近100亿个密码被曝光，你还在重复使用凭据吗？

RockYou2024泄露事件清楚地表明了基于密码的认证系统存在多大的脆弱性，而警钟始终在响：务必将安全放在首位。

近日，Cybernews的研究人员发现了一个名为rockyou2024.txt的数据文档被泄露。该数据集包含了过去二十年来从多次数据泄露事件中收集的994,857,5739个明文密码，其中还包括了2021年至2024年的新增内容。

除了密码外，该数据集还包含了相关的电子邮件地址、用户名和其他个人信息。

研究人员表示：“黑客还可以利用 RockYou2024 密码汇编进行暴力破解攻击，并在未经授权的情况下访问使用数据集中所含密码的个人所使用的各种在线账户。”

RockYou2024泄露事件是打击网络犯罪斗争中的一起重大事件。此次泄露暴露了大量被盗凭据，凸显了基于密码的安全系统的持续弱点。

此次泄露的是明文密码，而非加密或哈希密码，这意味着即使是技术技能有限的黑客也能轻松访问并利用这些密码，将其用于不同类型的网络攻击，包括密码填充（也称为凭据填充）。凭据填充是暴力破解攻击的一个子集。

关于RockYou2024和密码填充

研究人员指出：“从本质上讲，RockYou2024泄露的是全球各地个人使用的真实世界密码集合。泄露如此多的密码给黑客，大大增加了凭据填充攻击的风险。”

安全咨询公司NCC Group的全球战略威胁情报主管Matt Hull向Techopedia表示：“这并不令人惊讶，这类泄露合集的出现频率相对较高。合集中的数据未来有可能被用于犯罪活动，如欺诈。”

对于旨在保护其数字资产的个人和组织而言，了解此次泄露（尤其是与凭据填充相关的部分）的重要性至关重要。

凭据填充是一种网络攻击方式，黑客利用从数据泄露中获取的被盗用户凭据，尝试在其他系统上使用这些凭据。因此，此次泄露对在不同网站和服务中重复使用密码的用户构成了严重威胁。

Hull表示，“如果人们在不同在线账户或网站上重复使用相同的密码，那么当其中一个账户被攻破时，他们的其他所有账户都可能变得脆弱。黑客将利用此类数据集进行密码填充攻击，以获取对目标环境的访问权限。如果数据集中的用户凭据属于企业账户，那么它们可能会被用于非法访问企业的IT资产。”

Hull建议大家检查“我被盗了吗？”泄露通知服务，以确定您的凭据是否已被泄露。

NCC Group全球数字取证和事件响应主管Alejandro Rivas Vasquez表示，“Apple设备或Google Chrome等浏览器具有类似功能，可以告知您的密码是否已泄露。”

“如果您的凭据已泄露，请更改密码。同时，请确保您为所有在线账户使用不同的密码——您可以使用密码管理器来帮助管理密码，”Hull 说道，“并且，在可能的情况下，请实施多因素身份验证，为您的在线账户增添一层额外的安全保障。”

深入了解RockYou2024泄露

为了全面了解 RockYou2024 泄露的后果，让我们来探讨此次泄露与之前的重大事件——RockYou2021密码集合之间的区别。

攻击者的用户配置文件

RockYou2021密码集合曾是一起重大的安全泄露事件，曝光了约84亿个密码。这个集合是多年来各种泄露事件的汇总，被整合成一个庞大的、可搜索的数据库。因此，黑客更容易找到并利用人们重复使用的密码。

虽然RockYou2021规模很大，但RockYou2024在泄露的凭据数量和即时性上更为庞大和紧迫。RockYou2021主要源自较旧的泄露事件，而 RockYou2024则包含了更新的数据，使其成为了一个更为紧迫的威胁。

尽管RockYou2021泄露事件已带来警示并提高了人们的意识，但人们的密码习惯并未得到显著改善。密码重复使用仍然是一个大问题，这使得 RockYou2024 泄露的影响更加严重。

RockYou2024泄露的影响

RockYou2024泄露具有深远的影响。首先，它极大地扩大了攻击面。

由于大量凭据被泄露，密码填充攻击的潜在目标数量急剧增加。每个被攻破的账户都可能成为黑客进行恶意活动的入口点。

此外，对企业而言，其经济影响也相当显著。公司不仅要面对欺诈交易带来的直接经济损失，还要承担修复声誉和恢复客户信任的长期成本。

对于个人而言，隐私泄露也是一大隐忧。泄露的个人信息可能导致身份盗窃、金融欺诈以及敏感数据的非法访问。

遭受此类攻击的公司通常会面临运营中断，如停机时间和生产力损失。他们还可能不得不将员工从日常工作中抽调出来，以应对事件响应和恢复工作。

最终，不保护用户数据的公司将面临法律与监管后果。这些公司可能会面临罚款、处罚以及来自监管机构的更严格审查，特别是在那些拥有严格数据保护法律的地区，如欧洲的《通用数据保护条例》。

缓解策略

除了避免重复使用密码外，组织还可以采取其他措施来确保数据安全，包括：

实施多因素身份验证（MFA） ：MFA为安全增添了额外层次，即使攻击者获取了登录信息，也大大增加了其入侵难度。MFA可以通过短信验证、身份验证应用或硬件令牌等方式实现。

敦促员工注重密码安全 ：让员工为每个账户创建强且唯一的密码至关重要。密码管理器可帮助生成和存储复杂密码，从而减轻员工记忆负担，避免重复使用同一密码。

监控与检测 ：利用高级监控工具识别异常登录活动，有助于及时发现并阻止密码填充攻击。例如，来自不同地点的多次登录失败应立即触发安全措施。

定期安全审计 ：定期进行安全审计和漏洞评估是识别和修复组织安全框架中潜在弱点的关键。这种主动方法有助于预防数据泄露并减轻攻击影响。

使用验证码（CAPTCHA） ：在登录过程中添加验证码，通过要求人类验证来阻止自动化尝试。尽管验证码并非万无一失，但它们能显著降低自动化密码填充工具的有效性。

采用零信任架构 ：转向零信任安全模型，即每个人都必须验证其对网络资源的访问权限，可以显著降低未经授权访问的风险。这种方法假定每次访问尝试都可能构成威胁，直至通过验证。

IP黑名单和速率限制 ：公司可以使用IP黑名单和速率限制来阻止自动化密码填充攻击。通过识别和阻止表现出可疑行为或超过指定登录尝试次数的IP地址，企业可以降低成功攻击的可能性。

行为生物识别 ：实施行为生物识别技术通过分析用户行为模式（如打字速度和鼠标移动方式）来增强安全性。当系统检测到正常行为模式发生变化时，将触发额外的验证步骤，即使黑客拥有正确的凭证，也难以成功入侵。

采用无密码认证 ：通过采用无密码认证方法，如生物识别（指纹或面部识别）和硬件安全密钥，公司可以消除与密码重用和密码填充攻击相关的风险。