RockYou2021:84亿口令记录泄露
发布时间:2021-06-16 06:34:27|浏览次数:1014
近日,美国管道运营商Colonial Pipeline Company遭到勒索软件攻击,被迫下线整个系统,黑客通过安装非法软件获得了受害者计算机系统或数据的控制权,收到赎金后才交还资产。该公司负责人表示,本次黑客攻击只需窃取一个口令,就可以攻入该公司系统。
无独有偶,某黑客论坛有用户发布了一个100GB的txt文件,其中含有84亿条口令记录,预计该文件是融合了之前的数据泄露得来的。
据发布的用户称,该集合中的所有口令长度都在6-20个字符之间,并移除了所有的非ASCII码字符和空格。该用户称其中包含82亿口令记录,但研究人员检查发现其中包含8459060239(84.59亿)条记录。
论坛用户将其命名为RockYou2021,可能是参考了2009年泄露的RockYou数据集,其中有3200万条明文口令记录泄露。
RockYou2021泄露的口令示例:
考虑到全球约有47亿网民,RockYou2021包含的口令记录约是全球网民数量的2倍。
这84亿条唯一的口令集的口令和其他包含用户名、邮箱地址、口令的口令集可以组合使用,因此攻击者可以使用RockYou2021数据集来进行词典攻击和一系列的暴力破解攻击。
因为大多数用户会在不同的APP和网站重用口令,碰撞攻击和暴力破解攻击可能会影响数千万甚至上亿用户。
想判断自己的账号是否有泄露,访问这里测试下,https://cybernews.com/personal-data-leak-check/。
小编的账号已经很明确的被泄露了。
后果
对企业而言是公司账号泄漏、内网数据被攻击。
在国内护网中,经统计,90%以上的攻击,是由口令获得突破口。
弱口令、默认口令、通用口令和已泄露口令通常是攻击者关注的重点。实际工作中,通过弱口令攻击成功的情况占据90%以上。
很多企业员工用类似zhangsan、zhangsan001、zhangsan123、zhangsan888这种账号拼音或其简单变形,或者123456、888888、生日、身份证后6位、手机号后6位等做口令。导致通过信息收集后,生成简单的口令字典进行枚举即可攻陷邮箱、OA等账号。
更进一步,攻击者通过已泄漏的社工库,对企业网络进行碰撞。口令天生的弱点,让员工很难为每一个应用单独维护。
在海外的勒索事件中,也是通常由口令作为入口,再进行提权攻击。
该怎么做?
如何加强口令管理,微软AZ团队身份的PM的建议是:赶快实现无口令吧!
通过简单便利的无口令身份认证方法可以有效地协调用户和业务需求。减少认证过程中复杂度的组织可以减轻管理员的压力,提升管理员的工作效率,从而成比例的提高安全性。生物识别技术、多因素认证(MFA)和标记化技术的进步,以及FIDO联盟的发展,正在推动无口令认证的进程。
下一篇内容,我们将进一步介绍无口令架构的搭建,敬请期待。