微軟研究發現其4400萬個帳戶使用已洩露的密碼
微軟在2019年對超過30億個公司賬戶進行了密碼重用分析,以找出微軟客戶使用的密碼數量。該公司從公共來源收集密碼散列信息,並從執法機構獲得額外數據,並將這些數據用作比較的基礎。
對2016年密碼使用情況的分析顯示,約20%的互聯網用戶重複使用密碼,另有27%的用戶使用的密碼與其他賬戶密碼幾乎相同。2018年的研究結果顯示,大部分網民仍然青睞弱密碼,而非安全密碼。
像Mozilla或Google這樣的公司都引入了改善密碼使用的功能。谷歌於2019年2月發布了其密碼檢查擴展程序,並於2019年8月開始將其本地集成到瀏覽器中。該公司還於2019年在其網站上推出了針對Google帳戶的新密碼檢查功能。Mozilla將Firefox Monitor集成到Firefox 瀏覽器中,該瀏覽器旨在檢查弱密碼並監視密碼是否已經洩漏。
微軟一直在推動無密碼登錄已經有一段時間了,該公司的密碼重用研究提供了一個原因。根據微軟的說法,4400萬個Azure AD和微軟服務帳戶使用在洩漏的密碼數據庫中也可以找到的密碼。這大約是該公司在研究中檢查所有憑證的1.5%。
現在微軟將強制重置洩露的密碼。微軟用戶將被要求更改帳戶密碼。目前尚不清楚如何將信息傳達給受影響的用戶或何時重置密碼。在企業方面,微軟將提高用戶風險並警告管理員,以便可以強制執行憑據重置。微軟建議客戶啟用一種形式的多因素身份驗證,以更好地保護其帳戶免受攻擊和洩漏。根據微軟的說法,如果使用多因素身份驗證,則99.9%的身份攻擊不會成功。