暗網驚現世界財富500強公司2100萬登入憑證

在各個地方暗網上的可以發現從財富500強公司盜取的大約2100萬個登入憑證，其中許多憑證已經被破解並以明文形式提供。

​

該資訊是透過抓取多種資源來編譯的，例如Tor網路中的市場，Web論壇，Pastebin，IRC頻道，社交網路和Messenger聊天。

即將破解的密碼

21040296是安全研究人員在網路上發現的排名前500名公司的憑據的準確數量。

其中大多數來自科技公司，緊隨其後的是金融業組織。醫療保健，能源，電信，零售，工業，運輸，航空航天和國防領域的實體也在名單上。

不過，並非所有人都新鮮。ImmuniWeb在今天釋出的一份報告中說，他們發現的16,055,871份憑據在過去12個月中遭到了破壞。

但是，研究人員揭示了一個令人擔憂的統計資料：“ 95％的憑據包含未加密的或由攻擊者強行破解的明文密碼。”

使用機器學習技術，研究人員能夠透過清除偽造的洩漏，重複項和自動設定的預設密碼來確定資料集的準確性和可靠性。

狂熱的熱門密碼

儘管發現了多達2100萬個登入記錄，但該報告指出其中只有490萬個是唯一的，“這表明許多使用者正在使用相同或相似的密碼”。

當然，最不安全的密碼及其變體出現在資料集中。而且在幾乎所有行業的公司資料集中都可以找到它們，金融行業除外，在財務行業中，使用者依賴於其他同樣弱小的登入名。

儘管它並不是在所有情況下都最受歡迎，但是在使用最頻繁的前五位密碼中都存在“ password”及其變體。

只需看一下下面的密碼就可以清楚地看出，公司仍然還沒有學會如何保護對其資產的訪問，並且關於使用強密碼的建議也隨即消失了。

即使是不使用特殊符號，數字或大寫字母的簡單短語也比它們中的任何一個都要好。

根據該報告，最弱的登入來自零售業，其中幾乎一半的密碼少於8個字元長，可以在常用詞典中找到。

但是，其他行業的公司在這方面並不落後。ImmuniWeb報告中密碼強度最低的前十名行業中，大多數行業的登入次數可能會超過三分之一，甚至幾秒鐘即可被破解。

研究人員指出，大約11％的資料洩露密碼是相同的。這可以透過使用預設密碼（機器人建立帳戶）來解釋。

ImmuniWeb說，另一種可能的方法是為大量帳戶定義相同的密碼。此外，Web安全等級（C或F）較差的子域的數量與所公開的憑據成比例是可能存在聯絡的。

ImmuniWeb執行長兼創始人Ilia Kolochenko說，網路犯罪分子專注於獲取他們想要的最短，阻力最小的路徑。根據報告中的登入資料，他們可以輕鬆獲得獎金。