如今,十亿以上的账户凭证在网上售卖。在被盗口令泛滥的时代,从凭证入手是比网络钓鱼、恶意软件或漏洞利用更方便的攻击方式。“口令验证”工具已可用于查找跨网站重复利用的口令。这种大规模验证被盗口令的趋势不是什么新鲜事,已经持续了至少2年。
你能想象一个遍地都是银行保险箱钥匙的世界吗?所需要做的,仅仅捡起一把,再找到匹配的保险箱而已。我们面对的口令现状就是这么个样子。事实上,由于大多数人总用同一把钥匙开办公室、车和家的门,情况还要更糟糕。
口令就是新的漏洞利用,甚至可能更好——凭证已成为当今头号攻击方法。据威瑞森《2016数据泄露报告》所言,63%的已证实数据泄露涉及弱口令、默认口令或被盗口令,且问题正变得更严重。
市场已满是用户名/口令对,数量多到难以判断新口令包是新泄露的成果,还是以往被盗口令在新网站上的重过滤的结果。攻击者挖掘已暴露的用户名、邮件地址和口令数据,利用自动化工具,在各大顶级网站上尝试自动测试这些登录数据和口令。
如果有人在多个站点使用同一个用户名/口令对,那么攻击者在某些情况下就能自动接管他们的账户。这也是为什么X网站的口令泄露,会造成毫无关系的Y网站也有凭证被盗的原因。举个例子,一名黑客可以用Tumblr被盗数据集,在Dropbox上用自动化“口令验证”工具,数小时之内获取上百万“新”Dropbox口令——今年6月的事儿。
可用的“口令验证”工具多达几十个,比如SentryMBA。
其他同类工具也很多,可以在多个网站上测试被盗口令是否有效。当然,这些站点试图通过速率限制登录来预防此类测试活动。因此,攻击者利用大量代理和僵尸网络来突破此一防范措施。他们甚至用光学字符识别(OCR)软件来绕过验证码!
利益链条是这样的:被盗凭证1000条一组打包,以5美分左右的价格在黑市反复售卖——每百万条大约值50美元。攻击者随后利用iOne.club之类的网站,找工具来测试这些口令,每条有效口令只需付1美分,口令无效则不付款。
大部分人的口令都有可能已经被泄露了。修改口令也不会使你更安全。比如说,据统计,很多人都会把口令直接改成“123456789”,或像扎克伯格的“dadada”,或者此类不相上下的烂口令。
即使选了个很难记的强口令,另一起SQL注入攻击把你的新口令暴露出来也只是时间问题。
因此,是时候把口令都甩掉了,就像雅虎和谷歌所做的那样。
另一个选择,是总是默认采用双因子验证。很多服务已经在这么干了。
大多数人不愿意弄些复杂难记的口令,也不会每个服务都费事去弄个单独的口令。所以,网站必须假设攻击者已经知道大多数口令。在很多网站上大量重用口令,意味着单点被破基本上就是整个网上身份的彻底暴露。这种状态必须改变,是时候让口令从主要验证机制的位置上退下来了。
====================================分割线================================
本文转自d1net(转载)