复用密码，怪我咯：14亿明文被泄密码正在暗网流传

黑客总是第一个发现最薄弱的环节并迅速获得访问用户网络账户的权限。网民在多家服务中复用同样的密码让黑客有机会使用数据泄露中收集的凭证黑进他人账户。安全公司4iQ发现暗网上（同时也在Torrent上发布）流传着一个新的数据库。该数据库中包含14亿明文用户名和密码！

（数据都已经整理分类好按首字母进行排序）

史上规模最大，几周前就已现身

12月5日，研究人员在一个地下社区论坛上发现了这个数据库，据称是迄今为止从暗网上发现的规模最大的数据库。

虽然在几周前下载这个数据库的链接就在网上流传，但真正引爆大家注意力的是几天前一名Reddit 用户发布的帖子。本文作者从帖子中也下载了该数据且经验证它们是有效的。

研究人员表示这个 41 GB的庞大数据库包含14亿用户名、邮件和密码组合，它们很可能是分散的，被分到两到三个目录中。这个庞大文档最近的更新时间是今年11月底，且数据并非来自新的数据泄露事件而是过去发生的252次数据泄露和凭证列表。

明文凭证来自多家著名服务商

数据库中包含泄露自以下服务的明文凭证：Bitcoin、Pastebin、LinkedIn、MySpace、Netflix、YouPorn、Last.FM、Zoosk、Badoo、RedBox、如《我的世界》和《江湖》等游戏以及Anti Public、Exploit.in等凭证列表。

研究人员指出，“所有的这些密码都未加密，而且令人担忧的是我们已测试了这些密码中的一个子集发现多数是真实的。这次数据泄露事件的规模至少是过去最大凭证泄露事故的两倍，单是Exploit.in的组合列表就暴露了7.97亿份记录。这次新的泄露事件曾杰了3.85亿新的凭证组合、3.18亿个唯一用户以及1.47亿密码。”

这个数据库整理得很整洁，而且是按字母顺序索引的，因此具有基本知识的准黑客们也能快速查找密码。例如简单查找一下 “admin”、”administrator” 和 “root”，就会在几秒内返回226,631个由管理员使用过的密码。

Exploit.in 组合列表暴露了 7.97 亿条记录。这个转储聚集了 252 个以前的违规，包括已知的证书列表，如Anti Public 和 Exploit.in，解密已知的破解密码，如 LinkedIn 的密码，以及比特币和 Pastebin 网站等较小的破解。

复用密码且设置简单是罪魁祸首

目前尚不知晓谁将这份数据库上传至暗网，但不管是谁都提供了比特币和狗币钱包供用户捐赠。

数据库中出现频率最高的四十个密码。

防范建议

为了保护自身安全，强烈建议用户不要在多个平台上复用密码并且一定要选择健壮并复杂的密码。如果这些密码难以记忆而且为不同服务创建复杂密码难度大，用户可选择使用一些好的密码管理器。（本文由代码卫士编译）