精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

如今，十億以上的賬戶憑證在網上售賣。在被盜口令泛濫的時代，從憑證入手是比網絡釣魚、惡意軟件或漏洞利用更方便的攻擊方式。“口令驗證”工具已可用于查找跨網站重復利用的口令。這種大規模驗證被盜口令的趨勢不是什么新鮮事，已經持續了至少2年。

你能想象一個遍地都是銀行保險箱鑰匙的世界嗎？所需要做的，僅僅撿起一把，再找到匹配的保險箱而已。我們面對的口令現狀就是這么個樣子。事實上，由于大多數人總用同一把鑰匙開辦公室、車和家的門，情況還要更糟糕。

口令就是新的漏洞利用，甚至可能更好——憑證已成為當今頭號攻擊方法。據威瑞森《2016數據泄露報告》所言，63%的已證實數據泄露涉及弱口令、默認口令或被盜口令，且問題正變得更嚴重。

市場已滿是用戶名/口令對，數量多到難以判斷新口令包是新泄露的成果，還是以往被盜口令在新網站上的重過濾的結果。攻擊者挖掘已暴露的用戶名、郵件地址和口令數據，利用自動化工具，在各大頂級網站上嘗試自動測試這些登錄數據和口令。

如果有人在多個站點使用同一個用戶名/口令對，那么攻擊者在某些情況下就能自動接管他們的賬戶。這也是為什么X網站的口令泄露，會造成毫無關系的Y網站也有憑證被盜的原因。舉個例子，一名黑客可以用Tumblr被盜數據集，在Dropbox上用自動化“口令驗證”工具，數小時之內獲取上百萬“新”Dropbox口令——今年6月的事兒。

可用的“口令驗證”工具多達幾十個，比如SentryMBA。

其他同類工具也很多，可以在多個網站上測試被盜口令是否有效。當然，這些站點試圖通過速率限制登錄來預防此類測試活動。因此，攻擊者利用大量代理和僵尸網絡來突破此一防范措施。他們甚至用光學字符識別(OCR)軟件來繞過驗證碼！

利益鏈條是這樣的：被盜憑證1000條一組打包，以5美分左右的價格在黑市反復售賣——每百萬條大約值50美元。攻擊者隨后利用iOne.club之類的網站，找工具來測試這些口令，每條有效口令只需付1美分，口令無效則不付款。

大部分人的口令都有可能已經被泄露了。修改口令也不會使你更安全。比如說，據統計，很多人都會把口令直接改成“123456789”，或像扎克伯格的“dadada”，或者此類不相上下的爛口令。

即使選了個很難記的強口令，另一起SQL注入攻擊把你的新口令暴露出來也只是時間問題。

因此，是時候把口令都甩掉了，就像雅虎和谷歌所做的那樣。

另一個選擇，是總是默認采用雙因子驗證。很多服務已經在這么干了。

大多數人不愿意弄些復雜難記的口令，也不會每個服務都費事去弄個單獨的口令。所以，網站必須假設攻擊者已經知道大多數口令。在很多網站上大量重用口令，意味著單點被破基本上就是整個網上身份的徹底暴露。這種狀態必須改變，是時候讓口令從主要驗證機制的位置上退下來了。