近日,據外媒securityaffairs披露,微軟發現因使用泄露了的密碼,有4400萬個微軟Azure AD和Microsoft Services賬戶容易遭到黑客劫持。
據悉,微軟威脅研究團隊的專家分析了一個數據庫,其中包含來自不同安全漏洞的30億個泄露憑證。
“微軟威脅研究小組檢查了從不同泄露事件中獲取的數十億個憑證,來查找微軟系統中的受損憑證。“微軟在帖子中寫道,“到目前爲止,2019年,威脅研究團隊檢查了超過30億個憑據,找到超過4400萬個Azure AD和Microsoft Services賬戶的匹配項。”
對於數據庫中屬於其用戶的每個憑證,微軟強制重設泄露的密碼,並建議用戶儘可能使用MFA。
MFA,又稱多因素認證,它是一種計算機訪問控制的方法。用戶需通過兩種以上的認證機制後,才能得到授權,使用計算機資源。
由於在多種服務上重用密碼和使用弱密碼的習慣,微軟用戶的賬戶非常容易受到黑客攻擊。
微軟聲稱,一旦啓用MFA(多因素認證)就可以阻止99.9%的身份攻擊,從而大大提高賬戶的安全性。
”一旦威脅者在野掌握了泄露憑證,“報告表示,”它們就可以嘗試執行重放攻擊。在這種攻擊中,攻擊者會在不同的服務賬戶上嘗試使用相同憑證,來查看是否存在匹配項。“
微軟敦促Azure用戶使用MFA(多因素認證),並提供相應的解決方案來保護客戶免受威脅和攻擊。(將用戶標記爲高風險並通知管理員強制執行密碼重置)
在個人用戶方面,微軟會找到相匹配的泄露憑證,並強制重置密碼。因此,個人用戶無需採取其他措施。
在企業方面,微軟則會提高用戶安全風險並警告管理員,從而可以很快執行憑證重置。
事實上,密碼一直是個影響安全的重要問題,這包括人們經常使用弱密碼或重用密碼。以弱密碼爲例,在2018年最糟糕的密碼排行榜中,“123456”排名第一。其他比較糟糕的密碼,還包括password、123456789、12345678、12345、111111、1234567、sunshine、qwerty、iloveyou等。
同時,人們還喜歡多個賬戶使用同一個密碼。一旦黑客掌握它,就可以進行不斷嘗試,安全風險非常高。
據瞭解,像 Mozilla 或 Google 這樣的公司都引入了改善密碼使用的功能。2019年2月,谷歌發佈其密碼檢查擴展程序,並於 2019 年 8 月開始將其集成到瀏覽器中。並且,該公司還於 2019 年在其網站上推出針對 Google 帳戶的新密碼檢查功能。
而 Mozilla 則將 Firefox Monitor 集成到 Firefox Web瀏覽器中,該 Web 瀏覽器旨在檢查弱密碼並監視密碼是否被泄漏。此外,使用獨立密碼管理器的計算機用戶也可以根據泄漏數據庫檢查密碼。