来源: ‘1.3 Billion Unique Passwords’ Exposed In ‘Extensive’ Data Leak
就在谷歌公开谴责有关Gmail大规模安全漏洞的虚假报道几天后,我们又看到了令人震惊的庞大数字,这很可能会引发一系列虚假报道。20亿个电子邮件地址,13亿个不同的密码,其中6.25亿个密码此前从未出现过。我们难道还没意识到问题的严重性吗?
HaveIBeenPwned网站的Troy Hunt再次发出新的警告。他说:“我讨厌关于数据泄露的夸张新闻标题,但‘20亿个电子邮件地址’这样的标题如果说是夸张,那就说明它被夸大或过分渲染了——而事实并非如此。”
亨特并非Gmail错误报告的始作俑者,他希望阻止此类事件再次发生。“这不是 Gmail数据泄露事件,”他强调说,“我很不情愿这么说,但鉴于几周前窃取日志事件引发的荒谬且完全虚假的报道,我不得不这么说。”
Gmail 是最大的电子邮件平台,因此在新数据中占比最高,拥有“3.94 亿个独立电子邮件地址”。亨特表示,这意味着“该语料库中 80% 的数据与 Gmail 完全无关,而剩下的 20% 的 Gmail 地址也与谷歌的任何安全漏洞完全无关。”
谷歌的建议很明确,而且适用于所有人,无论你是否是Gmail用户。“启用两步验证,并采用密码密钥作为比密码更强大、更安全的替代方案,如果像这样大量泄露密码,请重置密码。”
这类事件还会不断发生,周复一周,月复一月。现实情况是,你的一些密码和邮箱地址几乎肯定已经泄露到网上。这可能是某个网站或服务遭到入侵,也可能是你的设备感染了窃取信息的恶意软件。无论哪种情况,最终结果都是一样的。
“这是我们迄今为止处理过的最大规模的数据集,而且规模远超 以往,”亨特在谈到这项最新发现时说道。你不可能在这场与凭证窃取行业的猫鼠游戏中获胜,你应该记住那句老话:黑客不是闯入,而是登录 。但几乎所有顶级网站和平台现在都提供了安全工具。不幸的是,大多数用户仍然没有加强自身的安全防护。
简单来说,密码加邮箱的组合就好比把钥匙留在家门口的锁上。你在家不会这么做,在网上也不应该这么做。任何方式都比只用密码安全,这就是为什么微软不遗余力地从其超过十亿个账户中彻底删除密码的原因。
您无需做到那一步——Gmail 和其他用户目前也无法做到。您只需在所有帐户上设置双重/多重身份验证 (2fA/MFA) 即可。如果有其他选项,请不要使用短信验证,因为短信并不安全。最佳且最简单的选择是在手机上安装身份验证器应用程序。任何知名品牌的身份验证器应用程序都可以。
更好的做法是,在所有支持此功能的账户中添加密码密钥。谷歌、微软、Meta 和亚马逊都提供了便捷的密码密钥功能。苹果也采用了类似的方法,尽管方式略显独特,带有苹果的专属风格。这种做法将账户安全与硬件认证关联起来,意味着攻击者或恶意软件无法窃取您的凭据并在其设备上使用。
如果你做到这些简单的步骤,你就可以安心地阅读这些新闻标题,即使你的密码出现在泄露的数据中,也不会被用来对付你。如果你不做这些更改,情况就恰恰相反。你现在面临着严重的风险。
个人点评:
顺着线索找
# 20亿个电子邮件地址被泄露,我们已将它们全部收录到 Have I Been Pwned 中。
我讨厌那些关于数据泄露的夸张新闻标题,但“20亿个电子邮件地址”这个标题要说夸张,那它就得是夸大其词——而事实并非如此。它是从更精确的数字1,957,476,021个唯一电子邮件地址向上取整得出的,除此之外,它正如其字面意思。哦,对了,还有13亿个唯一密码,其中6.25亿个是我们以前从未见过的。这是我们处理过的最大规模的数据集,而且遥遥领先 。
这一批泄露来自 230 亿行 ALIEN TXTBASE 窃取者日志 Troy Hunt: Processing 23 Billion Rows of ALIEN TXTBASE Stealer Logs
,那是不是要下一个authenticator?实时给一个专有的验证码?