压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

“password”、“Passw0rd”和“password1”仍為密碼流行之選……

網絡安全公司 ImmuniWeb 宣稱，暗網現存出自財富 500 強公司的 2,100 萬 (21,040,296) 被盜用戶憑證，其中超過 1,600 萬 (16,055,871) 是過去一年中被盜的。

個中關鍵是什么呢？這些憑證中 95% 都包含未加密或已被攻擊者暴力破解的明文密碼。

（盡管該公司后來指出，這些公開可用的數據中超半數是 “過時或虛假信息，或者出自假冒新被盜記錄的歷史數據泄露”，涉事公司的安全團隊也不會覺得有多欣慰。）

ImmuniWeb 是一家位于瑞士的 Web 安全公司，爬取 Tor 網絡上各類網頁論壇、公告板、IRC 聊天頻道、社交網絡、即時通訊聊天等，揭示迅猛發展的憑證市場詳細狀況。（被盜憑證可用于攻擊網絡，先獲取初始訪問權，然后用于提權。）

科技、能源和金融服務行業受害嚴重

10 月 30 號的爆料中指出：（被廣泛認為是特別健壯的）密碼 “password” 在用戶中仍舊非常流行，做了些 “機靈” 變化的 “passw0rd” 和 “password1” 這種的也很常見。

科技、金融服務和能源產業是用戶憑證曝光量最大的三個行業，42% 的被盜密碼 “某種程度上要么與受害公司名有關，要么與被黑資源有關，令密碼暴力破解攻擊非常高效。”

網上有很多密碼暴力破解工具可用，滲透測試員和黑帽子黑客都會用。

例如，Cain and Abel、Hashcat、John the Ripper、THC Hydra 和 Ophcrack 都屬于這類密碼暴力破解工具。

隨著用戶可用的計算機計算能力的增長，即便加密良好的密碼也可被破解，破解耗時還在飛速減少。

黑客根本不會觸發密碼嘗試次數超限鎖定，因為他們通常不會在在線賬戶登錄頁面去猜解密碼。他們會購買包含用戶 ID 和密碼散列值的文件：這種情況下的暴力破解嘗試需要用工具找出該散列值的等效數值來揭示密碼。這可不是在目標門戶網站/機器進行的。

被盜用戶憑證：最流行的密碼

ImmuniWeb 創始人兼首席執行官 Ilia Kolochendo 稱：這些數字令人警醒又沮喪。網絡罪犯很務實，也很聰明，他們專注在最短、最便宜、最安全的密碼盜竊方法上。

暗網上豐富的被盜憑證資源讓很多攻擊者能夠很輕松地直擊目標，甚至都不用投資昂貴的零日漏洞利用或者投入耗時良久的 APT 攻擊。稍微花點時間，他們就能在安全系統眼皮子底下大搖大擺地混入目標，攫取自己想要的東西。

他補充道：更糟的是，由于被黑第三方系統上缺乏日志或控制措施，很多此類入侵從技術上根本無法調查。

該公司發現的 2,100 萬被盜憑證記錄中，僅 490 萬 (4,957,093) 是完全獨特的密碼，意味著很多用戶使用相同或相似的密碼。建議使用攻擊界面管理 (ASM) 解決方案映射風險，在整個組織范圍內實現適用于內部及第三方系統完整性的密碼策略，并總是使用雙因子身份驗證 (2FA) 登錄業務關鍵系統。