微軟在 2019 年間對超過 30億 個公司帳戶進行了密碼重用分析,以找出微軟客戶正在使用的密碼中有多少。該公司從公開來源收集了密碼雜湊資訊,並從執法機構收到了其他資料,並將這些資料用作比較的基礎。
資料顯示,2016 年對密碼使用情況的分析表明,大約 20% 的網際網路使用者正在重用密碼,另外 27% 的使用者使用的密碼與其他帳戶密碼“幾乎完全相同”。在2018 年,則仍然有很大一部分網際網路使用者仍然偏愛弱密碼而不是安全密碼。
事實上,像 Mozilla 或 Google 這樣的公司都已引入了改善密碼使用的功能。谷歌於 2019 年 2 月釋出了其密碼檢查擴充套件程式,並於 2019 年 8 月開始將其本地整合到瀏覽器中。該公司還於 2019 年在其網站上推出了針對 Google 帳戶的新密碼檢查功能。
而 Mozilla 則將 Firefox Monitor 整合到 Firefox Web 瀏覽器中,該 Web 瀏覽器旨在檢查弱密碼並監視密碼是否洩漏。此外,使用獨立密碼管理器的計算機使用者也可以根據洩漏資料庫檢查密碼。
據瞭解,就推動無密碼登入而言,微軟方面已經推行有一段時間了。
根據 Microsoft 的說法,4400 萬個 Azure AD 和 Microsoft Services 帳戶使用在洩漏的密碼資料庫中也可以找到的密碼。這大約是該公司在研究中檢查的所有憑證的 1.5%。
微軟引用了一項研究,該研究分析了近 3000 萬使用者的密碼使用情況。結論是,密碼重用和修改在 52% 的使用者中很普遍,並且“修改後的密碼和所有重用的密碼中有 30% 可以在 10 個猜測之內破解”。
因此,Microsoft 將強制重置洩露的密碼。Microsoft 帳戶客戶將被要求更改帳戶密碼,不過目前尚不清楚如何將資訊傳達給受影響的使用者或何時重置密碼。
在企業方面,Microsoft 將提高使用者風險並警告管理員,以便可以強制執行憑據重置。
Microsoft 建議客戶啟用一種形式的多因素身份驗證,以更好地保護其帳戶免受攻擊和洩漏。根據 Microsoft 的說法,如果使用多因素身份驗證,則 99.9% 的身份攻擊不會成功。
自 開源中國