分类,进一步降低受骗风险。
虽然建立完善的安全体系需要时间投入,但一旦完成设置,即便发生数据泄露事件,您也无需再为用户名密码而担忧。良好的网络安全习惯,永远是抵御犯罪的最佳防线。
