上周,一个名为"ObamaCare"的用户在黑客论坛上发布了一个网络安全专家认为有史以来最大的密码汇编。这个名为 rockyou2024.txt 的文件包含 9,948,575,739 个唯一的明文密码。ObamaCare有泄露数据的前科,其中包括西蒙斯和西蒙斯律师事务所的员工数据库、在线赌场 AskGamblers 的线索以及伯灵顿郡罗文学院的学生申请表。
"今年的圣诞节提前到来了,"ObamaCare在论坛上写道。"我向你们展示一个新的 Rockyou2024 密码列表,里面有超过 99 亿个密码!"
Cybernews 确定,这些密码来自新旧数据泄露事件,而之前的"RockYou2021"汇编则包含 84 亿个密码。净减少 15 亿组凭证无疑会减轻这次泄露的影响。不过,15 亿个密码仍然是一个巨大的风险数字,因此专家们警告说,这个数据库可能会成为黑客的有力工具。
根据 Verizon 的《2021 年数据泄露调查报告》,61%的数据泄露源于利用凭证。Google云的《2023 年威胁地平线报告》将这一比例提高到了更高,发现86%的泄密事件涉及密码被盗。在线和离线服务以及面向互联网的摄像头和工业硬件都面临风险。更糟糕的是,RockYou2024 与其他泄露的包含电子邮件地址和凭证的数据库相结合,可能会引发数据泄露、金融欺诈和身份盗窃浪潮。
Cybernews 提供了一个在线工具,帮助用户检查密码是否被泄露:https://cybernews.com/password-leak-check/
泄露密码检查器允许任何人输入自己的密码,查看它是否出现在任何已知的泄露事件中,包括 RockYou2024。另外,Have I Been Pwned 也有一个类似的查询工具,可以检查你的电子邮件地址或密码是否属于数据泄露的一部分。
如果密码泄露,请立即更改,并为每个账户创建一个单独的密码。其他值得重复的安全提示包括启用多因素身份验证(除密码外还需要额外的验证)和使用密码管理器。这些工具可以为你生成和存储复杂的密码,降低密码重复使用的风险。