成千上萬的妥協密碼憑據即使在敏感的財務,政府和電子郵件帳戶。
一項新的Google研究透露,它標記為不安全的316,000個用戶,這些用戶繼續使用已經被黑客密碼的密碼。 Google根據網站登錄和從Google Chrome上的密碼檢查擴展程序收集的數據收集了此信息。
“這項研究說明了對密碼洩露警報的安全,民主化的訪問如何有助於減輕劫持的一個維度,” Google發表在其安全博客上。
該研究是作為USENIX安全研討會的一部分發布的。
密碼檢查擴展名
每當用戶使用超過40億個用戶名和密碼之一登錄站點時,該擴展名將顯示警告,因為由於第三方數據洩露,Google知道這是不安全的。
在2月推出的第一個月中,Google掃描了2100萬個用戶名和密碼,發現按擴展程序掃描的簽名中有1.5%是有風險的。Google說,用戶更有可能重複使用脆弱的密碼,從而進一步將其帳戶面臨劫持風險。
根據密碼檢查擴展程序報告的匿名遙測,用戶通常在某些網站(例如新聞和娛樂網站)上重複使用脆弱的密碼。在用戶可以保存信用卡詳細信息的購物網站上,風險最普遍。
研究補充說,劫持範圍的風險是視頻流和色情網站最高的,最多可用於使用的用戶中有6.3%的用戶使用違反了證書。
“我們的研究表明,用戶選擇將密碼檢查擴展標記標記的不安全密碼重置26%。甚至更好的是,60%的新密碼可以安全地猜測攻擊,這意味著攻擊者將在識別新密碼之前,將攻擊者超過一億個猜測。”
如何保護密碼憑據
不改變的最大風險妥協密碼是憑證填充。這種類型的網絡攻擊使黑客可以組合用戶名和以前數據洩露的密碼並使用它們在新站點上獲得非法訪問或蠻力帳戶。當發現比賽時,黑客可以接管受害者的帳戶。
最近的憑證事件影響了Dunkin甜甜圈和保險提供商州農場。有了Dunkin Donuts的案例,黑客式的客戶帳戶在Dark Web論壇上出售。
該研究提出了一種隱私保護協議,其中客戶可以查找集中式漏洞庫,以了解是否公開暴露了特定的用戶名和密碼組合。這是可能的,而無需揭示查詢信息。根據Google的說法,製作查詢的客戶端可以是最終用戶,密碼管理器或身份提供商。
