近日,研究人员检测,近 100 亿条密码汇编集合 RockYou2024 发生泄露,造成了史上最大密码泄露事件,此次泄露对重复使用密码的用户构成了更为严重的威胁。
近 100 亿条密码泄漏,给用户造成严重威胁。
研究人员将 RockYou2024 泄露事件中的密码与 Cybernews 泄露密码检查器的数据进行了交叉对照,结果显示这些密码是新旧数据泄露的混合。
“一码多用” 可能要面临暴力破解。
该泄露的数据集中包含了各种用户账户密码,暴露了全球用户的真实密码汇编,大大增加了凭证填充攻击的风险。该泄漏可能会对用户和企业造成严重损害。
同时,攻击者可以利用 RockYou2024 密码汇编进行暴力破解攻击,并在未经授权的情况下,利用获取的密码进行撞库访问用户所有的各种账户。
一些用户为了方便记忆,会采用相同的账户密码登录多个网站或app,甚至是存储关键信息的系统平台。如果其中一个平台有漏洞被黑客利用窃取了账户名和密码,黑客便用这套凭证登录大量测试所有平台,获取更多有价值的信息,并且这种“撞库”攻击的成功率非常高。
调查研究表明,19%的网络安全事件是由于被盗或泄露的凭据所造成的,16%的安全事件是网络钓鱼造成的。因此,基于密码保护的数据是不够安全的。
此外,企业平均每年要遭遇700次社会工程攻击,即使是严格遵守网络安全的员工也无法避免犯错。毕竟,攻击者只需要误导员工一次即可成功获取他们的登录凭据。
攻击者一旦获取凭证权限,就可窃取密码下的所有数据,包括邮件数据、数据库数据、系统数据,甚至发动熟人钓鱼攻击,或直接植入木马程序,感染更多其他用户,从而扩大攻击面。
保护敏感数据最好的措施,就是事发前预先做好防控。具体如下:
1.数据加密
数据加密比单纯的密码保护更加可靠。当前数据加密仍是计算机系统对信息进行保护的一种最可靠的办法。利用密码技术对信息进行数据加密,实现信息隐蔽,从而起到保护信息的安全的作用。即使密码被破解,无关人员也无法获取真实内容,更无法拷贝数据。
2.互联网安全传输数据
数据加密传输,第三方无法通过技术等工具窃取、篡改已受保护的信息数据,确保数据安全和完整,避免数据泄露、钓鱼等事件的发生。
3.内部数据管控
内部泄密是企业数据泄露的根源之一,内部员工可能有意或无意的不当行为,是造成数据泄露的关键原因。
热门跟贴