密码在数据泄露中出现？这是您的应对方法

企业 Passkey 白皮书. 面向 passkey 项目的实用指南、推广模式和 KPI。

获取白皮书

关键事实

当密码在数据泄露中出现时，立即在所有受影响的账户中更改密码，启用MFA并冻结信用，以防止身份盗窃和财务损失。
2024年，美国报告了超过3150起重大数据泄露，高于2020年约1100起，影响了超过13.5亿互联网用户。
凭证重复使用放大了泄露风险：近80%的受访者不在其在线账户中使用不同的密码。
CISA建议密码至少为16个字符长、随机、大小写混合且每个账户唯一，以满足现代安全标准。
2025年第一季度的网络攻击比2024年同期激增了47%，这使得及时的泄露响应比以往任何时候都更加关键。

1. 简介：“此密码已在数据泄露中出现”#

“此密码已在数据泄露中出现”；这是近年来大量计算机、智能手机和平板电脑用户收到的令人担忧的消息。仅在2024年，美国就报告了超过3150起重大数据泄露（高于2020年的约1100起），每次攻击的平均成本接近500万美元。

上述数据泄露影响了超过13.5亿互联网用户，导致了身份盗窃、财务损失和严重的精神困扰案件。随着黑客变得越来越狡猾以及数字安全建议的改变，您可能很难判断自己的在线账户是否真正安全。

2. 账户受损：原因是什么？#

当私营企业遭受网络攻击时，与在线账户关联的唯一密码可能会在数据泄露中出现。黑客使用网络钓鱼等社会工程学战术、智能恶意软件，或者简单地寻找数字系统中的可利用漏洞来获取保存的密码。一旦被攻破，这些被盗数据即可用于访问重要账户、发布在网上或在暗网上出售牟利。了解攻击者如何利用数据渗漏等技术可以帮助开发更强大的防御机制，以应对被盗凭证和数据泄露。

在多个网站上使用相同密码的互联网用户更容易受到数据泄露的攻击，使用弱密码和容易被猜出或暴力破解的登录凭证的用户也是如此。尽管如此，在受访者中，几乎有80%的人没有在不同的在线账户中使用不同的密码，（截至2019年）83%的美国人使用的密码长度不到10个字符。

2.1 凭证安全：如何创建唯一且强大的密码#

根据美国网络安全和基础设施安全局（CISA）的说法，唯一且强大的凭证应该：

长度至少为16个字符。
由大小写字母、数字和符号组成的随机字符串。
每个账户唯一。

更好的做法是尝试使用安全的无密码身份验证方法，例如基于生物特征的通行密钥。

3. 如果您的密码在数据泄露中被泄露，该怎么办？#

虽然遵循凭证安全建议可以在一定程度上帮助保护您免受数据泄露的影响，但如果保存您唯一密码的公司遭到攻击，您的账户可能仍然容易受到攻击。

在这种情况下，知道如何快速有效地应对势在必行。因此，如果您收到了关于密码受损的警告通知，请遵循以下步骤以帮助减轻进一步的损害。

3.1 立即更改您的密码#

处理受损密码的第一步是更改您的凭证。黑客可以使用自动化工具在几分钟内将泄露的密码输入成千上万的热门网站和手机应用程序，因此至关重要的是您必须立即将密码更改为更安全的凭证。

使用密码生成器快速创建符合现代登录安全建议的新账户密码是明智之举，或者您可以使用高安全性的身份验证方法来代替传统密码，例如生物特征验证器或复杂的通行密钥。

在所有涉及数据泄露中使用相同密码的账户上遵循此过程。

3.2 避免受损密码的变体#

与立即更改密码同样重要的是更改该密码在其他账户上的所有变体。人们普遍认为，只需在不同账户使用像_password1_或_password2_这样的变体就能避免_单一密码问题_，这令人惊讶地常见。然而，黑客通常会使用自动化软件自己尝试这些变体，使您的敏感数据处于高风险之中。

如果您正在使用密码管理器来组织和存储密码，找到并更改可能受损的凭证应该不会太难。如果没有，请花时间手动检查并尽可能解决问题，并考虑设置密码管理器以使将来更容易。

3.3 启用多因素身份验证（MFA）#

防止数据泄露的最有效形式之一是在所有数字账户上启用MFA，或至少启用双因素身份验证。根据这一原则，所有账户上至少增加第二种登录凭证，因此即使一个密码被泄露，您的账户也应保持安全。

额外凭证的数量越多，数据泄露的风险越低，其中生物特征和身份验证应用程序等难以伪造或受损的凭证提供了更高级别的安全性。

在防范数据泄露方面，MFA是您的最佳选择，这种方法在安全技术趋势中始终出现，并被像CISA这样值得信赖的机构推荐。

3.4 冻结您的信用#

对身份盗窃和财务损失的担忧通常在担心数据泄露的个人中排名靠前，因此有效的应对措施包括努力保护您的财务账户。如果您的密码在数据泄露中出现，除上述步骤外，请考虑主动冻结您的信用。

您可以通过联系美国三大信用机构（Experian、TransUnion和Equifax）并请求冻结您的信用来做到这一点。这防止了以您的名义开设任何新的信用额度，阻止了黑客和犯罪分子的脚步，即使您的详细信息已经在数据泄露中出现。

3.5 监控与泄露密码相关的账户#

努力更改您的密码、启用MFA并冻结您的信用应有助于阻止对您账户的访问，并保护您的数据免受未来的攻击，但重要的是在前进的过程中保持警惕。

银行账户等高风险系统通常会提供设置_可疑活动_通知的选项，使您能够接收有关异常访问尝试和奇怪登录活动的实时警报。

您还可以使用Google密码检查等在线工具来检测与您账户关联的受损密码，以及专门的暗网监控服务，这些服务会在您的数据在Google未索引的未列出网站上共享时向您发出警告。

4. 结论#

网络攻击和数据泄露每年继续影响数十亿人，2025年第一季度此类事件已经增加了47%。对消费者而言，学习并遵守网络安全最佳实践以最好地保护敏感数据免受黑客攻击，从未像现在这样重要。

如果您受到了数据泄露的影响，以迅速且明智的方式做出响应至关重要。确保立即更改受损密码，设置密码管理器，启用MFA并尽快冻结您的信用。进一步的步骤包括监控您的账户是否存在异常活动，设置暗网警报并用高安全性通行密钥取代传统密码以降低风险水平。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。与 Passkey 专家交谈 →