編譯丨諾亞

出品 | 51CTO技術(shù)棧（微信號(hào)：blog51cto）

據(jù)Cybernews的網(wǎng)絡(luò)安全專家透露，史上最大規(guī)模的被盜密碼庫(kù)已流入某個(gè)臭名昭著的黑市，堪稱黑客界的“潘多拉魔盒”被打開(kāi)。

這起名為“RockYou2024”的泄露事件，由網(wǎng)友“ObamaCare”首度發(fā)布，其核心是一份藏有近100億個(gè)獨(dú)一無(wú)二的明文密碼清單。這些密碼，據(jù)說(shuō)源自數(shù)年來(lái)一連串的數(shù)據(jù)泄露和黑客入侵事件，最終在7月4日，以一種悄無(wú)聲息的方式登陸暗網(wǎng)，成為迄今為止規(guī)模最龐大的被盜憑證寶典。

簡(jiǎn)單來(lái)說(shuō)，“RockYou2024”實(shí)際上就是全球網(wǎng)民的真實(shí)密碼大集合，專家向Cybernews透露：“這么多密碼被破壞分子掌握，無(wú)疑讓‘撞庫(kù)’攻擊的風(fēng)險(xiǎn)飆升到了新高度?！?/p>

所謂“撞庫(kù)”攻擊，就像是網(wǎng)絡(luò)世界的“萬(wàn)能鑰匙”，老套但有效，往往被不法分子、勒索軟件團(tuán)伙乃至各種類型的黑客廣泛采用，用以非法侵入各種服務(wù)和系統(tǒng)。

現(xiàn)在，有了“RockYou2024”這份密碼寶典，威脅分子可能對(duì)任何防護(hù)薄弱的系統(tǒng)發(fā)起暴力破解，輕松侵入數(shù)據(jù)集里密碼主人的各類線上賬戶。

關(guān)鍵是這不僅限于我們?nèi)粘＝佑|的在線服務(wù)，連同那些聯(lián)網(wǎng)的攝像頭和工業(yè)設(shè)備，也可能成為攻擊目標(biāo)。

專家警告：“一旦‘RockYou2024’與其他黑客論壇上流通的泄露數(shù)據(jù)庫(kù)聯(lián)手，比如用戶的郵箱地址和其他敏感信息，那么，數(shù)據(jù)泄露、金融詐騙、身份盜竊……一連串的災(zāi)難性后果將接踵而至?！?/p>

盡管這一事件性質(zhì)嚴(yán)重，但值得一提的是，Cybernews 研究人員將 RockYou2024 泄露事件中的密碼與 Cybernews 泄露密碼檢查器的數(shù)據(jù)進(jìn)行了交叉對(duì)照，結(jié)果顯示，這些密碼來(lái)自新舊數(shù)據(jù)泄露的混合。

也就是說(shuō)，“RockYou2024”主要還是以往密碼泄露事件的匯編，據(jù)估計(jì)包含了來(lái)自總計(jì)4000個(gè)巨大被盜憑證數(shù)據(jù)庫(kù)的條目，時(shí)間跨度至少達(dá)二十年之久。

值得注意的是，新文件中包含了一個(gè)早先的憑證數(shù)據(jù)庫(kù)——“RockYou2021”，其中含有84億個(gè)密碼?！癛ockYou2024”在此基礎(chǔ)上新增約15億個(gè)密碼，時(shí)間范圍從2021年至2024年，這個(gè)數(shù)字固然龐大，但也僅占此次泄露報(bào)告的近100億個(gè)密碼的一小部分。   

因此，自2021年以來(lái)已經(jīng)更改過(guò)密碼的用戶可能無(wú)需過(guò)于擔(dān)心自己的信息會(huì)被泄露。話雖如此，Cybernews的研究團(tuán)隊(duì)還是強(qiáng)調(diào)了維護(hù)數(shù)據(jù)安全的重要性。

那么為了預(yù)防密碼泄露，可行的防范措施又有哪些呢？比如：

• 采用強(qiáng)密碼策略。強(qiáng)制執(zhí)行復(fù)雜的密碼規(guī)則，比如，必須包含大寫(xiě)字母、小寫(xiě)字母、數(shù)字和特殊字符；      
• 盡可能地啟用多因素認(rèn)證（MFA）。這是一種除了密碼之外還需要額外驗(yàn)證形式的安全措施。如此一來(lái)，即使密碼被泄露，攻擊者也難以僅憑密碼登錄；        
• 使用密碼管理軟件。尤其對(duì)于科技用戶來(lái)說(shuō)，這類軟件能安全生成并存儲(chǔ)復(fù)雜密碼，從而降低在多個(gè)賬戶間重復(fù)使用同一密碼的風(fēng)險(xiǎn)。

參考鏈接：https://www.jpost.com/business-and-innovation/article-809428