p/n504jz

@plurkwork

Thu, Jan 17, 2019 2:01 AM

Sun, Jan 20, 2019 2:36 PM

1395

1420

[資訊安全宣導] 近期網路上又有大規模的帳號密碼洩漏事件，因此再次提醒大家除了維持密碼一定的複雜度外，千萬不要在所有的網站共用同一組密碼！
如果想要更進一步保護你的噗浪帳號，也建議你啟用噗浪的雙重身分認證 [2FA]，詳細方式可以參考這則訊息：

@plurkwork - [網路安全新功能] 雙重身分認證 (2FA)為了保護您的帳號安全，噗浪現在支援...

另外~
你也可利用這個工具來測試你目前所使用的密碼是否有出現在其他密碼洩漏事件中，如果有的話，請盡快更新你的密碼！

噗浪技術部🛠

@plurkwork

Thu, Jan 17, 2019 2:04 AM

同時也建議大家隨時檢視已登入裝置，看看有沒有不明的人士登入您的噗浪帳號

晚安小五

@s862342003

Thu, Jan 17, 2019 2:04 AM

我剛剛也收到hibp的警告信了TT

四位守護靈使你充滿決心黑色着信

@s22096

說

Thu, Jan 17, 2019 2:07 AM

沒中槍

阿優優☆好想成為時間管理大師

@sherry3721

說

Thu, Jan 17, 2019 2:13 AM

謝謝ㄐㄐ

🍰羽空

@windicevista

Thu, Jan 17, 2019 2:15 AM

IMGUR也有哭了

孤獨。風

@timplurk

說

Thu, Jan 17, 2019 2:20 AM

~~透過這則噗我才發現設定頁面變得好有質感...~~

smallchou

@smallchou

說

Thu, Jan 17, 2019 2:30 AM

雙重，啟用！可以直接用 Google Authenticator 真是方便～

玄燕*1：30睡覺

@Roof_nesting

Thu, Jan 17, 2019 2:30 AM

想問
如果是郵局帳戶密碼有中也是要去更改密碼嗎？還是只有網站限定？

御風魂@我的超人碧姬

@akana1357

Thu, Jan 17, 2019 2:35 AM

我從十幾年前開始一組密碼闖天下

直到這幾年想越來越多種密碼了

🍰羽空

@windicevista

Thu, Jan 17, 2019 2:35 AM

推authy google的不會幫你同步金鑰

👣安步當車🚚

@shiyee

說

Thu, Jan 17, 2019 2:35 AM

如果網站基本安全的話最簡單的方式是自己簡單加料密碼@qjx;4 之類的

阿唯🌚ドーンだYO

@yui_mitsuki

Thu, Jan 17, 2019 2:36 AM

Google 那套換手機超麻煩

毛茸茸･*･:≡(　ε:)

