在受到攻擊的微軟賬戶之中，有大約20%是因?yàn)楹诳蛷钠渌?wù)商之處獲得了可以用于對(duì)帳戶登錄密碼進(jìn)行重新設(shè)置操作的詳細(xì)信息所造成的。

微軟公司聲稱，在對(duì)包含所有受攻擊賬戶數(shù)據(jù)的清單進(jìn)行過全面分析之后，最終發(fā)現(xiàn)有20%的是因?yàn)橄M(fèi)者在多項(xiàng)服務(wù)中都采用內(nèi)容完全相同的詳細(xì)登錄信息所造成的。

該清單是由利用第三方服務(wù)提供商進(jìn)行攻擊的組織與黑客所散發(fā)的。

在星期天發(fā)布的一篇日志文章中，微軟客戶服務(wù)群組經(jīng)理埃里克·多爾指出，消費(fèi)者經(jīng)常采取的做法是在不同供應(yīng)商所提供的各種服務(wù)設(shè)置之中都采用內(nèi)容完全相同的密碼以及登錄信息。而信息的多次重復(fù)使用就意味著，一旦某項(xiàng)登錄設(shè)置遭遇到攻擊，其它所有賬戶馬上就會(huì)處于風(fēng)險(xiǎn)之中。

在雅虎上星期爆發(fā)了泄露40萬(wàn)用戶詳細(xì)信息的重大事故之后，多爾指出：“這些攻擊將關(guān)鍵問題暴露在了聚光燈之下——人們選擇在不同網(wǎng)站上重復(fù)使用完全相同的密碼”。他進(jìn)一步解釋說：“從平均情況來看，我們發(fā)現(xiàn)有20%的用戶名可以與密碼成功匹配”。

為了寬慰雅虎黑客事件之后驚魂未定的消費(fèi)者，多爾對(duì)微軟在確保賬戶安全方面采取的幾項(xiàng)措施進(jìn)行了詳細(xì)說明。微軟采用的是獨(dú)立帳號(hào)模式，也就是說包括SkyDrive在線存儲(chǔ)、Hotmail電子信箱、Xbox網(wǎng)絡(luò)游戲以及Messenger即時(shí)通信在內(nèi)的各項(xiàng)服務(wù)都擁有自己的獨(dú)立體系。

對(duì)各種清單涉及到的內(nèi)容進(jìn)行詳細(xì)分析

按照多爾的介紹，微軟會(huì)定期從互聯(lián)網(wǎng)服務(wù)供應(yīng)商、執(zhí)法機(jī)關(guān)以及供應(yīng)商處獲取到第三方所泄露登錄詳細(xì)信息的清單，甚至連黑客發(fā)布到互聯(lián)網(wǎng)的內(nèi)容也會(huì)被包括進(jìn)來。微軟開發(fā)的一個(gè)自動(dòng)化處理工具將會(huì)利用這些信息來對(duì)賬戶使用的登錄信息進(jìn)行詳細(xì)審核。多爾聲稱，盡管平均數(shù)字達(dá)到了20%，但最近一段時(shí)間之中這樣的情況只有4.5%。

在其它供應(yīng)商遭遇黑客攻擊之后，微軟馬上就會(huì)對(duì)相關(guān)用戶賬戶進(jìn)行重點(diǎn)監(jiān)測(cè)，以防出現(xiàn)發(fā)送垃圾郵件的行為。如果發(fā)現(xiàn)該賬戶存在從事犯罪活動(dòng)的跡象，微軟就會(huì)選擇直接暫停使用。而受到影響的用戶需要通過帳戶恢復(fù)模式的審核才能再次獲得登錄的權(quán)利。

如果微軟雖然懷疑但不是非常確定存在風(fēng)險(xiǎn)的話，則會(huì)要求用戶進(jìn)行密碼重置處理。

在登錄模式中，微軟還部署了金融級(jí)別的訪問以及位置監(jiān)控技術(shù)，以確保整個(gè)過程都不會(huì)出現(xiàn)問題。該技術(shù)既能夠選擇直接阻止可疑嘗試，也可以要求訪問者回答身份驗(yàn)證方面的額外問題，再?zèng)Q定是否授予相應(yīng)的訪問權(quán)限。

進(jìn)一步加強(qiáng)安全方面的各項(xiàng)設(shè)置

多爾聲稱，微軟客戶服務(wù)團(tuán)隊(duì)正致力于加強(qiáng)安全性方面的工作。舉例來說，現(xiàn)在密碼長(zhǎng)度的限制已經(jīng)提升到16個(gè)字符，這讓暴力破解攻擊獲得成功的難度進(jìn)一步上升。當(dāng)然，他也指出，微軟也在應(yīng)對(duì)密碼長(zhǎng)度增加給現(xiàn)有系統(tǒng)帶來的新問題。

多爾解釋說：“不幸的是，由于歷史遺留問題帶來的限制，導(dǎo)致密碼驗(yàn)證策略被分散在不同的產(chǎn)品之中，因此，這樣重大的調(diào)整將需要較長(zhǎng)時(shí)間才能全部完成”。

不過，一名微軟用戶MondayBlues在發(fā)表的評(píng)論中指出，雅虎信箱、谷歌信箱、Hushmail、Yandex以及歐朋免費(fèi)信箱都已經(jīng)容許設(shè)置最大長(zhǎng)度為30個(gè)字符的密碼。

多爾指出，用戶在使用基于SkyDrive空間的同步軟件以及在Xbox.com上購(gòu)買產(chǎn)品的時(shí)間都需要選擇雙因子認(rèn)證模式。他聲稱，微軟還將會(huì)在更多產(chǎn)品以及服務(wù)中部署這項(xiàng)安全措施。不過，目前這項(xiàng)工作并沒有已經(jīng)確定好的時(shí)間表。