Have I Been Pwned 密碼外洩檢查教學 2026 | 3 分鐘自我體檢 1

Have I Been Pwned 密碼外洩檢查教學 2026 | 3 分鐘自我體檢

約 7 分鐘閱讀
作者:

適用系統:全平台(瀏覽器即可) | 更新日期:2026-04-11

內容目錄 顯示

⚡ 站長快讀:核心重點

  • 文章屬性:教學實戰
  • 難易度 / 耗時:⭐⭐ / 約 10 分鐘
  • 核心結論:用 Have I Been Pwned(HIBP)這個業界最權威的外洩資料庫查詢工具,3 分鐘就能知道自己的 Email 或密碼有沒有在歷年駭客事件中被外洩,並學會後續正確處理步驟
  • 適用對象:所有在網路上註冊過 5 個以上帳號的人,尤其是 10 年以上還在用同一組密碼的資安原始人

🔍 為什麼你需要這個?

你有沒有遇過這種情況:某天早上一覺醒來,Email 信箱被塞了 20 封「登入嘗試失敗」的通知,或是 Facebook 突然跳出「您的帳號在某某地點登入」?這種時候九成九不是駭客突然決定針對你,而是你某個早就忘記註冊過的網站,其實在幾年前就被脫庫了,你的帳密躺在暗網資料夾裡已久,這次剛好被某個工讀生級的小駭客拿來試。

站長我之前清自己的資安紀錄,才發現一個十多年沒用的 Yahoo 信箱居然出現在 14 次 不同的外洩事件裡,包括 LinkedIn、Adobe、Dropbox、Tumblr——全部都是名字響噹噹的大廠。更可怕的是,當年那個密碼我還在很多地方沿用。這種事只要發生過一次,你就會懂為什麼資安圈常說「不是你會不會被駭,是你什麼時候會被駭」。

今天站長教你用 Have I Been Pwned(簡稱 HIBP)這個工具自我體檢。這網站是澳洲資安專家 Troy Hunt 在 2013 年建立的,連美國 FBI 跟英國國家犯罪調查局(NCA)都會把蒐集到的外洩密碼交給他收藏,說它是全世界最權威的外洩資料庫絕不誇張。

Have I Been Pwned 密碼外洩檢查教學 2026 | 3 分鐘自我體檢 3

🛠️ 實戰步驟

步驟一:查 Email 有沒有被外洩

  1. 打開瀏覽器,進入 haveibeenpwned.com(注意不要打錯字,有很多山寨網站)
  2. 首頁中間有一個搜尋框,直接把你想查的 Email 輸入進去
  3. 按右邊的 pwned? 按鈕

結果只會出現兩種狀態:

  • 綠色畫面 + Good news — no pwnage found!:恭喜,你的 Email 目前沒出現在任何已知外洩事件裡。但站長提醒你,這不代表「絕對安全」,只代表「HIBP 資料庫沒收錄到」。
  • 紅色畫面 + Oh no — pwned!:你的 Email 出現在 N 個外洩事件裡,把頁面往下拉,會看到每一次外洩事件的詳細資訊,包括事件名稱、外洩日期、外洩了哪些資料欄位(Email、密碼、電話、地址、生日⋯⋯)。

重點:看「外洩了什麼欄位」比看「出現在幾次事件」更重要。 如果只洩 Email 和使用者名稱,風險相對小;但如果寫著「Passwords」「Credit cards」「Phone numbers」,那就真的要開始緊張。

步驟二:查密碼有沒有被外洩

這是進階但很重要的一步。HIBP 另外提供了 Pwned Passwords 服務,可以查某一組密碼是否曾經出現在外洩資料庫中。

  1. 進入 haveibeenpwned.com/Passwords
  2. 輸入你想查的密碼
  3. pwned?

結果會顯示這個密碼曾經在多少次外洩事件中被看到。站長隨手實測:

  • password:被看到 超過 1,000 萬次
  • qwerty123:被看到 超過 70 萬次
  • Ilovetaiwan2024:被看到 數千次

💡 等等,把密碼丟到網站上不是很危險嗎? 這點 Troy Hunt 做得非常聰明。HIBP 用的是一種叫 k-Anonymity 的技術:你的密碼會先在你自己的瀏覽器端被雜湊成 SHA-1,然後只把雜湊值的前 5 碼傳到伺服器,伺服器回傳所有符合這 5 碼的結果,再由你的瀏覽器在本地端比對。換句話說,HIBP 伺服器從頭到尾都沒有看到你的完整密碼或完整雜湊,這是目前業界最被認可的隱私保護作法。

步驟三:設定未來事件自動通知

與其定期手動查,更聰明的做法是訂閱通知。

  1. 進入 HIBP 首頁,點擊右上角選單的 Notify me
  2. 輸入你的 Email
  3. 到信箱收驗證信,點擊驗證連結

設定完成後,未來只要這個 Email 出現在任何新的外洩事件,HIBP 會自動寄信通知你。站長建議至少幫你的 主要 Email工作 Email 設定通知。

步驟四:如果真的被 pwned 了,該怎麼辦?

