在暗網(wǎng)市場，人們可以買到任何非法物品，如毒品、武器、虛假文檔，甚至是被盜的數(shù)據(jù)庫。雖然 Hansa 和 AlphaBay 這兩個最大的暗網(wǎng)市場已被關(guān)停，交易行為受到了一定的打擊，但這并不意味著暗網(wǎng)的交易被完全遏制。近日，暗網(wǎng)監(jiān)控公司 4iQ 發(fā)現(xiàn)了高達 41GB 的數(shù)據(jù)文件，其中包含 14 億個明文存儲的賬號郵箱和密碼等登錄憑證。

這次數(shù)據(jù)泄露嚴重嗎?

研究人員認為，這是迄今為止「在暗網(wǎng)中發(fā)現(xiàn)的最大的數(shù)據(jù)庫集合」。即使是新手黑客，也能通過購買數(shù)據(jù)庫的賬號密碼信息，從而進行攻擊。此前，在暗網(wǎng)中出現(xiàn)的最大的數(shù)據(jù)庫是 Exploit.in 泄露的 5.93 億賬戶和 Onliner Spambot 泄露的 7.11 億賬戶。

這次數(shù)據(jù)庫是于2017 年 12 月 5 日在暗網(wǎng)論壇上發(fā)現(xiàn)的，數(shù)據(jù)庫中包含的明文登錄憑證具體數(shù)值是 1400553869。4iQ 的 Julio Casal 解釋道，這個數(shù)據(jù)庫使查找密碼的速度比以前更快，更容易。他舉例一個例子，在搜索「admin」、「administrator」和「root」這些常用的默認用戶名時，幾秒之內(nèi)就返回了 226631 個管理員用戶的密碼。

據(jù)了解，有了這些默認的用戶名和密碼，黑客利用最基礎(chǔ)的技術(shù)，就能發(fā)動攻擊。

4iQ 給出了排行前 40 的最常用的密碼排行表。從圖片中我們可以看出，使用弱密碼的人還有非常多，可見大家都沒有從中吸取教訓。「123456」仍然是最常用的密碼。

該公司進一步指出，總共有 14%的暴露的登錄證書從未公開過，也沒有在任何論壇上解密過，但是現(xiàn)在這些證書可以以明文形式提供給任何人下載。研究人員還認為，這個數(shù)據(jù)庫是 100% 解密的，并按照字母順序進行排序，所以對用戶造成了很大的威脅，因為有很多人在社交媒體和銀行平臺使用了相同的密碼。

一位業(yè)內(nèi)人士告訴極客公園，這次的數(shù)據(jù)庫泄露事件，大致是各種庫的集合，很多廠商均中招了。雖然只是一些老數(shù)據(jù)庫，但這只是黑產(chǎn)中的冰山一角。

什么樣的技術(shù)才能保證密碼的安全?

有人說，把密碼設(shè)置得復雜一點，就能保證賬號安全了，是這樣嗎?

央視在今年 3 月份報道了一起離奇的詐騙案件，受害者的手機沒有中毒，也沒有收到惡意的電話和短信，銀行里的錢便不翼而飛了。經(jīng)過調(diào)查發(fā)現(xiàn)，這是一起「撞庫」攻擊，也就是說，違法分子利用其他地方獲得的賬號密碼，去銀行嘗試登陸。

隨后，對用戶的網(wǎng)銀手機號進行破解，最終盜取了銀行存款。因此，除了把密碼設(shè)置得復雜一些，還要針對每個網(wǎng)站設(shè)立不同的密碼。

但很多人紛紛表示，他們記不住過于復雜的密碼。那么，我們應(yīng)該通過什么樣的技術(shù)手段，保證安全?

