密码安不安全用新版强度检测工具一测便知

Pwned Passwords 2.0出炉，集成了超过5亿笔外泄密码，可让用户输入个人密码，以检查所使用的密码是否安全。

澳洲安全专家Troy Hunt在上周发布了Pwned Passwords 2.0版，它搜集了更多外泄的帐号与密码，可让用户检查自己所设置的密码是否安全，密码管理服务1Password本周即宣布将集成Pwned Passwords 2.0。

Pwned Passwords为Have I Been Pwned（HIBP）服务的功能之一，HIBP服务可让用户检查自己的个人帐号是否在外泄名单中，Pwned Passwords即是该服务所使用的外泄密码数据库，去年发布的Pwned Passwords 1.0含有逾3.2亿笔外泄密码，最新的Pwned Passwords 2.0则增加到逾5亿笔。

此外，Pwned Passwords 2.0含有一新功能，会在每一笔外泄密码之后显示该密码总计出现多少次，例如在该数据库中，abc123总计出现超过260万次。

虽然这些密码都已经曝光了，但该密码数据库具有重要的参考价值，可让用户检验自己所使用的密码安全性，例如Hunt建议用户采用出现次数低于20次的密码。

1Password本周即宣布在自家网站上集成Pwned Passwords 2.0，用户登录1Password后，即可选择各个帐号的密码来查看密码强度，系统会调用Pwned Passwords 2.0进行比对，也计划将该功能集成至1Password行动程序中。

为了保护隐私与安全性，在1Password与Pwned Passwords 2.0数据库进行比对的过程中，1Password会先以SHA-1加密用户密码，但只发送当中的前5个字符到Pwned Passwords 2.0，Pwned Passwords 2.0即会回传符合前5个字符的所有密码，再于1Password端进行比对。

1Password表示，在Pwned Passwords 2.0数据库中发现自己的密码并不代表用户的帐号被黑了，可能只是那些被黑帐号采用了同样的密码，但仍然建议用户变更密码。