這是最重要的一段,大部分教學到這邊就結束,但站長覺得光知道被外洩然後不知道怎麼補救,等於白查。

立即行動清單(按優先順序):

  1. 立刻更改該事件中牽涉到的所有帳號密碼,尤其是如果你在多個網站用同一組密碼,全部要一起換
  2. 每個網站用不同的強密碼,用密碼管理器(1Password、Bitwarden、Proton Pass 都可以)來管理,不要再靠腦袋記
  3. 開啟雙重驗證(2FA),優先順序:Passkey > 驗證器 App(如 Google Authenticator、Authy) > 實體安全金鑰 > 簡訊驗證碼(最不建議,但有總比沒有好)
  4. 檢查 Email 信箱的「轉寄規則」與「授權 App」,駭客拿到你的 Email 後,常見手法是設定偷偷轉寄郵件,這個地雷很少人檢查
  5. 如果外洩事件涉及信用卡或銀行資料,打電話給發卡銀行掛失,申請新卡號

步驟五:驗證修復結果

全部改完密碼之後,過幾天再回來 HIBP 查一次。注意:HIBP 顯示的結果是歷史紀錄,不會因為你改了密碼就消失。 你要看的是「未來有沒有新的事件把你列進去」。如果一段時間內沒有新事件,代表你目前的帳號狀態是安全的。

💡 站長老實說:預防勝於補救的真心話

站長我用了超過 20 年網路,踩過的資安雷沒有一百也有五十。這邊講幾個 HIBP 不會告訴你、但血淋淋的經驗:

第一,HIBP 的資料不是全部。 HIBP 只收錄「已經被公開或流到公開暗網市場」的外洩事件,很多企業內部脫庫根本沒被通報,或是駭客拿到資料後私下販賣沒有公開,這些事件 HIBP 完全不會知道。所以「沒查到」只能當作「目前沒證據」,不能當作「絕對安全」。

第二,最大的資安漏洞是「密碼重複使用」。 站長我看過無數案例,當事人的某個小網站被脫庫,結果因為他 Gmail、Facebook、蝦皮、網銀全都用同一組密碼,最後整個數位身份被盜光。駭客有一整套自動化工具(叫 credential stuffing,中文「撞庫攻擊」),拿著外洩的帳密到處去試不同網站,這過程完全不用人力。

第三,請停止用「好記的密碼」。 生日、電話、寵物名字、手機尾號——這些在駭客的字典檔裡全部排在前 1000 筆。一個 RTX 4070 等級的顯卡跑 SHA-1 雜湊,每秒可以試 500 多億次,你那個「好記的密碼」在 0.03 秒內就會被破解。正確做法是每個網站都用密碼管理器產生的 16 碼以上亂數密碼,你只需要記住一個主密碼就好。

第四,Passkey 是終局解法。 2026 年的現在,Google、Apple、Microsoft、X、GitHub、蝦皮等大型服務都已經支援 Passkey。如果某個網站有支援,站長強烈建議直接升級到 Passkey——因為 Passkey 沒有可以被外洩的「密碼字串」,從根本上杜絕了撞庫攻擊。

❓ 常見問題

Q:我查完發現十幾年前的 Email 一堆事件被外洩,那個信箱現在還要繼續用嗎?

A: 看情況。如果這個 Email 還綁著重要服務(網銀、政府、工作),先把所有綁定的帳號移到新 Email,再把舊信箱設定成「只收信不綁定」的狀態。如果這個 Email 已經沒在綁重要東西,建議乾脆停用,但停用前一定要確認沒有漏掉任何帳號,不然之後忘記密碼要求重寄連結就寄不到了。

Q:我在 HIBP 查密碼被外洩了 3,000 次,但這個密碼真的只有我知道,怎麼會有別人用?

A: 這是 HIBP 很常被誤解的一點。那 3,000 次不是「有 3,000 個人知道你的密碼」,而是「這組密碼字串在歷年外洩事件中被看到 3,000 次」。如果你的密碼是 ILoveMom520,全世界肯定有成千上萬個孝子孝女也用一樣的字串。重點是:只要這組密碼出現在 HIBP 資料庫裡,駭客的字典檔就會有它,你就要馬上換掉。

Q:為什麼用 Google 的「密碼檢查」也可以查外洩,跟 HIBP 有什麼差別?

A: Google Chrome 的密碼檢查功能、Apple 的 iCloud 鑰匙圈、1Password 的 Watchtower,這些工具背後用的都是同一套 HIBP API 或類似技術。差別只在於「查什麼範圍」:Chrome 只會查你存在 Chrome 裡面的密碼,HIBP 可以讓你主動查任何想查的組合。兩種工具搭配用最好——Chrome 幫你守被動防線,HIBP 幫你做主動體檢。

📎 參考資料來源