資訊安全網站《Cybernews》團隊近日發現,有駭客公開近100億組的用戶帳密資料,是史上最大規模事件,對於習慣重複使用密碼的用戶而言,可能帶來嚴重資安風險。對此,專家提供4招緊急防盜手段,讓駭客就算握有密碼,也難以登入帳號。
《Cybernews》團隊發現,曾多次外流隱私資訊的用戶「ObamaCare」,7月4日在駭客論壇發布名為「rockyou2024.txt」的最新檔案,涵蓋 9,948,575,739組不重複的純文字密碼,外洩規模史上最大。調查發現,此檔案是延續2021年外流的「RockYou2021」數據,當時駭客就已掌握 84億組密碼,代表這3年內又獲得超過15億組。
報導指出,密碼大規模曝光大幅提高「憑證填充攻擊」(credential stuffing attacks,又稱撞庫攻擊)風險」,即使用大量被盜電子郵件地址和密碼,以疲勞轟炸方式嘗試登入網路服務,直到某一組帳號密碼成功匹配。近期包括桑坦德銀行(Santander)、天貓(Ticketmaster)、QuoteWizard等公司都遭到類似攻擊。
《Cybernews》團隊認為,駭客可能利用這份涵蓋100億組密碼的「RockYou2024」檔案,針對沒有防範暴力破解攻擊的系統發動攻擊,包括線上和離線服務、網路攝影機和工業硬體設備等。
專家建議,若擔心帳密外流,可採取4種方式防範。一,立即變更所有帳戶的密碼,為每個帳戶設定獨特、強度足夠的密碼。二,盡可能使用多重身份驗證機制(MFA),透過密碼外的額外驗證增強安全性。三,善用第三方密碼管理員,隨機生成複雜密碼。四,定期監控帳戶是否有可疑活動。
◤超夯旅遊新玩法◢