在暗網(wǎng)市場(chǎng)，人們可以買到任何非法物品，如毒品、武器、虛假文檔，甚至是被盜的數(shù)據(jù)庫(kù)。雖然 Hansa 和 AlphaBay 這兩個(gè)最大的暗網(wǎng)市場(chǎng)已被關(guān)停，交易行為受到了一定的打擊，但這并不意味著暗網(wǎng)的交易被完全遏制。近日，暗網(wǎng)監(jiān)控公司 4iQ 發(fā)現(xiàn)了高達(dá) 41GB 的數(shù)據(jù)文件，其中包含 14 億個(gè)明文存儲(chǔ)的賬號(hào)郵箱和密碼等登錄憑證。

這次數(shù)據(jù)泄露嚴(yán)重嗎?

研究人員認(rèn)為，這是迄今為止「在暗網(wǎng)中發(fā)現(xiàn)的最大的數(shù)據(jù)庫(kù)集合」。即使是新手黑客，也能通過購(gòu)買數(shù)據(jù)庫(kù)的賬號(hào)密碼信息，從而進(jìn)行攻擊。此前，在暗網(wǎng)中出現(xiàn)的最大的數(shù)據(jù)庫(kù)是 Exploit.in 泄露的 5.93 億賬戶和 Onliner Spambot 泄露的 7.11 億賬戶。

這次數(shù)據(jù)庫(kù)是于2017 年 12 月 5 日在暗網(wǎng)論壇上發(fā)現(xiàn)的，數(shù)據(jù)庫(kù)中包含的明文登錄憑證具體數(shù)值是 1400553869。4iQ 的 Julio Casal 解釋道，這個(gè)數(shù)據(jù)庫(kù)使查找密碼的速度比以前更快，更容易。他舉例一個(gè)例子，在搜索「admin」、「administrator」和「root」這些常用的默認(rèn)用戶名時(shí)，幾秒之內(nèi)就返回了 226631 個(gè)管理員用戶的密碼。

據(jù)了解，有了這些默認(rèn)的用戶名和密碼，黑客利用最基礎(chǔ)的技術(shù)，就能發(fā)動(dòng)攻擊。

4iQ 給出了排行前 40 的最常用的密碼排行表。從圖片中我們可以看出，使用弱密碼的人還有非常多，可見大家都沒有從中吸取教訓(xùn)。「123456」仍然是最常用的密碼。

該公司進(jìn)一步指出，總共有 14%的暴露的登錄證書從未公開過，也沒有在任何論壇上解密過，但是現(xiàn)在這些證書可以以明文形式提供給任何人下載。研究人員還認(rèn)為，這個(gè)數(shù)據(jù)庫(kù)是 100% 解密的，并按照字母順序進(jìn)行排序，所以對(duì)用戶造成了很大的威脅，因?yàn)橛泻芏嗳嗽谏缃幻襟w和銀行平臺(tái)使用了相同的密碼。

一位業(yè)內(nèi)人士告訴極客公園，這次的數(shù)據(jù)庫(kù)泄露事件，大致是各種庫(kù)的集合，很多廠商均中招了。雖然只是一些老數(shù)據(jù)庫(kù)，但這只是黑產(chǎn)中的冰山一角。

什么樣的技術(shù)才能保證密碼的安全?

有人說，把密碼設(shè)置得復(fù)雜一點(diǎn)，就能保證賬號(hào)安全了，是這樣嗎?

央視在今年 3 月份報(bào)道了一起離奇的詐騙案件，受害者的手機(jī)沒有中毒，也沒有收到惡意的電話和短信，銀行里的錢便不翼而飛了。經(jīng)過調(diào)查發(fā)現(xiàn)，這是一起「撞庫(kù)」攻擊，也就是說，違法分子利用其他地方獲得的賬號(hào)密碼，去銀行嘗試登陸。

隨后，對(duì)用戶的網(wǎng)銀手機(jī)號(hào)進(jìn)行破解，最終盜取了銀行存款。因此，除了把密碼設(shè)置得復(fù)雜一些，還要針對(duì)每個(gè)網(wǎng)站設(shè)立不同的密碼。

但很多人紛紛表示，他們記不住過于復(fù)雜的密碼。那么，我們應(yīng)該通過什么樣的技術(shù)手段，保證安全?

