这几天，一则令人震惊的网络安全新闻席卷全球：160亿条账号密码信息被曝光，涵盖了包括Google、Apple、Facebook在内的几乎所有主流在线平台和所有普通用户能用到和想到的网络平台。

这可能是有史以来最大规模的登录信息泄露事件，而我们每个人可能都会被波及。

泄露源头：不是单一公司，而是“信息窃取者”合集

这些信息包括了社交媒体账号、VPN、开发者平台账号、甚至政府服务系统的登录凭证。

值得注意的是，虽然 CBC News 尚未独立核实该事件的全部细节，但多位网络安全专家均表示，这起事件对所有互联网用户都构成了严峻威胁。

史上最大规模，到底多严重?

Cybernews 报道称，他们的研究人员自今年年初起一直在追踪这一系列信息泄露。调查显示，已经曝光的数据集中包含30个数据包，每个数据包从几千万条到超过35亿条不等，合计达到160亿条泄露记录，其中绝大部分是从未在网络上曝光的新数据。

这些泄露的登录信息大多以“网址+用户名+密码”的形式排列，几乎可以打开你能想到的所有网络服务，从Google、Apple 到 GitHub、Telegram，甚至还有政府系统。

而根据网络安全公司 Dispersive 副总裁 Lawrence Pingree 的说法，这些数据往往在暗网中以极低的价格出售，供情报机构、黑客团体或犯罪分子使用，形成可怕的“网络攻击蓝图”。

专家建议：别再犹豫，马上改密码!

面对如此规模的泄密事件，网络安全专家一致建议：尽快更换你的所有登录密码，尤其是你曾经重复使用的密码。

加拿大多伦多 ISA Cybersecurity 副总裁 Enza Alexander 表示，用户至少每年应更换三到四次主要社交平台的密码，尤其不要重复使用旧密码。她建议密码应包含大小写字母、数字和特殊字符，并且尽量保持唯一。

Alexander 同时强调，虽然频繁更换密码难以记忆，但这是阻止黑客“连锁式入侵”你多个账户的关键措施。

更安全的方法：彻底告别密码，转向“通行密钥”

除了更换密码，专家们更推荐彻底告别传统密码系统，转而使用更安全的登录方式，即Passkeys(通行密钥)。

什么是通行密钥(Passkeys)?

这是目前被视为密码的替代品的一种认证方式，用户可以通过面部识别、指纹识别或设备PIN码登录账号，无需再输入传统密码。

包括 Google、Apple 和 Facebook 在内的公司都已经支持这种认证方式，Google 甚至建议所有用户尽可能地使用 Passkeys 替代密码，并搭配使用 Google Password Manager 管理登录信息与监测是否泄露。

Dashlane 安全专家 Rew Islam 表示，随着 Facebook 宣布支持通行密钥，“整个科技行业正在逐步转向无密码认证”。他预计未来三年内，全球大多数互联网用户都将使用通行密钥。

密码管理工具不可少，避免“一个密码通吃”

在没有全面支持 Passkeys 的平台上，密码管理器也是目前的“次优解”。像 Google Password Manager、Dashlane 等工具，可以帮助用户生成高强度密码并安全保存，同时监控是否遭遇密码泄露。

Keeper Security CEO Darren Guccione 指出，此次160亿条信息的泄露，表明“敏感数据被意外暴露在线上的几率极高”，而云环境配置错误也可能成为数据泄露的漏洞来源。

企业也不能掉以轻心：零信任架构是趋势

不仅是普通用户需要警惕，企业和机构也面临严峻挑战。网络安全专家建议企业应逐步采用零信任安全模型(Zero Trust Security)，通过权限控制和多因素验证，确保所有对敏感数据的访问都经过授权和记录。

正如前美国国家安全局(NSA)网络安全专家、Desired Effect CEO Evan Dornbush 所说：“不管你的密码有多复杂，一旦黑客攻破储存密码的数据库，它就不再安全。”

网络安全到底是谁的责任?

在这点上，业界存在分歧。

KnowBe4 网络安全倡导者 Javvad Malik 认为，网络安全是一种“共同责任”：用户要注意密码管理，企业则要提供安全防护措施。

但 MetaCert CEO Paul Walsh 则直言不讳地批评这种说法“完全是安全公司推卸责任的借口”。他表示，当前网络钓鱼攻击的技术已经远超普通用户的认知，而“让用户成为安全专家”的做法并不现实。

我们应该怎么做?

160亿条登录凭证泄露，提醒我们网络安全形势异常严峻。无论你是否已受影响，现在都是采取行动的最佳时机：

更换所有重复使用的密码

启用双重认证(2FA)

尽可能使用通行密钥(Passkeys)

使用密码管理器进行统一管理

不要轻信短信链接，警惕网络钓鱼

定期检查账户是否遭遇数据泄露

网络世界没有绝对的安全，也不能完全寄希望于企业和机构来保护你的密码，我们普通用户只能尽可能通过提高自己的网络安全意识，以减少成为受害者的风险。