SpyCloud透露，整個2019年共恢復(fù)了640次獨特的數(shù)據(jù)泄露，回收了9,050,064,764份憑證，其中包括與純文本密碼和帶有純文本密碼的用戶名相關(guān)的電子郵件地址。

這意味著平均而言，每一個數(shù)據(jù)庫泄露都為犯罪分子提供了超過1400萬套登錄憑據(jù)。

由于人們經(jīng)常在個人和工作中的多個帳戶中重復(fù)使用密碼，因此每組登錄憑據(jù)都可用于訪問數(shù)十個或更多帳戶，網(wǎng)絡(luò)罪犯可以通過這些帳戶進行欺詐。

[[315296]]

憑證暴露報告

去年，近三分之一受數(shù)據(jù)泄露影響的互聯(lián)網(wǎng)用戶以某種形式重新設(shè)置了密碼。94%的回收密碼的人重用了完全相同的密碼，而其他6%的人做了一些細微的更改，

例如大寫首字母或在其典型密碼的末尾添加數(shù)字。這些策略很容易被工具所挫敗，這些工具會測試常見的細微變化。

[[315297]]

在組織安全性方面，趨勢令人擔憂的趨勢是，更多的犯罪分子正在共享和銷售數(shù)據(jù)，這些數(shù)據(jù)來自配置錯誤或不安全的服務(wù)器。組織也可能正在采取不完整的步驟來保護密碼。

犯罪分子使用于2012年已被盜的密碼

研究人員發(fā)現(xiàn)，恢復(fù)的密碼中有一半以上(53.7%)最初是使用過時的哈希算法SHA-1和MD5保護的。

[[315298]]

安全專家建議從2005年左右開始不使用SHA-1，從1996年開始不建議使用MD5，因為網(wǎng)絡(luò)罪犯可以輕松快速地破解使用這些功能散列的密碼并恢復(fù)純文本密碼。

“我們的數(shù)據(jù)顯示，消費者仍然沒有改變其糟糕的口令的習(xí)慣，但我們知道他們已經(jīng)授權(quán)安全組織為他們的安全負責(zé)。”大衛(wèi)·恩德爾，為首席產(chǎn)品官說SpyCloud。

[[315299]]

“犯罪分子仍在使用他們在2012年竊取的密碼來攻擊并占領(lǐng)今天的帳戶。公司需要在創(chuàng)建帳戶時指導(dǎo)用戶設(shè)置更好的密碼，并且每當他們的憑據(jù)暴露在世界任何地方的漏洞中時，他們都需要幫助用戶維護更為牢固的密碼。”

世界上很受歡迎的密碼暴露了約1.25億個帳戶

盡管在過去的幾年中，密碼疲勞和重復(fù)使用成為人們關(guān)注的焦點，但世界上最流行的密碼幾乎沒有改變。去年收集的超過90億個賬戶中，前三個是“ 123456”，“ 123456789”和“ qwerty”，它們被用于保護約1.25億個帳戶。

[[315300]]

越來越多的組織必須遵守NIST的密碼指南，建議用戶了解以前的違規(guī)語料庫中暴露最多的薄弱密碼，以及常用或易于猜測的密碼，進而避免進行使用。