近日，研究人員檢測，近 100 億條密碼匯編集合 RockYou2024 發生泄露，造成了史上最大密碼泄露事件，此次泄露對重復使用密碼的用戶構成了更為嚴重的威脅。

近 100 億條密碼泄露，給用戶造成嚴重威脅。

研究人員將 RockYou2024 泄露事件中的密碼與 Cybernews 泄露密碼檢查器的數據進行了交叉對照，結果顯示這些密碼是新舊數據泄露的混合。

“一碼多用” 可能要面臨暴力破解

該泄露的數據集中包含了各種用戶賬戶密碼，暴露了全球用戶的真實密碼匯編，大大增加了憑證填充攻擊的風險。該泄露可能會對用戶和企業造成嚴重損害。

同時，攻擊者可以利用 RockYou2024 密碼匯編進行暴力破解攻擊，并在未經授權的情況下，利用獲取的密碼進行撞庫訪問用戶所有的各種賬戶。

一些用戶為了方便記憶，會采用相同的賬戶密碼登錄多個網站或app，甚至是存儲關鍵信息的系統平臺。如果其中一個平臺有漏洞被黑客利用竊取了賬戶名和密碼，黑客便用這套憑證登錄大量測試所有平臺，獲取更多有價值的信息，并且這種“撞庫”攻擊的成功率非常高。

調查研究表明，19%的網絡安全事件是由于被盜或泄露的憑據所造成的，16%的安全事件是網絡釣魚造成的。因此，基于密碼保護的數據是不夠安全的。

此外，企業平均每年要遭遇700次社會工程攻擊，即使是嚴格遵守網絡安全的員工也無法避免犯錯。畢竟，攻擊者只需要誤導員工一次即可成功獲取他們的登錄憑據。

攻擊者一旦獲取憑證權限，就可竊取密碼下的所有數據，包括郵件數據、數據庫數據、系統數據，甚至發動熟人釣魚攻擊，或直接植入木馬程序，感染更多其他用戶，從而擴大攻擊面。

部署高等級EV SSL證書減少安全隱患

01

防御釣魚攻擊SSL證書必不可少

釣魚網站是互聯網中最常碰到的一種詐騙方式，通過誘導用戶點擊“短鏈接”跳轉到偽裝成銀行或電子商務網站，竊取用戶輸入的銀行賬號、身份證、密碼等私密信息和企業的敏感數據，由于釣魚網站和真實網站差別細微，用戶很難第一時間分辨該鏈接是否為虛假網站或釣魚網站，稍不留心便會上當受騙。

防御釣魚攻擊最重要的方式就是識別網站的真實身份。網站都是由字母數字組合在一起的域名，但這些字母和數字并不能表明網站服務器的真實身份，用戶也無法僅從域名來區分這個網站是屬于哪個公司，在不確定的互聯網環境中，企業要杜絕此種情況，就需要安裝SSL證書來為網站“驗明正身”了。
SSL證書由國家授權的電子認證服務機構簽發，安裝SSL證書可以認證網站服務器身份，幫助用戶識別正確網站，以及防止網站被黑客竊取、篡改和監聽關鍵信息。但要注意的是，并不是所有的SSL證書都能起到防釣魚的作用。

02

網站部署EV SSL證書的優勢

隨著人們網絡安全意識的提高，幾乎所有的網站都需要部署SSL證書實現https加密，這是保障網絡安全的基礎。部署SSL證書的網站可以消除瀏覽器地址欄“不安全”的警告，點擊可看到“連接安全”的提示，有助于贏得用戶的信任。

而EV SSL證書通過極其嚴格的審查網站企業身份和域名管理權限，確保網站身份的真實可靠，是您最值得信賴的SSL證書。

EV SSL證書具有兩方面的作用，一方面是實現https高強度加密傳輸，防止數據在傳輸中被監聽、竊取和篡改。另一方面是向用戶證明網站的身份，是一個真實存在的合法實體，從而有助于增加用戶信任度和提升在線交易量。

安裝EV SSL證書的網站在各大瀏覽器地址欄會顯示企業名稱，用戶可一眼看見，能避免用戶被釣魚網站攻擊，有助于增加交易量和用戶信任度。

在政策要求和業務需求的雙重推動下，廣大網站運營者應及早采用全站HTTPS方案推進網站安全加密整改，同時加強郵件傳輸、即時通訊等數據傳輸場景安全，確保網站運營與數據處理合法合規。

注：部分數據來源于網絡