暗网惊现14亿网络账号信息,数据安全形势严峻!

根据国外安全服务提供商4iQ的报道,他们在暗网发现了一个内含14亿条网络账号信息的独立数据库。这也是迄今为止暗网中发现的数据量最多的身份信息数据库。这些网络账号信息几乎都是未经加密的,更令人感到担忧的是,经过4iQ的测试,大部分被曝光的网络身份对应账号密码都是正确有效的。这就意味着,不需要攻击者具有多么强大的破解能力,任何一个能够接触到这个数据库的人都能掌握了数亿计有效的网络账号信息。一旦这些数据被恶意下载、传播,造成的负面影响难以估量。

这次发现的被盗网络账号信息数据量之大前所未有,14亿这个数字,几乎是过往最高记录7.97亿的两倍。总计252个数据泄露事件中被曝光的网络账号信息被整合到了该数据库中,数据库中的账号信息经过严格的整理、分类并按照字母顺序进行排序。由此可见,这是一个具有一定索引性的数据库而非单纯的数据池。攻击者可以根据自己喜好,按照一定规则对该数据库内的账号信息进行检索,如果若干个网络身份对应的复杂口令完全相同或几乎一致,则可以判定这些网络身份对应着同一个用户,该用户的账号信息、口令设置习惯等敏感信息将被完全暴露。该数据库大大降低了攻击者实施撞库攻击的成本,攻击效率大大提升,这对互联网用户而言,并不是什么好消息。

与此同时,根据4iQ对该数据库的分析,这次曝光的数据库体积达到了41GB,数据记录一直更新到2017年11月29日。一共有1400553869条“用户名-密码”对遭到泄露。在这其中,大部分账号数据在其他数据泄露事件中已经证实被盗,但仍有14%的数据(接近2亿个“用户名-密码”对)是第一次以未加密的形式公开。暴露的数据中,密码复用的问题被反映的十分明显。排除“123456”、“qwerty”等常用密码,在对一些由字母+数字组合形成的复杂密码进行分析时,研究人员发现,一个复杂密码或由该复杂密码衍生出来的密码变种通常对应着多个账号信息。例如,『l369888369』这个密码同时对应着6个邮箱,而这6个邮箱地址除了服务提供商域名外,其他几乎完全相同。这表明,同一用户的六个网络身份是共用一个密码的;再比如,同一个用户,虽然设置了多个密码,然而这些密码之间相互雷同,相似性极高。密码的复用和简单变形不仅不能提高账号安全性,反而可能因攻击者破解了账号的变化规律而造成更严重的数据泄露。

当然,除了复杂密码外,高频率使用的弱口令更是比比皆是。其中“123456”以920多万次的使用频次“荣登榜首”。

弱口令、密码的重复使用等都属于网络身份安全中的“陋习”。强口令、一账号一密且定期更换密码才会保证自己的网络账号信息足够安全。登录易作为国内网络身份安全领域的领跑者,关心用户的网络身份安全,同样也关注用户在身份认证过程中遇到的密码疲劳、密码复用、密码管理不便等顽疾。“密码不用记,就用登录易”

『摆脱密码束缚,从登录易开始』

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171212G0YZN900?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券