昨天说到研究人员发现了一个命令控制数据库，里面有大量被盗的Facebook，Twitter，雅虎，ADP等用户登录凭据，而这仅仅是近几年各种泄露事件的最新发展。你别指望互联网服务可以保护你的密码;你自己保护密码。

这次发现曝光的两百万登录凭据被盗事件和近几年的其他泄露事件比起来简直小巫见大巫。Adobe的泄露事件就涉及1.5亿用户凭据。

发现了这个僵尸网络和密码数据库的Trustwave没有将其发布出来，但是其他被公布的数据库，你都可以直接搜索到。笔者发现两个网站可以搜索多个数据库。

Troy Hunt的Have I been pwned?( http://haveibeenpwned.com/)网站依靠一次搜索就合并了五次泄露事件的数据库：

152,445,165Adobe账户

859,777 Stratfor 账户

532，659 Gawker账户

453,427雅虎账户

37,103账户

输入邮箱地址，到这个网站来搜索，然后就可以看到结果。笔者有一个邮箱地址在Adobe数据库中，不过由于知道出现了数据泄露，所以笔者前段时间改了密码，而且也没有将其用到其他网站。

 

Hunt在其博客条目中说道，他之所以创建这个网站，主要是为了练习某些特定的Windows Azure技术，但他信任这个服务，希望这个有实际作用。他表示有计划添加新的数据库和新特性，如给予你警告提示，以防你的邮箱地址出现在某个数据库中，以及在某个域名中进行搜索的能力(如@zdnet.com)

另一个网站 Should I Change My Password? (https://shouldichangemypassword.com/) 是前端有偿服务。该网站可提供邮件提醒服务，名曰Email Watchdog邮件看门狗，而且这项服务是免费的。但是，如果你搜索某个地址，且这个地址存在与他们的数据库中，他们是不会给你出示详细信息的，只会告诉你这个地址是否在该数据库中：

 

看似很怪，因为他们“不能告诉你你的邮箱地址是在哪次事件是被泄露的。Haveibeenpwned.com则可以提供这项信息，因为这些信息保存的数据库是按事件记录的。Shouldichangemypassword.co只保存了密码，最近一次泄露事件的日期和泄露次数的哈希值(例如，被泄露到了几个数据库中)。这似乎用处不大。如果是从haveibeenpwned.com发现我的Adobe账户被泄露了，那么我只需更改密码。”

或许shouldichangemypassword.com(Avalanche Technology Group提供的服务)以后会把这一细节作为有偿服务的一部分提供给用户。

不论你的信息是否出现在这些数据库中，最好的策略还是设置高强度密码，而且为每个使用的服务设置不同的密码。光靠脑子是记不住这么多密码的，所以你需要一款密码管家。笔者使用LastPass，其他类似的工具还有1Password和RoboForm等等。

(责任编辑：安博涛)