編譯丨諾亞

出品 | 51CTO技術(shù)棧（微信號：blog51cto）

據(jù)Cybernews的網(wǎng)絡(luò)安全專家透露，史上最大規(guī)模的被盜密碼庫已流入某個臭名昭著的黑市，堪稱黑客界的“潘多拉魔盒”被打開。

這起名為“RockYou2024”的泄露事件，由網(wǎng)友“ObamaCare”首度發(fā)布，其核心是一份藏有近100億個獨一無二的明文密碼清單。這些密碼，據(jù)說源自數(shù)年來一連串的數(shù)據(jù)泄露和黑客入侵事件，最終在7月4日，以一種悄無聲息的方式登陸暗網(wǎng)，成為迄今為止規(guī)模最龐大的被盜憑證寶典。

簡單來說，“RockYou2024”實際上就是全球網(wǎng)民的真實密碼大集合，專家向Cybernews透露：“這么多密碼被破壞分子掌握，無疑讓‘撞庫’攻擊的風(fēng)險飆升到了新高度?！?/p>

所謂“撞庫”攻擊，就像是網(wǎng)絡(luò)世界的“萬能鑰匙”，老套但有效，往往被不法分子、勒索軟件團伙乃至各種類型的黑客廣泛采用，用以非法侵入各種服務(wù)和系統(tǒng)。

現(xiàn)在，有了“RockYou2024”這份密碼寶典，威脅分子可能對任何防護薄弱的系統(tǒng)發(fā)起暴力破解，輕松侵入數(shù)據(jù)集里密碼主人的各類線上賬戶。

關(guān)鍵是這不僅限于我們?nèi)粘＝佑|的在線服務(wù)，連同那些聯(lián)網(wǎng)的攝像頭和工業(yè)設(shè)備，也可能成為攻擊目標。

專家警告：“一旦‘RockYou2024’與其他黑客論壇上流通的泄露數(shù)據(jù)庫聯(lián)手，比如用戶的郵箱地址和其他敏感信息，那么，數(shù)據(jù)泄露、金融詐騙、身份盜竊……一連串的災(zāi)難性后果將接踵而至。”

盡管這一事件性質(zhì)嚴重，但值得一提的是，Cybernews 研究人員將 RockYou2024 泄露事件中的密碼與 Cybernews 泄露密碼檢查器的數(shù)據(jù)進行了交叉對照，結(jié)果顯示，這些密碼來自新舊數(shù)據(jù)泄露的混合。

也就是說，“RockYou2024”主要還是以往密碼泄露事件的匯編，據(jù)估計包含了來自總計4000個巨大被盜憑證數(shù)據(jù)庫的條目，時間跨度至少達二十年之久。

值得注意的是，新文件中包含了一個早先的憑證數(shù)據(jù)庫——“RockYou2021”，其中含有84億個密碼?！癛ockYou2024”在此基礎(chǔ)上新增約15億個密碼，時間范圍從2021年至2024年，這個數(shù)字固然龐大，但也僅占此次泄露報告的近100億個密碼的一小部分。   

因此，自2021年以來已經(jīng)更改過密碼的用戶可能無需過于擔心自己的信息會被泄露。話雖如此，Cybernews的研究團隊還是強調(diào)了維護數(shù)據(jù)安全的重要性。

那么為了預(yù)防密碼泄露，可行的防范措施又有哪些呢？比如：

• 采用強密碼策略。強制執(zhí)行復(fù)雜的密碼規(guī)則，比如，必須包含大寫字母、小寫字母、數(shù)字和特殊字符；      
• 盡可能地啟用多因素認證（MFA）。這是一種除了密碼之外還需要額外驗證形式的安全措施。如此一來，即使密碼被泄露，攻擊者也難以僅憑密碼登錄；        
• 使用密碼管理軟件。尤其對于科技用戶來說，這類軟件能安全生成并存儲復(fù)雜密碼，從而降低在多個賬戶間重復(fù)使用同一密碼的風(fēng)險。

參考鏈接：https://www.jpost.com/business-and-innovation/article-809428