信息化觀察網(wǎng)

“password”、“Passw0rd”和“password1”仍為密碼流行之選……

網(wǎng)絡(luò)安全公司 ImmuniWeb 宣稱，暗網(wǎng)現(xiàn)存出自財富 500 強(qiáng)公司的 2,100 萬 (21,040,296) 被盜用戶憑證，其中超過 1,600 萬 (16,055,871) 是過去一年中被盜的。

個中關(guān)鍵是什么呢？這些憑證中 95% 都包含未加密或已被攻擊者暴力破解的明文密碼。

（盡管該公司后來指出，這些公開可用的數(shù)據(jù)中超半數(shù)是 “過時或虛假信息，或者出自假冒新被盜記錄的歷史數(shù)據(jù)泄露”，涉事公司的安全團(tuán)隊也不會覺得有多欣慰。）

ImmuniWeb 是一家位于瑞士的 Web 安全公司，爬取 Tor 網(wǎng)絡(luò)上各類網(wǎng)頁論壇、公告板、IRC 聊天頻道、社交網(wǎng)絡(luò)、即時通訊聊天等，揭示迅猛發(fā)展的憑證市場詳細(xì)狀況。（被盜憑證可用于攻擊網(wǎng)絡(luò)，先獲取初始訪問權(quán)，然后用于提權(quán)。）

科技、能源和金融服務(wù)行業(yè)受害嚴(yán)重

10 月 30 號的爆料中指出：（被廣泛認(rèn)為是特別健壯的）密碼 “password” 在用戶中仍舊非常流行，做了些 “機(jī)靈” 變化的 “passw0rd” 和 “password1” 這種的也很常見。

科技、金融服務(wù)和能源產(chǎn)業(yè)是用戶憑證曝光量最大的三個行業(yè)，42% 的被盜密碼 “某種程度上要么與受害公司名有關(guān)，要么與被黑資源有關(guān)，令密碼暴力破解攻擊非常高效。”

網(wǎng)上有很多密碼暴力破解工具可用，滲透測試員和黑帽子黑客都會用。

例如，Cain and Abel、Hashcat、John the Ripper、THC Hydra 和 Ophcrack 都屬于這類密碼暴力破解工具。

隨著用戶可用的計算機(jī)計算能力的增長，即便加密良好的密碼也可被破解，破解耗時還在飛速減少。

黑客根本不會觸發(fā)密碼嘗試次數(shù)超限鎖定，因?yàn)樗麄兺ǔ２粫谠诰€賬戶登錄頁面去猜解密碼。他們會購買包含用戶 ID 和密碼散列值的文件：這種情況下的暴力破解嘗試需要用工具找出該散列值的等效數(shù)值來揭示密碼。這可不是在目標(biāo)門戶網(wǎng)站/機(jī)器進(jìn)行的。

被盜用戶憑證：最流行的密碼

ImmuniWeb 創(chuàng)始人兼首席執(zhí)行官 Ilia Kolochendo 稱：這些數(shù)字令人警醒又沮喪。網(wǎng)絡(luò)罪犯很務(wù)實(shí)，也很聰明，他們專注在最短、最便宜、最安全的密碼盜竊方法上。

暗網(wǎng)上豐富的被盜憑證資源讓很多攻擊者能夠很輕松地直擊目標(biāo)，甚至都不用投資昂貴的零日漏洞利用或者投入耗時良久的 APT 攻擊。稍微花點(diǎn)時間，他們就能在安全系統(tǒng)眼皮子底下大搖大擺地混入目標(biāo)，攫取自己想要的東西。

他補(bǔ)充道：更糟的是，由于被黑第三方系統(tǒng)上缺乏日志或控制措施，很多此類入侵從技術(shù)上根本無法調(diào)查。

該公司發(fā)現(xiàn)的 2,100 萬被盜憑證記錄中，僅 490 萬 (4,957,093) 是完全獨(dú)特的密碼，意味著很多用戶使用相同或相似的密碼。建議使用攻擊界面管理 (ASM) 解決方案映射風(fēng)險，在整個組織范圍內(nèi)實(shí)現(xiàn)適用于內(nèi)部及第三方系統(tǒng)完整性的密碼策略，并總是使用雙因子身份驗(yàn)證 (2FA) 登錄業(yè)務(wù)關(guān)鍵系統(tǒng)。