2022年迄今,超过240亿个凭证数据在暗网上流通

自2020年以来,犯罪分子在暗网上出售的用户名和密码组合数量增加了65%。
2022年迄今,超过240亿个凭证在暗网上流通

虽然无密码技术可能是当前网络安全领域最被炒作的类别之一,但实际情况是,密码仍然广泛存在,而且极不安全。一份报告发现,截至今年,网络犯罪市场上流通着约246亿组完整的用户名和密码。

这意味着每个地球上的人都有四组完整的凭证,与2020年进行这项研究时相比,这一数字增加了65%。

由Digital Shadows Photon Research团队发布的报告《2022年账户劫持》显示,网络犯罪分子继续从这一现实中获利,实施了大规模的凭证窃取、账户劫持攻击(ATO)以及黑市上对受害者账户的出售,创下了纪录。

在暗网凭证数据集中,约有67亿组提供了独特的用户名和密码配对,表明这种组合没有在数据库中重复出现。这比研究人员在2020年发现的数量多了17亿。报告还显示,销售这些凭证的市场强大而复杂,出现了几个订阅服务,为购买这些凭证的犯罪分子提供高级服务。

“无穷尽的被泄露数据清单”

对安全人员而言,更令人担忧的消息是,在这些被盗的数据存储中,许多密码本身就不够安全。

数字阴影公司的高级网络威胁情报分析师克里斯·摩根指出:“犯罪分子拥有一个无穷无尽的被泄露凭证清单可以尝试使用,但增加了这个问题的是弱密码,这意味着许多账户可以在几秒钟内通过自动化工具猜测。”

举例来说,犯罪分子出售的被盗凭证中,将近每200个密码中就有一个是123456。在那些为报告整理的50个最常用密码中,有49个可以在不到一秒钟内使用在地下论坛中常见的工具进行破解。因此,无论犯罪分子购买了一份被盗的凭证清单还是一个密码破解器,只使用这些凭证的账户都极易受到攻击。

没有办法解决问题?

这只是众多原因之一,为什么安全倡导者和技术标准组织一直在全球大力推动更可用的无密码技术。根据最近的一份Dark Reading报告,只有26%的IT决策者表示他们在一个无密码组织中工作,87%承认他们至少有一个凭证类别仍然依赖于密码。

他们希望能够无需密码进行身份验证的最常见系统是工作站登录、传统企业应用程序和云应用程序。这些数字主要关注了商业账户,而没有考虑到更加棘手的问题,即从银行账户到软件订阅服务等一切消费者身份验证。

推动无密码身份验证的最大力量之一来自FIDO联盟,该联盟在过去十多年中一直在发布高保障认证机制的标准,以淘汰密码。

今年早些时候,FIDO联盟在推出适用于消费者用例的多设备FIDO凭证愿景时承认,“我们还没有在消费者领域实现大规模采用基于FIDO的身份验证”。在远程使用个人设备工作的时代,这些密钥比密码更安全,旨在使移动设备和台式机上的登录更加便捷。在五月份,苹果、谷歌和微软宣布将在其平台上实施对这些标准的支持。

但与此同时,摩根解释说,组织不能忽视越来越严重的被盗和流通的用于ATO的凭证问题。

摩根说:“我们将迈向一个无密码的未来,但目前被泄露的凭证问题已经失控。在过去的18个月里,我们已经向客户报告了670万个暴露的凭证。这包括员工、客户、服务器和物联网设备的用户名和密码。其中许多情况本可以通过使用更强密码并不跨不同账户共享凭证来减轻。”

推荐阅读:

别错过:暗网动态版,涉及恶魔集团、MSP定向攻击等更多内容

网上出现800万欧元的iOS 0day漏洞销售收据

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20