详细内容或原文请订阅后点击阅览
‘RockYou2024’:近 100 亿个密码在线泄露
一份名为 RockYou2024 的近 100 亿个密码列表已在黑客论坛上发布。有什么危险?
来源:Malwarebytes Labs 博客在一种流行的黑客攻击方式中,一名用户泄露了一个包含 9,948,575,739 个唯一明文密码的文件。该列表似乎是从几次旧数据泄露和最近的数据泄露中获得的密码的汇编。
该列表因其文件名 rockyou.txt 而被称为 RockYou2024。
对于网络犯罪分子来说,该列表具有一定的价值,因为它包含真实世界的密码。这意味着,如果攻击者尝试使用此密码列表来破解帐户(称为暴力攻击),他们比仅仅尝试任何旧字母和单词列表更有可能成功。但是,极不可能有任何服务或网站允许任何人尝试如此大量的密码,因此它实际上只对窃取密码数据库并试图在自己的计算机上离线破解其密码的攻击者有用。
网络犯罪分子的另一种可能用途是将该列表与其他违规行为的数据(例如用户名和密码的组合)相结合,如果密码被重复使用,则可能会产生结果。如果网络犯罪分子还有一个包含哈希密码的列表,他们甚至可以尝试匹配密码的哈希值。
拥有实际密码会使攻击比尝试传递哈希攻击容易得多,在传递哈希攻击中,攻击者尝试使用用户密码的哈希值向远程服务器或服务进行身份验证。但是,这仅适用于易受传递哈希攻击的服务,而不是像通常那样需要相关的纯文本密码。
长话短说,如果您不重复使用密码并且从不使用“简单”密码(例如单个单词),那么此版本不应该让您担心。如果您使用多因素身份验证 (MFA),并且您应该在任何地方使用,那么也没有理由担心这一点。