SpyCloud透露，整個(gè)2019年共恢復(fù)了640次獨(dú)特的數(shù)據(jù)泄露，回收了9,050,064,764份憑證，其中包括與純文本密碼和帶有純文本密碼的用戶名相關(guān)的電子郵件地址。

這意味著平均而言，每一個(gè)數(shù)據(jù)庫泄露都為犯罪分子提供了超過1400萬套登錄憑據(jù)。

由于人們經(jīng)常在個(gè)人和工作中的多個(gè)帳戶中重復(fù)使用密碼，因此每組登錄憑據(jù)都可用于訪問數(shù)十個(gè)或更多帳戶，網(wǎng)絡(luò)罪犯可以通過這些帳戶進(jìn)行欺詐。

[[315296]]

憑證暴露報(bào)告

去年，近三分之一受數(shù)據(jù)泄露影響的互聯(lián)網(wǎng)用戶以某種形式重新設(shè)置了密碼。94%的回收密碼的人重用了完全相同的密碼，而其他6%的人做了一些細(xì)微的更改，

例如大寫首字母或在其典型密碼的末尾添加數(shù)字。這些策略很容易被工具所挫敗，這些工具會(huì)測(cè)試常見的細(xì)微變化。

[[315297]]

在組織安全性方面，趨勢(shì)令人擔(dān)憂的趨勢(shì)是，更多的犯罪分子正在共享和銷售數(shù)據(jù)，這些數(shù)據(jù)來自配置錯(cuò)誤或不安全的服務(wù)器。組織也可能正在采取不完整的步驟來保護(hù)密碼。

犯罪分子使用于2012年已被盜的密碼

研究人員發(fā)現(xiàn)，恢復(fù)的密碼中有一半以上(53.7%)最初是使用過時(shí)的哈希算法SHA-1和MD5保護(hù)的。

[[315298]]

安全專家建議從2005年左右開始不使用SHA-1，從1996年開始不建議使用MD5，因?yàn)榫W(wǎng)絡(luò)罪犯可以輕松快速地破解使用這些功能散列的密碼并恢復(fù)純文本密碼。

“我們的數(shù)據(jù)顯示，消費(fèi)者仍然沒有改變其糟糕的口令的習(xí)慣，但我們知道他們已經(jīng)授權(quán)安全組織為他們的安全負(fù)責(zé)。”大衛(wèi)·恩德爾，為首席產(chǎn)品官說SpyCloud。

[[315299]]

“犯罪分子仍在使用他們?cè)?012年竊取的密碼來攻擊并占領(lǐng)今天的帳戶。公司需要在創(chuàng)建帳戶時(shí)指導(dǎo)用戶設(shè)置更好的密碼，并且每當(dāng)他們的憑據(jù)暴露在世界任何地方的漏洞中時(shí)，他們都需要幫助用戶維護(hù)更為牢固的密碼。”

世界上很受歡迎的密碼暴露了約1.25億個(gè)帳戶

盡管在過去的幾年中，密碼疲勞和重復(fù)使用成為人們關(guān)注的焦點(diǎn)，但世界上最流行的密碼幾乎沒有改變。去年收集的超過90億個(gè)賬戶中，前三個(gè)是“ 123456”，“ 123456789”和“ qwerty”，它們被用于保護(hù)約1.25億個(gè)帳戶。

[[315300]]

越來越多的組織必須遵守NIST的密碼指南，建議用戶了解以前的違規(guī)語料庫中暴露最多的薄弱密碼，以及常用或易于猜測(cè)的密碼，進(jìn)而避免進(jìn)行使用。