@SpyMomiji

Thu, Jan 17, 2019 2:36 AM

~~給大家觀賞一下我之前用的爛密碼~~

朝琴／Garry＠紅玫瑰狂戰士

@DL_DeepPit

說

Thu, Jan 17, 2019 2:44 AM

可能會有人對直接把密碼打進去不安，剛打開了F12確認全程的網路傳輸裡沒有密碼原文

🍰羽空

@windicevista

Thu, Jan 17, 2019 2:46 AM

那個是輸入信箱吧

（扌д・）斤

@winter0718

Thu, Jan 17, 2019 2:46 AM

是輸入密碼沒錯

（扌д・）斤

@winter0718

Thu, Jan 17, 2019 2:46 AM

同推authy，比google好用的兩階段
chrome跟手機都能同步

朝琴／Garry＠紅玫瑰狂戰士

@DL_DeepPit

說

Thu, Jan 17, 2019 2:48 AM

API呼叫是用這一個模式︰https：//api．pwnedpasswords．com/range/<HASH首五碼>，而且用的是GET模式

林祖媽

@Linzoma

Thu, Jan 17, 2019 2:49 AM

~~（會不會那個工具本身就是在收集密碼）~~

朝琴／Garry＠紅玫瑰狂戰士

@DL_DeepPit

說

Thu, Jan 17, 2019 2:50 AM

林祖媽 : ~~你只要再查一次看有沒有就知道了(X~~

真的有喜歡...💍

@sherry84922

Thu, Jan 17, 2019 2:50 AM

林祖媽 : ~~一瞬間我也這麼想呢~~

朝琴／Garry＠紅玫瑰狂戰士

@DL_DeepPit

說

Thu, Jan 17, 2019 2:50 AM

不過傳輸上並沒有把密碼明文傳過去啦

Hinaru|ω•)ﾉ🏳️‍🌈

@hinaru

Thu, Jan 17, 2019 2:52 AM

同推 Authy，或者 iOS 的 OTP Auth 都比 Google Authenticator 好用。
~~想到上次換手機，同一個備份檔到新手機，Google Authenticator 裡面的 3x個帳號只剩5個~~

Irvin

@irvinfly

說

Thu, Jan 17, 2019 2:55 AM

Mozilla 有一個 Firefox Monitor 服務，也可以幫忙檢查密碼是否有在任何已知外洩事件曝光（其實也是跟 HIBP 合作）

Find out if you’ve been part of a data breach

朝琴／Garry＠紅玫瑰狂戰士

@DL_DeepPit

說

Thu, Jan 17, 2019 3:03 AM

~~話說噗浪有考慮利用那個API在註冊時加入一個即時pwned檢查嗎~~

ฅ[ΦωΦ]ฅ鈴鹿凜

@ZEKO_ZERO

Thu, Jan 17, 2019 3:03 AM

建議各位，最好將信箱的整合功能或同步功能暫時取消，再來檢查整合、同步和副本/密件副本等等設定，因為許多Mail的智慧手機版本或平板電腦版本，預設簡約介面，不會顯示副本/密件副本；而同步跟整合就不用說了，竊取者/駭客就只要設定後等你改密碼信件同步或整合過去。(說明講的很複雜，但竊取者/駭客通常只要軟體操作一次就搞定...

阿雨麻吉控

@hp2947

說

Thu, Jan 17, 2019 3:06 AM

家裡的電話XDDDDDDDDDDDDDDDDDDDDDDDD

御風魂@我的超人碧姬

@akana1357

Thu, Jan 17, 2019 3:10 AM

家裡電話去掉區碼........

Zixling

@Zixling

說

Thu, Jan 17, 2019 3:13 AM

謝謝技技

yuie

@yuiejiang

說

Thu, Jan 17, 2019 3:40 AM

Thu, Jan 17, 2019 4:56 AM

結果我掃出來最安全的是yahoo信箱

籬右子🍐委託募集中

@6323yuki

Thu, Jan 17, 2019 3:59 AM

Outlook中槍

(ﾉ´∀｀*)っ瑞

@kanar

Thu, Jan 17, 2019 4:28 AM

~~一直懷疑那個網站本身是否就有問題~~

1★強化用肥料幼狼

@Boywolf

說

Thu, Jan 17, 2019 4:43 AM

不建議在任何陌生網站打入你自己任何一個帳號的密碼

豪哥

@ggl59

Thu, Jan 17, 2019 4:47 AM

🍰羽空

@windicevista

Thu, Jan 17, 2019 4:47 AM

怕就不要用030 反正你不去輸入你也是無法得知有沒有洩漏駭客偷偷來你也不知不覺

鎖河的安納塔

@cutecutechen0509

Thu, Jan 17, 2019 4:55 AM

打太快了

估狗了一下，這個網站被很多人推薦

維斯坦茲@無職中

@JLChnToZ

Thu, Jan 17, 2019 5:09 AM

丟個密碼的SHA1首5碼怕甚麼被傳送出去？
單憑首5碼基本上很難推敲你輸入了甚麼
因為可能性太多了
整串SHA1有40個碼啊

神奇小雪™電腦網路監控諮詢處

@yukinagado

Thu, Jan 17, 2019 5:17 AM

技技對不起我現在才知道有雙重認證QQQ

天佑臺灣 chlnan

@chlnan

說

Thu, Jan 17, 2019 5:22 AM

子胥( ;б;ｴ;б; )

@iLYs

Thu, Jan 17, 2019 5:31 AM

!!!我最常用的密碼超不安全

庌琉酸

@tinling3188

Thu, Jan 17, 2019 5:46 AM

對於HIPB有疑慮的人可以參考這篇解說

Should I use Have I been pwned (HIBP) ? - Vertex Sec...

