Github 声称我的密码已被泄露并泄露。但没有其他证据

与其他大公司一样，有强有力的间接证据表明 GitHub 积极寻找从受感染网站泄露的密码，以便发出这些通知。他们在不良行为者之前主动关联电子邮件：密码对（因为这正是不良行为者所做的！）。

密码更有可能是“真实”匹配 - 要么因为某人有类似的密码组合策略，要么你的密码是 GitHub 上至少一次泄露的一部分 - 而不太可能是某种巧合（因此，您应该采取 GitHub 建议的操作）。

您可以尝试通过多种方法亲自验证这一点：

• 使用Have I Been Pwned之类的服务来查看您的电子邮件地址是否已被泄露。 （但请注意：并非所有泄漏都是相同的；仅仅因为您的电子邮件地址出现在营销信息泄漏中并不意味着您的密码或密码哈希值已被暴露 - 因此您必须根据 HIBP 的列表交叉检查结果“破解网站” 查看列出的泄露内容是否包含密码数据）

• 从 HashMob.net 等网站下载所有破解密码的列表，然后在您自己的系统上本地搜索该（非常大的）文件，看看您的密码是否出现在那里。

（并且您会注意到，出于安全原因，我在上面的建议中没有包含“将您的密码输入某个网站以查看它是否已列出”！）

最后，请注意，只有当您确实找到匹配项时，这些方法才是确定的。如果您没有找到匹配项，GitHub 可能有权访问这些其他来源缺少的泄漏数据等。

无论如何，底线是：我会按照 GitHub 的建议去做。我还将转向使用密码管理器，以便您可以更轻松地为所有网站使用真正唯一的密码，并停止以任何原因重复使用任何密码。 （即使您只是对“不重要”的网站重复使用密码，这些信息也可能以您可能无法预测的方式关联起来！）