今年年初曾發生一起稱為Collection #1的大規模資料洩露事件,包含了7.73億電子郵件地址和2100多萬個唯一密碼。外媒曾稱其為“有史以來遭洩露的最大資料集”。而過去類似的大規模資料洩露事件也經常發生。例如,在2016年,有大約4.27億個MySpace密碼和1.17億個 LinkedIn密碼在暗網上出售。
外媒認為,如果仔細閱讀所洩露的資料,與過去的其他大規模資料洩露事件相比,Collection #1事件實際上並沒有那麼糟糕。根據首次報告和分析它的安全研究員 Troy Hunt 的說法,這個資料集包括7.73億個唯一的電子郵件地址和2100萬個唯一密碼。
但這裡有一些關鍵的因素。首先,這是幾個舊資料洩露的集合。事實上,在這個系列中的7.73億個唯一的電子郵件地址中,只有1.41億(約18%)未包含在 Hunt的“ Have I Been Pwned”服務中。在2100多萬個密碼中,有一半不在資料庫中。
這意味著很可能,使用者舊的簡單密碼之前已經被竊取,並且使用者應該已經收到過“ Have I Been Pwned”等服務的通知了。正如Hunt所說的那樣,“我的希望是,對於許多人來說,這將是他們需要對他們的線上安全態勢做出重大改變的提示。”
外媒認為,使用者需要做的重要改變是確保使用唯一的密碼,並在任何地方啟用雙因素身份驗證。當Collection #1之類的資料洩露事件發生時,網路犯罪分子會使用所謂的撞庫(Credential-Stuffing)入侵使用者的帳戶,這幾乎是使用者線上安全面臨的唯一真正風險。這些是自動攻擊,駭客透過收集網際網路已洩露的使用者和密碼資訊,嘗試批次登陸其他網站後,得到一系列可以登入的賬戶。
而如果使用者使用唯一的密碼和雙因素身份認證,這些攻擊將無法正常工作。
今年年初曾發生一起稱為Collection #1的大規模資料洩露事件,包含了7.73億電子郵件地址和2100多萬個唯一密碼。外媒曾稱其為“有史以來遭洩露的最大資料集”。而過去類似的大規模資料洩露事件也經常發生。例如,在2016年,有大約4.27億個MySpace密碼和1.17億個 LinkedIn密碼在暗網上出售。
外媒認為,如果仔細閱讀所洩露的資料,與過去的其他大規模資料洩露事件相比,Collection #1事件實際上並沒有那麼糟糕。根據首次報告和分析它的安全研究員 Troy Hunt 的說法,這個資料集包括7.73億個唯一的電子郵件地址和2100萬個唯一密碼。
但這裡有一些關鍵的因素。首先,這是幾個舊資料洩露的集合。事實上,在這個系列中的7.73億個唯一的電子郵件地址中,只有1.41億(約18%)未包含在 Hunt的“ Have I Been Pwned”服務中。在2100多萬個密碼中,有一半不在資料庫中。
這意味著很可能,使用者舊的簡單密碼之前已經被竊取,並且使用者應該已經收到過“ Have I Been Pwned”等服務的通知了。正如Hunt所說的那樣,“我的希望是,對於許多人來說,這將是他們需要對他們的線上安全態勢做出重大改變的提示。”
外媒認為,使用者需要做的重要改變是確保使用唯一的密碼,並在任何地方啟用雙因素身份驗證。當Collection #1之類的資料洩露事件發生時,網路犯罪分子會使用所謂的撞庫(Credential-Stuffing)入侵使用者的帳戶,這幾乎是使用者線上安全面臨的唯一真正風險。這些是自動攻擊,駭客透過收集網際網路已洩露的使用者和密碼資訊,嘗試批次登陸其他網站後,得到一系列可以登入的賬戶。
而如果使用者使用唯一的密碼和雙因素身份認證,這些攻擊將無法正常工作。