微軟研究發現其 4400 萬個帳戶使用已洩露的密碼

微軟在 2019 年對超過 30 億個公司賬戶進行了密碼重用分析，以找出微軟客戶使用的密碼數量。該公司從公共來源收集密碼雜湊資訊，並從執法機構獲得額外資料，並將這些資料用作比較的基礎。

對 2016 年密碼使用情況的分析顯示，約 20% 的網際網路使用者重複使用密碼，另有 27% 的使用者使用的密碼與其他賬戶密碼幾乎相同。2018 年的研究結果顯示，大部分網民仍然青睞弱密碼，而非安全密碼。

像 Mozilla 或 Google 這樣的公司都引入了改善密碼使用的功能。谷歌於 2019 年 2 月釋出了其密碼檢查擴充套件程式，並於 2019 年 8 月開始將其本地整合到瀏覽器中。該公司還於 2019 年在其網站上推出了針對 Google 帳戶的新密碼檢查功能。Mozilla 將 Firefox Monitor 整合到 Firefox 瀏覽器中，該瀏覽器旨在檢查弱密碼並監視密碼是否已經洩漏。

微軟一直在推動無密碼登入已經有一段時間了，該公司的密碼重用研究提供了一個原因。根據微軟的說法，4400 萬個 Azure AD 和微軟服務帳戶使用在洩漏的密碼資料庫中也可以找到的密碼。這大約是該公司在研究中檢查所有憑證的 1.5％。

現在微軟將強制重置洩露的密碼。微軟使用者將被要求更改帳戶密碼。目前尚不清楚如何將資訊傳達給受影響的使用者或何時重置密碼。在企業方面，微軟將提高使用者風險並警告管理員，以便可以強制執行憑據重置。微軟建議客戶啟用一種形式的多因素身份驗證，以更好地保護其帳戶免受攻擊和洩漏。根據微軟的說法，如果使用多因素身份驗證，則 99.9% 的身份攻擊不會成功。

來源：cnBeta.COM

更多資訊

新漏洞讓攻擊者能劫持 VPN 連線

安全研究人員發現了一個漏洞允許攻擊者劫持 VPN 連線。漏洞存在於使用 Weak Host Model 的 TCP/IP 協議棧，主要影響同一子網路中的 VPN 連線，比如同一個 WiFi 網路。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5529.html 

除了 HTML、CSS 與 JS，現在 WASM 也是標準 Web 語言

大家應該知道，全球資訊網聯盟 W3C 認證的 Web 語言有 HTML、CSS 與 JavaScript，而近日聯盟正式宣佈 WebAssembly 核心規範（WebAssembly Core Specification）成為官方 Web 標準，這意味著 WebAssembly 成為了第 4 種 Web 語言。

來源：開源中國
詳情連結：https://www.dbsec.cn/blog/article/5530.html 

微信發原圖洩露隱私是啥道理？談談 EXIF 那點事

最近，“微信傳送原圖會洩露位置資訊”的相關新聞，引起了很多人的關注。不少媒體都報導了此時，包括電視臺、報紙等官媒也證實、擴散了這一訊息。很多朋友都對此感到擔憂，但實際上，這其實是一個老生常談的常識——圖片所包含的資訊，本來就不僅僅是視覺元素，其附帶的Exif資訊，往往能挖出很多頗具價值的資訊。

來源：太平洋電腦網
詳情連結：https://www.dbsec.cn/blog/article/5531.html 

寶馬網路系統遭“海蓮花”滲透 車企為何成新目標？

德國汽車巨頭寶馬發現並監控了一起長期的黑客入侵行為。該行為始於2019年春季，黑客滲透到公司的網路系統中，並使用假冒網站企圖掩人耳目。上週末，在密切關注他們的活動之後，寶馬的安全團隊終於關閉了受感染計算機，阻止了攻擊者訪問網路。

來源：雷鋒網
詳情連結：https://www.dbsec.cn/blog/article/5532.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視