很多人第一時(shí)間想到了短信驗(yàn)證碼，用戶只需填寫手機(jī)號(hào)碼，點(diǎn)擊「獲取驗(yàn)證碼」，輸入驗(yàn)證碼就能登錄了。但這種技術(shù)實(shí)際上并不安全，根據(jù)獵豹安全實(shí)驗(yàn)室的云端監(jiān)控?cái)?shù)據(jù)顯示，近 1 個(gè)月截獲的「短信攔截」類樣本變種數(shù)量超過 10 萬，影響用戶數(shù)達(dá)數(shù)百萬之多。

2016 年，中國(guó)海天集團(tuán)有限公司創(chuàng)始人兼 CEO Seeker 曾在黑客大會(huì)展示了一種名為「LTE/4G 偽基站+GSM 中間人攻擊」的技術(shù)，只需很低的成本，背上一個(gè)小背包，就能攻擊附近的人。他后來向媒體表示，最壞的情況是，黑客能以每秒 20 個(gè)手機(jī)用戶的速度血洗銀行賬戶。

隨著科技的發(fā)展，很多人認(rèn)為生物識(shí)別技術(shù)會(huì)解決這個(gè)問題。通過指紋識(shí)別、人臉識(shí)別來驗(yàn)證登錄。但生物識(shí)別技術(shù)也帶來了一定的弊端，2009 年，印度政府啟動(dòng)一個(gè)生物識(shí)別數(shù)據(jù)庫(kù)的新身份項(xiàng)目，該項(xiàng)目名為 Aadhaar，收集超過 10 億人口的姓名、地址、手機(jī)號(hào)以及可能更為重要的指紋、相片和虹膜掃描，印度人生活的方方面面都需要這個(gè)項(xiàng)目。

但隨之而來的是數(shù)據(jù)泄露事件，據(jù)外媒報(bào)道，印度執(zhí)法部門 RTI 于近期發(fā)現(xiàn)超過 210 家政府網(wǎng)站在線曝光了 Aadhaar 的詳細(xì)信息。雖然數(shù)據(jù)泄露的嚴(yán)重程度沒有公布，但這一定會(huì)帶來嚴(yán)重的后果。生物識(shí)別技術(shù)和密碼不同，密碼可以更換，而指紋等生物特征則無法更換。

蘋果在很早以前就考慮到了這一點(diǎn)，在設(shè)計(jì) iPhone 5s 時(shí)采用 A7 主芯片，其中包含了名為「Secure Enclave」的高級(jí)安全架構(gòu)，專門用于保護(hù)密碼和指紋數(shù)據(jù)。Touch ID 不會(huì)儲(chǔ)存指紋的任何圖像，而僅依賴數(shù)學(xué)表示形式。任何人都不可能通過逆向工程從這種儲(chǔ)存數(shù)據(jù)中獲得實(shí)際的指紋圖像。但是，業(yè)內(nèi)人士告訴極客公園，并不是所有的公司都像蘋果一樣注重安全，有些公司會(huì)將生物識(shí)別的數(shù)據(jù)存在云端，還是存在泄露的風(fēng)險(xiǎn)。

數(shù)字證書會(huì)是另外一種很好的方式，它是一種權(quán)威的電子文檔，可以由權(quán)威公正的第三方機(jī)構(gòu)、企業(yè)級(jí)系統(tǒng)進(jìn)行簽發(fā)，人們可以用它來識(shí)別個(gè)人的身份。

由于存在不容易被偽造和截獲的特點(diǎn)，它被廣泛應(yīng)用于網(wǎng)上銀行、電子政務(wù)、電子商務(wù)、企業(yè)內(nèi)部應(yīng)用、電子招投標(biāo)等對(duì)于信息安全等級(jí)要求較高的場(chǎng)景。翼道網(wǎng)絡(luò)告訴極客公園，他們推出了移動(dòng)端的數(shù)字證書，證書存儲(chǔ)于手機(jī)，不需要額外攜帶其他的硬件設(shè)備，降低了硬件的管理成本。

但是需要更換數(shù)字證書時(shí)，如何確保是真實(shí)用戶在操作?業(yè)內(nèi)人士向極客公園表示，在企業(yè)內(nèi)部，可以通過郵箱確認(rèn)，在企業(yè)之外，只能通過大數(shù)據(jù)手段來驗(yàn)證。因此數(shù)字證書更多被用于政企內(nèi)部，以及高價(jià)值客戶等對(duì)于信息安全等級(jí)要求較高的場(chǎng)景。

其實(shí)，任何一種方式都存在被破解的可能。所以，很多人都提出了利用「雙因子驗(yàn)證」的方法來解決上述問題，也就是結(jié)合密碼和實(shí)物(信用卡、SMS 手機(jī)、令牌或指紋等生物標(biāo)志)。例如，當(dāng)使用聲紋識(shí)別驗(yàn)證時(shí)，VoiceGesture 技術(shù)能讓智能手機(jī)傳輸超出用戶臉部的超聲波，以此確認(rèn)聲音是否由真實(shí)用戶發(fā)出。實(shí)際上，隨著人工智能的到來，很多公司提出了用人工智能分析用戶的行為，以此確定你是否是一個(gè)真實(shí)的用戶。