近日,据外媒securityaffairs披露,微软发现因使用泄露了的密码,有 4400 万个微软 Azure AD 和 Microsoft Services 账户容易遭到黑客劫持。
据悉,微软威胁研究团队的专家分析了一个数据库,其中包含来自不同安全漏洞的 30 亿个泄露凭证。
“微软威胁研究小组检查了从不同泄露事件中获取的数十亿个凭证,来查找微软系统中的受损凭证。“微软在帖子中写道,“到目前为止,2019 年,威胁研究团队检查了超过 30 亿个凭据,找到超过 4400 万个 Azure AD 和 Microsoft Services 账户的匹配项。”
对于数据库中属于其用户的每个凭证,微软强制重设泄露的密码,并建议用户尽可能使用 MFA。
MFA,又称多因素认证,它是一种计算机访问控制的方法。用户需通过两种以上的认证机制后,才能得到授权,使用计算机资源。
由于在多种服务上重用密码和使用弱密码的习惯,微软用户的账户非常容易受到黑客攻击。
微软声称,一旦启用MFA(多因素认证)就可以阻止 99.9%的身份攻击,从而大大提高账户的安全性。
”一旦威胁者在野掌握了泄露凭证,“报告表示,”它们就可以尝试执行重放攻击。在这种攻击中,攻击者会在不同的服务账户上尝试使用相同凭证,来查看是否存在匹配项。“
微软敦促 Azure 用户使用 MFA(多因素认证),并提供相应的解决方案来保护客户免受威胁和攻击。(将用户标记为高风险并通知管理员强制执行密码重置)
在个人用户方面,微软会找到相匹配的泄露凭证,并强制重置密码。因此,个人用户无需采取其他措施。
在企业方面,微软则会提高用户安全风险并警告管理员,从而可以很快执行凭证重置。
事实上,密码一直是个影响安全的重要问题,这包括人们经常使用弱密码或重用密码。以弱密码为例,在 2018 年最糟糕的密码排行榜中,“123456”排名第一。其他比较糟糕的密码,还包括 password、123456789、12345678、12345、111111、1234567、sunshine、qwerty、iloveyou 等。
同时,人们还喜欢多个账户使用同一个密码。一旦黑客掌握它,就可以进行不断尝试,安全风险非常高。
据了解,像 Mozilla 或 Google 这样的公司都引入了改善密码使用的功能。2019 年 2 月,谷歌发布其密码检查扩展程序,并于 2019 年 8 月开始将其集成到浏览器中。并且,该公司还于 2019 年在其网站上推出针对 Google 帐户的新密码检查功能。
而 Mozilla 则将 Firefox Monitor 集成到 Firefox Web 浏览器中,该 Web 浏览器旨在检查弱密码并监视密码是否被泄漏。此外,使用独立密码管理器的计算机用户也可以根据泄漏数据库检查密码。
InfoQ编辑
Java 避坑指南:Java 高手笔记代码篇
本迷你书包括 86 个业务开发中常见踩坑点。每一个知识点都相当的实用,是程序员业务开发中的必备避坑指南...
评论