近日,研究人员检测,近 100 亿条密码汇编集合 RockYou2024 发生泄露,造成了史上最大密码泄露事件,此次泄露对重复使用密码的用户构成了更为严重的威胁。
近 100 亿条密码泄露,给用户造成严重威胁。
研究人员将 RockYou2024 泄露事件中的密码与 Cybernews 泄露密码检查器的数据进行了交叉对照,结果显示这些密码是新旧数据泄露的混合。
“一码多用” 可能要面临暴力破解
该泄露的数据集中包含了各种用户账户密码,暴露了全球用户的真实密码汇编,大大增加了凭证填充攻击的风险。该泄露可能会对用户和企业造成严重损害。
同时,攻击者可以利用 RockYou2024 密码汇编进行暴力破解攻击,并在未经授权的情况下,利用获取的密码进行撞库访问用户所有的各种账户。
一些用户为了方便记忆,会采用相同的账户密码登录多个网站或app,甚至是存储关键信息的系统平台。如果其中一个平台有漏洞被黑客利用窃取了账户名和密码,黑客便用这套凭证登录大量测试所有平台,获取更多有价值的信息,并且这种“撞库”攻击的成功率非常高。
调查研究表明,19%的网络安全事件是由于被盗或泄露的凭据所造成的,16%的安全事件是网络钓鱼造成的。因此,基于密码保护的数据是不够安全的。
此外,企业平均每年要遭遇700次社会工程攻击,即使是严格遵守网络安全的员工也无法避免犯错。毕竟,攻击者只需要误导员工一次即可成功获取他们的登录凭据。
攻击者一旦获取凭证权限,就可窃取密码下的所有数据,包括邮件数据、数据库数据、系统数据,甚至发动熟人钓鱼攻击,或直接植入木马程序,感染更多其他用户,从而扩大攻击面。
部署高等级EV SSL证书减少安全隐患
01
防御钓鱼攻击SSL证书必不可少
钓鱼网站是互联网中最常碰到的一种诈骗方式,通过诱导用户点击“短链接”跳转到伪装成银行或电子商务网站,窃取用户输入的银行账号、身份证、密码等私密信息和企业的敏感数据,由于钓鱼网站和真实网站差别细微,用户很难第一时间分辨该链接是否为虚假网站或钓鱼网站,稍不留心便会上当受骗。
防御钓鱼攻击最重要的方式就是识别网站的真实身份。网站都是由字母数字组合在一起的域名,但这些字母和数字并不能表明网站服务器的真实身份,用户也无法仅从域名来区分这个网站是属于哪个公司,在不确定的互联网环境中,企业要杜绝此种情况,就需要安装SSL证书来为网站“验明正身”了。
SSL证书由国家授权的电子认证服务机构签发,安装SSL证书可以认证网站服务器身份,帮助用户识别正确网站,以及防止网站被黑客窃取、篡改和监听关键信息。但要注意的是,并不是所有的SSL证书都能起到防钓鱼的作用。
02
网站部署EV SSL证书的优势
随着人们网络安全意识的提高,几乎所有的网站都需要部署SSL证书实现https加密,这是保障网络安全的基础。部署SSL证书的网站可以消除浏览器地址栏“不安全”的警告,点击可看到“连接安全”的提示,有助于赢得用户的信任。
而EV SSL证书通过极其严格的审查网站企业身份和域名管理权限,确保网站身份的真实可靠,是您最值得信赖的SSL证书。
EV SSL证书具有两方面的作用,一方面是实现https高强度加密传输,防止数据在传输中被监听、窃取和篡改。另一方面是向用户证明网站的身份,是一个真实存在的合法实体,从而有助于增加用户信任度和提升在线交易量。
安装EV SSL证书的网站在各大浏览器地址栏会显示企业名称,用户可一眼看见,能避免用户被钓鱼网站攻击,有助于增加交易量和用户信任度。
在政策要求和业务需求的双重推动下,广大网站运营者应及早采用全站HTTPS方案推进网站安全加密整改,同时加强邮件传输、即时通讯等数据传输场景安全,确保网站运营与数据处理合法合规。
注:部分数据来源于网络