4400 万个微软帐户使用泄露的密码

白开水不加糖
 白开水不加糖
发布于 2019年12月09日
收藏 3

微软在 2019 年间对超过 30亿 个公司帐户进行了密码重用分析,以找出微软客户正在使用的密码中有多少。该公司从公开来源收集了密码哈希信息,并从执法机构收到了其他数据,并将这些数据用作比较的基础。

数据显示,2016 年对密码使用情况的分析表明,大约 20% 的互联网用户正在重用密码,另外 27% 的用户使用的密码与其他帐户密码“几乎完全相同”。在2018 年,则仍然有很大一部分互联网用户仍然偏爱弱密码而不是安全密码。

事实上,像 Mozilla 或 Google 这样的公司都已引入了改善密码使用的功能。谷歌于 2019 年 2 月发布了其密码检查扩展程序,并于 2019 年 8 月开始将其本地集成到浏览器中。该公司还于 2019 年在其网站上推出了针对 Google 帐户的新密码检查功能。

而 Mozilla 则将 Firefox Monitor 集成到 Firefox Web 浏览器中,该 Web 浏览器旨在检查弱密码并监视密码是否泄漏。此外,使用独立密码管理器的计算机用户也可以根据泄漏数据库检查密码。

据了解,就推动无密码登录而言,微软方面已经推行有一段时间了。

根据 Microsoft 的说法,4400 万个 Azure AD 和 Microsoft Services 帐户使用在泄漏的密码数据库中也可以找到的密码。这大约是该公司在研究中检查的所有凭证的 1.5%。

微软引用了一项研究,该研究分析了近 3000 万用户的密码使用情况。结论是,密码重用和修改在 52% 的用户中很普遍,并且“修改后的密码和所有重用的密码中有 30% 可以在 10 个猜测之内破解”。

因此,Microsoft 将强制重置泄露的密码。Microsoft 帐户客户将被要求更改帐户密码,不过目前尚不清楚如何将信息传达给受影响的用户或何时重置密码。

在企业方面,Microsoft 将提高用户风险并警告管理员,以便可以强制执行凭据重置。

Microsoft 建议客户启用一种形式的多因素身份验证,以更好地保护其帐户免受攻击和泄漏。根据 Microsoft 的说法,如果使用多因素身份验证,则 99.9% 的身份攻击不会成功。

参考消息:https://www.ghacks.net/2019/12/06/microsoft-44-million-microsoft-accounts-use-leaked-passwords/

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:4400 万个微软帐户使用泄露的密码
加载中

精彩评论

IdleMan
IdleMan
如果某个网站要求过高的密码复杂度,每次登录都会使用找回密码功能。
狂飙的小蜗牛
狂飙的小蜗牛
啥密码都抗不住垃圾厂商明文保存
OSC688888
OSC688888
我现在都是keepass随机,再保存文件到onedriver。
p
phper08
网页还可以把密码记到记事本,再粘贴过来,APP的话粘贴不了,使用复杂的密码的话,要输入好久才能登录,体验相当差!
dwingo
dwingo
指纹,人脸可以用专门的安全设备识别, 并对识别结果加时间戳并做数字签名, 签名私钥焊死在设备芯片内部无法导出, 服务器用其公钥验证, 这样安全性才会高很多.

最新评论(32

Shmily丶zZ
Shmily丶zZ
银行统计一下更夸张,密码这玩意,属实蛋疼
l
liteYoung
所以现在都是微信授权第三方扫码登陆 就解决这个问题了~
sevk
sevk
开个绑定物理机器功能,像手机的登录设备管理。
胃在烧
胃在烧
手机验证码不挺方便的吗,搞这么复杂,谁还记得密码啊
haitaosoft
haitaosoft
即用即生即忘
http://haitaosite.cn/mypass/
密码,最好是自己容易记,别人很难猜;
不同场合(QQ、微信、各个邮箱、各个论坛、微博、博客、淘宝、支付宝、各个银行/证券帐号的支付/查询/取款......手机号的服务和手机的开机)的密码,不能一样,
而且不能让别人根据一个场合的密码猜到另一个场合的密码,
但自己又不必记这么多毫无关联的乱码。
狂飙的小蜗牛
狂飙的小蜗牛
啥密码都抗不住垃圾厂商明文保存
扫地农
扫地农
这是大实话
开源中国首席罗纳尔多
开源中国首席罗纳尔多
您好,请问为什么用outlook自带公司的通讯录,而用foxmail就自己导入?
MindFocus
MindFocus
请问,如果不是明文密码存储的话应该怎么分析?
红薯片
红薯片
是干编程的吗?Hash了解一下
MindFocus
MindFocus
所以怎么hash才是正确的?
haitaosoft
haitaosoft
保存: hash(用户id+hash(系统名称)+密码)
developan
developan
最好还是用指纹、人脸来登录比较方便,也安全
dwingo
dwingo
指纹、人脸也要先数字化, 服务器无法识别是否伪造的数字化的指纹/人脸.
很拽De土豆
很拽De土豆
相对于纯密码基本是个程序会都会,伪造指纹、人脸难度大太多了,而且数字化都可以伪造,恰好说明纯密码的方式并不可靠。
dwingo
dwingo
指纹,人脸可以用专门的安全设备识别, 并对识别结果加时间戳并做数字签名, 签名私钥焊死在设备芯片内部无法导出, 服务器用其公钥验证, 这样安全性才会高很多.
小白_我们什么时候才能快乐啊
小白_我们什么时候才能快乐啊
指纹 人脸也算是重用密码了吧 😃
红薯片
红薯片
现在严格的人脸识别,都会要求按系统指示做指定的动作和表情,不是一个照片能糊弄过去的
dwingo
dwingo
我说的不是前端的糊弄, 而是直接搞服务器端.
p
phper08
网页还可以把密码记到记事本,再粘贴过来,APP的话粘贴不了,使用复杂的密码的话,要输入好久才能登录,体验相当差!
dwingo
dwingo
现在app大多都是手机短信验证码, 登录token有效期也很长, 没有记忆密码的负担, 而且也顺便实名制了.
p
phper08
就怕那些不能用短信验证码登录的了
s
super_L
手机丢了 gg , 短信被嗅探了. gg
dwingo
dwingo
手机解锁不设密码/手势是自找的. 短信被嗅探了这个我还真没听说过,除非手机被root/越狱那也是自找的.
w
waterwall
取出SIM卡放到别的手机就行
dwingo
dwingo
如果来不及换卡/冻结, 这种短时间有效的权限也不会影响太大, 金融类app换手机时都不只是简单的验证码认证的, 登录微信都要额外的认证手段.
扫地农
扫地农
没听说过? 那还是很年轻 多看新闻
返回顶部
顶部