暗网上多处出现了从《财富》500强公司窃取的2100余万条登录信息，其中许多登录信息已被破解，以明文形式提供。

作者：布加迪编译

暗网上多处出现了从《财富》500强公司窃取的2100余万条登录信息，其中许多登录信息已被破解，以明文形式提供。

这些信息是通过抓取多个资源整理而成的，比如Tor网络中的市场、互联网论坛、Pastebin、IRC频道、社交网络和Messenger聊天。

破解的密码

安全研究人员在网络上发现，属于500强公司的登录信息的确切数量是21040296条。

其中大多数来自科技公司，紧随其后的是金融业组织。医疗保健、能源、电信、零售、工业、运输、航空航天和国防等领域的企业组织也榜上有名。

不过，并非所有登录信息都是新的。ImmuniWeb在今天发布的一份报告中称，他们发现的登录信息中有16055871条在过去的12个月已泄密。

然而研究人员发布了一个令人担忧的统计数据：“95%的登录信息含有未加密的或已被攻击者蛮力破解的明文密码。”

研究人员使用机器学习技术，通过清除虚假泄漏、重复密码和自动设置的默认密码，确定了该数据集的准确性和可靠性。

薄弱的热门密码

尽管发现了多达2100万条登录记录，但报告特别指出其中只有490万条是不重复的，“这表明许多用户在使用相同或相似的密码。”

当然，最不安全的密码及其变体出现在了该数据集中；它们出现在几乎所有垂直行业（金融行业除外）的公司的数据集中，用户依赖其他同样薄弱的登录信息。

虽然“password”及其变体并非在所有情况下都最受欢迎，但还是名列使用最频繁的前五个密码。

只要看一下下面的密码就可以清楚地看出，公司仍然还没有学会如何保护对其资产的访问，关于使用强密码的建议完全形同虚设。

就连不使用特殊符号、数字或大写字母的简单密码也比这些密码都要好。

据报告显示，最弱的登录信息来自零售业，几乎一半的密码长度不到8个字符，可以在常用词典中找到。

然而，其他行业的公司在这方面好不了多少。ImmuniWeb报告中密码最弱的十大行业中，大多数三分之一或更多的登录信息在短短几秒钟内即可被破解。

研究人员特别指出，来自数据泄密的密码中约11%是相同的。使用默认密码（机器人程序创建帐户）可以解释这点。

ImmuniWeb称，另一种可能是密码重置程序为大量帐户创建相同的密码。此外，Web安全等级较差（C或F）的子域数量与泄露的登录信息之间也存在着正比联系。

ImmuniWeb首席执行官兼创始人Ilia Kolochenko表示，网络犯罪分子专注于最短、阻力最小的路径来达到目的。从报告中的登录数据来看，他们不费吹灰之力就如愿以偿。

原文标题：21 Million Logins for Top 500 Firms Offered on the Dark Web，作者：Ionut Ilascu

阅读目录（置顶)(长期更新计算机领域知识）

阅读目录（置顶)(长期更新计算机领域知识）

阅读目录（置顶)(长期科技领域知识）

歌谣带你看java面试题