雖然還是取決於你要不要相信

Is "Have I Been Pwned's" Pwned Passwords List really...

這裡有創建人親自上來回覆，不過主要是在解釋他們的密碼生成方式

🏳️‍🌈無靨♦普通社畜

@a4575421

Thu, Jan 17, 2019 6:04 AM

已經用了

朝琴／Garry＠紅玫瑰狂戰士

@DL_DeepPit

說

Thu, Jan 17, 2019 6:07 AM

庌琉酸 : HIPB現在的V2API已經不再把整個HASH/明文密碼傳出去，基本不用擔心泄漏密碼了~~除非用的瀏覽器本身有漏洞~~

噗浪技術部🛠

@plurkwork

Thu, Jan 17, 2019 6:07 AM

Thu, Jan 17, 2019 6:11 AM

感謝以上噗友解說，基本上 HIBP 是蠻有名的一個密碼洩漏事件檢測網站，運作的程式碼也都看得到，應該是可以信任的。否則你就必須自行去找到並下載數十億筆的洩漏名單，然後比對你自己的帳號密碼。

如果你還是不想在線上輸入密碼，至少可以用 HIBP
的服務輸入 email 來先行檢測帳號是否有洩漏過，也可以使用訂閱的功能在未來被曝露在有新的洩漏事件時通知你。

如果 email 被判斷有洩漏過，就建議再去檢測一下密碼是否安全。

朝琴／Garry＠紅玫瑰狂戰士

@DL_DeepPit

說

Thu, Jan 17, 2019 6:11 AM

如果還是怕那網站有其他API會讀取密碼欄內的資料的話，可以自己安裝XAMPP然後在localhost裡調試，順便貼一下用cURL的PHP程式碼

御風魂@我的超人碧姬

@akana1357

Thu, Jan 17, 2019 6:20 AM

(換email測試輸入)yahoo帳號不知道洩漏幾次了乾

naturejane

@naturejane

說

Thu, Jan 17, 2019 6:38 AM

♪馬爾馬拉海♪

@seaslug

Thu, Jan 17, 2019 9:50 AM

擔心的話不要直接整組密碼打上啊，保留後面幾碼不打可能就已經安全了

噗浪技術部🛠

@plurkwork

Thu, Jan 17, 2019 11:38 AM

♪馬爾馬拉海♪ : 不一定喔，由於這個網站避免傳送明碼的特殊檢測方式，有可能少打幾碼是判斷成未被洩漏的密碼，但全打出來却是洩漏的

真真🐈🐈‍⬛

@neko925

Thu, Jan 17, 2019 12:10 PM

工具網站寫英文，測完完全看不懂

噗浪技術部🛠

@plurkwork

Thu, Jan 17, 2019 12:13 PM

Thu, Jan 17, 2019 12:19 PM

如果測完是
1. Oh no — pwned! - 代表這個密碼曾經洩漏過
2. Good news — no pwnage found! - 代表這個密碼未曾洩漏過

但即使檢測出來密碼曾經洩漏過，也不一定是會與你的帳號有關聯，可能只是別人使用了相同的密碼被洩漏。
不過如果你認為這個密碼應該是你自創獨一無二的，卻被檢測洩漏過，或者用前述檢測 email 也有洩漏狀況，那就不安全了

朝琴／Garry＠紅玫瑰狂戰士

@DL_DeepPit

說

Thu, Jan 17, 2019 1:13 PM

♪馬爾馬拉海♪ : 因為傳送的是密碼的哈希前幾碼，而哈希對於輸入很敏感，所以後面漏了一個字結果都會完全不同