[[281015]]

【51CTO.com快譯】暗網上多處出現了從《財富》500強公司竊取的2100余萬條登錄信息，其中許多登錄信息已被破解，以明文形式提供。

這些信息是通過抓取多個資源整理而成的，比如Tor網絡中的市場、互聯網論壇、Pastebin、IRC頻道、社交網絡和Messenger聊天。

破解的密碼

安全研究人員在網絡上發現，屬于500強公司的登錄信息的確切數量是21040296條。

其中大多數來自科技公司，緊隨其后的是金融業組織。醫療保健、能源、電信、零售、工業、運輸、航空航天和國防等領域的企業組織也榜上有名。

不過，并非所有登錄信息都是新的。ImmuniWeb在今天發布的一份報告中稱，他們發現的登錄信息中有16055871條在過去的12個月已泄密。

然而研究人員發布了一個令人擔憂的統計數據：“95%的登錄信息含有未加密的或已被攻擊者蠻力破解的明文密碼。”

研究人員使用機器學習技術，通過清除虛假泄漏、重復密碼和自動設置的默認密碼，確定了該數據集的準確性和可靠性。

薄弱的熱門密碼

盡管發現了多達2100萬條登錄記錄，但報告特別指出其中只有490萬條是不重復的，“這表明許多用戶在使用相同或相似的密碼。”

當然，最不安全的密碼及其變體出現在了該數據集中；它們出現在幾乎所有垂直行業（金融行業除外）的公司的數據集中，用戶依賴其他同樣薄弱的登錄信息。

雖然“password”及其變體并非在所有情況下都最受歡迎，但還是名列使用最頻繁的前五個密碼。

只要看一下下面的密碼就可以清楚地看出，公司仍然還沒有學會如何保護對其資產的訪問，關于使用強密碼的建議完全形同虛設。

就連不使用特殊符號、數字或大寫字母的簡單密碼也比這些密碼都要好。

據報告顯示，最弱的登錄信息來自零售業，幾乎一半的密碼長度不到8個字符，可以在常用詞典中找到。

然而，其他行業的公司在這方面好不了多少。ImmuniWeb報告中密碼最弱的十大行業中，大多數三分之一或更多的登錄信息在短短幾秒鐘內即可被破解。

研究人員特別指出，來自數據泄密的密碼中約11%是相同的。使用默認密碼（機器人程序創建帳戶）可以解釋這點。

ImmuniWeb稱，另一種可能是密碼重置程序為大量帳戶創建相同的密碼。此外，Web安全等級較差（C或F）的子域數量與泄露的登錄信息之間也存在著正比聯系。

ImmuniWeb首席執行官兼創始人Ilia Kolochenko表示，網絡犯罪分子專注于最短、阻力最小的路徑來達到目的。從報告中的登錄數據來看，他們不費吹灰之力就如愿以償。

原文標題：21 Million Logins for Top 500 Firms Offered on the Dark Web，作者：Ionut Ilascu

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】