很多人第一時間想到了短信驗證碼，用戶只需填寫手機號碼，點擊「獲取驗證碼」，輸入驗證碼就能登錄了。但這種技術(shù)實際上并不安全，根據(jù)獵豹安全實驗室的云端監(jiān)控數(shù)據(jù)顯示，近 1 個月截獲的「短信攔截」類樣本變種數(shù)量超過 10 萬，影響用戶數(shù)達數(shù)百萬之多。

2016 年，中國海天集團有限公司創(chuàng)始人兼 CEO Seeker 曾在黑客大會展示了一種名為「LTE/4G 偽基站+GSM 中間人攻擊」的技術(shù)，只需很低的成本，背上一個小背包，就能攻擊附近的人。他后來向媒體表示，最壞的情況是，黑客能以每秒 20 個手機用戶的速度血洗銀行賬戶。

隨著科技的發(fā)展，很多人認為生物識別技術(shù)會解決這個問題。通過指紋識別、人臉識別來驗證登錄。但生物識別技術(shù)也帶來了一定的弊端，2009 年，印度政府啟動一個生物識別數(shù)據(jù)庫的新身份項目，該項目名為 Aadhaar，收集超過 10 億人口的姓名、地址、手機號以及可能更為重要的指紋、相片和虹膜掃描，印度人生活的方方面面都需要這個項目。

但隨之而來的是數(shù)據(jù)泄露事件，據(jù)外媒報道，印度執(zhí)法部門 RTI 于近期發(fā)現(xiàn)超過 210 家政府網(wǎng)站在線曝光了 Aadhaar 的詳細信息。雖然數(shù)據(jù)泄露的嚴重程度沒有公布，但這一定會帶來嚴重的后果。生物識別技術(shù)和密碼不同，密碼可以更換，而指紋等生物特征則無法更換。

蘋果在很早以前就考慮到了這一點，在設(shè)計 iPhone 5s 時采用 A7 主芯片，其中包含了名為「Secure Enclave」的高級安全架構(gòu)，專門用于保護密碼和指紋數(shù)據(jù)。Touch ID 不會儲存指紋的任何圖像，而僅依賴數(shù)學表示形式。任何人都不可能通過逆向工程從這種儲存數(shù)據(jù)中獲得實際的指紋圖像。但是，業(yè)內(nèi)人士告訴極客公園，并不是所有的公司都像蘋果一樣注重安全，有些公司會將生物識別的數(shù)據(jù)存在云端，還是存在泄露的風險。

數(shù)字證書會是另外一種很好的方式，它是一種權(quán)威的電子文檔，可以由權(quán)威公正的第三方機構(gòu)、企業(yè)級系統(tǒng)進行簽發(fā)，人們可以用它來識別個人的身份。

由于存在不容易被偽造和截獲的特點，它被廣泛應(yīng)用于網(wǎng)上銀行、電子政務(wù)、電子商務(wù)、企業(yè)內(nèi)部應(yīng)用、電子招投標等對于信息安全等級要求較高的場景。翼道網(wǎng)絡(luò)告訴極客公園，他們推出了移動端的數(shù)字證書，證書存儲于手機，不需要額外攜帶其他的硬件設(shè)備，降低了硬件的管理成本。

但是需要更換數(shù)字證書時，如何確保是真實用戶在操作?業(yè)內(nèi)人士向極客公園表示，在企業(yè)內(nèi)部，可以通過郵箱確認，在企業(yè)之外，只能通過大數(shù)據(jù)手段來驗證。因此數(shù)字證書更多被用于政企內(nèi)部，以及高價值客戶等對于信息安全等級要求較高的場景。

其實，任何一種方式都存在被破解的可能。所以，很多人都提出了利用「雙因子驗證」的方法來解決上述問題，也就是結(jié)合密碼和實物(信用卡、SMS 手機、令牌或指紋等生物標志)。例如，當使用聲紋識別驗證時，VoiceGesture 技術(shù)能讓智能手機傳輸超出用戶臉部的超聲波，以此確認聲音是否由真實用戶發(fā)出。實際上，隨著人工智能的到來，很多公司提出了用人工智能分析用戶的行為，以此確定你是否是一個真實的用戶。