今年年初,发生了一次名为Collection #1的大规模数据泄露,其中包含7.73亿个电子邮件地址和超过2100万个唯一密码。外媒曾称之为“有史以来泄露的最大数据集”。在过去,类似的大规模数据泄露事件经常发生。例如,2016年,约有4.27亿个MySpace密码和1.17亿个LinkedIn密码在暗网上出售。
外媒认为,如果你仔细阅读泄露的数据,与过去其他大规模的数据泄露事件相比,Collection #1事件其实并没有那么糟糕。根据首先报告和分析它的安全研究员特洛伊·亨特(Troy Hunt)的说法,这个数据集包括7.73亿个唯一的电子邮件地址和2100万个唯一的密码。
但是这里有一些关键因素。首先,这是几个旧数据泄漏的集合。事实上,在这个系列的7.73亿个唯一的电子邮件地址中,只有1.41亿个(约18%)不包括在Hunt的“我被Pwned了吗”服务中。2100多万个密码中有一半不在数据库中。
这意味着很可能用户的旧简单密码之前被盗过,用户应该已经被“我被Pwned了吗”之类的服务通知过了。正如亨特所说,“我的希望是,对许多人来说,这将是一个提醒,他们需要对他们的在线安全状况做出重大改变。”
外媒认为,用户需要做出的重要改变是确保他们使用唯一的密码,并在任何地方启用双因素身份认证。当Collection #1等数据泄露事件发生时,网络犯罪分子会使用所谓的凭据填充来入侵用户的帐户,这几乎是用户在线安全的唯一真实风险。这些都是自动攻击。黑客通过收集互联网上泄露的用户和密码信息,尝试批量登录其他网站,获得一系列可以登录的账号。
但是,如果用户使用唯一的密码和双因素身份验证,这些攻击将无法正常工作。
