压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

“password”、“Passw0rd”和“password1”仍為密碼流行之選……

網(wǎng)絡安全公司 ImmuniWeb 宣稱，暗網(wǎng)現(xiàn)存出自財富 500 強公司的 2,100 萬 (21,040,296) 被盜用戶憑證，其中超過 1,600 萬 (16,055,871) 是過去一年中被盜的。

個中關鍵是什么呢？這些憑證中 95% 都包含未加密或已被攻擊者暴力破解的明文密碼。

（盡管該公司后來指出，這些公開可用的數(shù)據(jù)中超半數(shù)是 “過時或虛假信息，或者出自假冒新被盜記錄的歷史數(shù)據(jù)泄露”，涉事公司的安全團隊也不會覺得有多欣慰。）

ImmuniWeb 是一家位于瑞士的 Web 安全公司，爬取 Tor 網(wǎng)絡上各類網(wǎng)頁論壇、公告板、IRC 聊天頻道、社交網(wǎng)絡、即時通訊聊天等，揭示迅猛發(fā)展的憑證市場詳細狀況。（被盜憑證可用于攻擊網(wǎng)絡，先獲取初始訪問權，然后用于提權。）

科技、能源和金融服務行業(yè)受害嚴重

10 月 30 號的爆料中指出：（被廣泛認為是特別健壯的）密碼 “password” 在用戶中仍舊非常流行，做了些 “機靈” 變化的 “passw0rd” 和 “password1” 這種的也很常見。

科技、金融服務和能源產(chǎn)業(yè)是用戶憑證曝光量最大的三個行業(yè)，42% 的被盜密碼 “某種程度上要么與受害公司名有關，要么與被黑資源有關，令密碼暴力破解攻擊非常高效。”

網(wǎng)上有很多密碼暴力破解工具可用，滲透測試員和黑帽子黑客都會用。

例如，Cain and Abel、Hashcat、John the Ripper、THC Hydra 和 Ophcrack 都屬于這類密碼暴力破解工具。

隨著用戶可用的計算機計算能力的增長，即便加密良好的密碼也可被破解，破解耗時還在飛速減少。

黑客根本不會觸發(fā)密碼嘗試次數(shù)超限鎖定，因為他們通常不會在在線賬戶登錄頁面去猜解密碼。他們會購買包含用戶 ID 和密碼散列值的文件：這種情況下的暴力破解嘗試需要用工具找出該散列值的等效數(shù)值來揭示密碼。這可不是在目標門戶網(wǎng)站/機器進行的。

被盜用戶憑證：最流行的密碼

ImmuniWeb 創(chuàng)始人兼首席執(zhí)行官 Ilia Kolochendo 稱：這些數(shù)字令人警醒又沮喪。網(wǎng)絡罪犯很務實，也很聰明，他們專注在最短、最便宜、最安全的密碼盜竊方法上。

暗網(wǎng)上豐富的被盜憑證資源讓很多攻擊者能夠很輕松地直擊目標，甚至都不用投資昂貴的零日漏洞利用或者投入耗時良久的 APT 攻擊。稍微花點時間，他們就能在安全系統(tǒng)眼皮子底下大搖大擺地混入目標，攫取自己想要的東西。

他補充道：更糟的是，由于被黑第三方系統(tǒng)上缺乏日志或控制措施，很多此類入侵從技術上根本無法調查。

該公司發(fā)現(xiàn)的 2,100 萬被盜憑證記錄中，僅 490 萬 (4,957,093) 是完全獨特的密碼，意味著很多用戶使用相同或相似的密碼。建議使用攻擊界面管理 (ASM) 解決方案映射風險，在整個組織范圍內實現(xiàn)適用于內部及第三方系統(tǒng)完整性的密碼策略，并總是使用雙因子身份驗證 (2FA) 登錄業(yè)務關鍵系統(tǒng)。