近日，研究人員檢測，近 100 億條密碼匯編集合 RockYou2024 發(fā)生泄露，造成了史上最大密碼泄露事件，此次泄露對重復(fù)使用密碼的用戶構(gòu)成了更為嚴重的威脅。

近 100 億條密碼泄露，給用戶造成嚴重威脅。

研究人員將 RockYou2024 泄露事件中的密碼與 Cybernews 泄露密碼檢查器的數(shù)據(jù)進行了交叉對照，結(jié)果顯示這些密碼是新舊數(shù)據(jù)泄露的混合。

“一碼多用” 可能要面臨暴力破解

該泄露的數(shù)據(jù)集中包含了各種用戶賬戶密碼，暴露了全球用戶的真實密碼匯編，大大增加了憑證填充攻擊的風險。該泄露可能會對用戶和企業(yè)造成嚴重損害。

同時，攻擊者可以利用 RockYou2024 密碼匯編進行暴力破解攻擊，并在未經(jīng)授權(quán)的情況下，利用獲取的密碼進行撞庫訪問用戶所有的各種賬戶。

一些用戶為了方便記憶，會采用相同的賬戶密碼登錄多個網(wǎng)站或app，甚至是存儲關(guān)鍵信息的系統(tǒng)平臺。如果其中一個平臺有漏洞被黑客利用竊取了賬戶名和密碼，黑客便用這套憑證登錄大量測試所有平臺，獲取更多有價值的信息，并且這種“撞庫”攻擊的成功率非常高。

調(diào)查研究表明，19%的網(wǎng)絡(luò)安全事件是由于被盜或泄露的憑據(jù)所造成的，16%的安全事件是網(wǎng)絡(luò)釣魚造成的。因此，基于密碼保護的數(shù)據(jù)是不夠安全的。

此外，企業(yè)平均每年要遭遇700次社會工程攻擊，即使是嚴格遵守網(wǎng)絡(luò)安全的員工也無法避免犯錯。畢竟，攻擊者只需要誤導(dǎo)員工一次即可成功獲取他們的登錄憑據(jù)。

攻擊者一旦獲取憑證權(quán)限，就可竊取密碼下的所有數(shù)據(jù)，包括郵件數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)數(shù)據(jù)，甚至發(fā)動熟人釣魚攻擊，或直接植入木馬程序，感染更多其他用戶，從而擴大攻擊面。

部署高等級EV SSL證書減少安全隱患

01

防御釣魚攻擊SSL證書必不可少

釣魚網(wǎng)站是互聯(lián)網(wǎng)中最常碰到的一種詐騙方式，通過誘導(dǎo)用戶點擊“短鏈接”跳轉(zhuǎn)到偽裝成銀行或電子商務(wù)網(wǎng)站，竊取用戶輸入的銀行賬號、身份證、密碼等私密信息和企業(yè)的敏感數(shù)據(jù)，由于釣魚網(wǎng)站和真實網(wǎng)站差別細微，用戶很難第一時間分辨該鏈接是否為虛假網(wǎng)站或釣魚網(wǎng)站，稍不留心便會上當受騙。

防御釣魚攻擊最重要的方式就是識別網(wǎng)站的真實身份。網(wǎng)站都是由字母數(shù)字組合在一起的域名，但這些字母和數(shù)字并不能表明網(wǎng)站服務(wù)器的真實身份，用戶也無法僅從域名來區(qū)分這個網(wǎng)站是屬于哪個公司，在不確定的互聯(lián)網(wǎng)環(huán)境中，企業(yè)要杜絕此種情況，就需要安裝SSL證書來為網(wǎng)站“驗明正身”了。
SSL證書由國家授權(quán)的電子認證服務(wù)機構(gòu)簽發(fā)，安裝SSL證書可以認證網(wǎng)站服務(wù)器身份，幫助用戶識別正確網(wǎng)站，以及防止網(wǎng)站被黑客竊取、篡改和監(jiān)聽關(guān)鍵信息。但要注意的是，并不是所有的SSL證書都能起到防釣魚的作用。

02

網(wǎng)站部署EV SSL證書的優(yōu)勢

隨著人們網(wǎng)絡(luò)安全意識的提高，幾乎所有的網(wǎng)站都需要部署SSL證書實現(xiàn)https加密，這是保障網(wǎng)絡(luò)安全的基礎(chǔ)。部署SSL證書的網(wǎng)站可以消除瀏覽器地址欄“不安全”的警告，點擊可看到“連接安全”的提示，有助于贏得用戶的信任。

而EV SSL證書通過極其嚴格的審查網(wǎng)站企業(yè)身份和域名管理權(quán)限，確保網(wǎng)站身份的真實可靠，是您最值得信賴的SSL證書。

EV SSL證書具有兩方面的作用，一方面是實現(xiàn)https高強度加密傳輸，防止數(shù)據(jù)在傳輸中被監(jiān)聽、竊取和篡改。另一方面是向用戶證明網(wǎng)站的身份，是一個真實存在的合法實體，從而有助于增加用戶信任度和提升在線交易量。

安裝EV SSL證書的網(wǎng)站在各大瀏覽器地址欄會顯示企業(yè)名稱，用戶可一眼看見，能避免用戶被釣魚網(wǎng)站攻擊，有助于增加交易量和用戶信任度。

在政策要求和業(yè)務(wù)需求的雙重推動下，廣大網(wǎng)站運營者應(yīng)及早采用全站HTTPS方案推進網(wǎng)站安全加密整改，同時加強郵件傳輸、即時通訊等數(shù)據(jù)傳輸場景安全，確保網(wǎng)站運營與數(shù)據(jù)處理合法合規(guī)。

注：部分數(shù)據(jù)來源于網(wǎng)絡(luò)