暗网市场上有超过246亿个用户登录凭证可供抢购

据风险管理和威胁情报公司Digital Shadows报道，暗网上有超过240亿个被盗的凭证，其中一些凭证非常薄弱，只需一秒钟就能破解它们和它们所保护的账户。

尽管暗网充斥着被盗凭据，但上传新凭据的速度令人担忧。根据Digital Shadows最近的一项研究分析，消费者仍继续使用容易猜到的密码，互联网黑暗角落的欺诈者可以获得大约246亿个登录名和密码组合。

根据这家威胁情报公司的计算，自2020年以来，暗网中可获得的被泄露的凭证数量增加了65%。这些被盗凭证中约有67亿个具有唯一的用户名和密码配对，比2020年增加了17亿个。独特的凭证意味着该凭证组合在其他数据库中没有重复。

2019年，网上被泄露的凭证数量达到顶峰，当时Digital Shadows整理了超过103亿个凭证。自那时起，该数字在随后的两年里一直徘徊在50亿大关左右，该公司预计2022年这一数字将继续保持。

PerimeterX公司的首席营销官Kim DeCarlis称：“Web 应用程序的访问前提是有效的用户名和密码，了解暗网上可用的凭证对的数量，令人大开眼界。”

这些发现来自Digital Shadows的《2022年账户接管报告》，这项研究考察了标题攻击类型的原因。ATO攻击需要目标疏忽基本的网络安全，无论是通过系统错误配置、成为网络钓鱼的牺牲品，还是简单地设置一个弱口令。

例如，重复使用或创建易于猜测的密码类似于晚上不锁家门。它可能并且可能会导致账户被接管，进而导致身份盗窃、金融盗窃、社交媒体垃圾邮件等。

“一旦找到有效的用户名和密码对，网络犯罪分子就可以使用这些凭据登录，并接管合法帐户，通常在许多网站上，因为密码重复使用很常见。”DeCarlis补充道。

“因为凭证是准确的，罪犯很有可能顺利进入账户。由于大多数网站在登录后没有安全检查，他们可以自由地浏览和滥用账户，没有任何问题。这种滥用可能包括转账、兑现积分或购买易于转售的产品。”

使用凭据也是建立初始访问权限的首选方法。Digital Shadows估计，近50%的ATO攻击将凭证作为初始访问媒介，其次是网络钓鱼（近18%）、漏洞利用（近6%）和僵尸网络（不到1%）。

强密码应该是避免大多数ATO攻击的基本规则，这是不言而喻的。然而，123456是最常见的密码，占67亿个唯一泄露密码中的0.46%或30,679,190个。这意味着每200个密码中几乎有一个是123456。诸如“qwerty”或“1q2w3e”之类的键盘组合也很常用。

此外，前50个最常用的密码中有49个可以在不到一秒的时间内被破解。

这些被泄露的凭证大多在暗网市场上被交易，交易价格取决于账户的年龄、买方的信誉和提供的数据文件的大小。密码文件是否加密或以纯文本形式存在也会影响价格。接下来是凭证填充和其他入侵工作。

DeCarlis进一步称：“网络威胁格局已经改变。曾经独立且截然不同的Web攻击在网络犯罪的持续和综合循环中聚集在一起。一种攻击助长另一种攻击，传播和延长了攻击生命周期，在消费者的数字之旅中无处不在——而网络应用程序是主要目标。”

“在这种情况下，由于凭据被盗已经发生，数字企业应该寻找一种方法来阻止下一步：网络犯罪分子试图验证用户名和密码的凭据填充攻击。对在线企业来说，明智的做法是寻找解决方案，在已知的受损凭证被使用时进行标记，并强制采取诸如简单的密码重置等行动。”

“超越”密码似乎才是未来的明智选择。用户可以利用密码管理器、多因素身份验证和身份验证器应用程序，直到无密码成为全球主流。

DeCarlis总结道：“企业需要考虑连续的登录后验证。现在是时候把目光投向登录以外的地方，以确保用户事实上是他们所说的人，并且正在做他们在账户中应该做的事情。”

“这种全面的账户保护方法将以减少扣款、降低呼叫客户服务、减少IT资源的压力、保护品牌声誉和收入的形式得到回报。”

易于使用的工具通常可通过犯罪市场以最低成本或免费获得，即使是不熟练的脚本小子也可以轻松破解弱密码。

简单地在10个字符的基本密码中添加一个“特殊字符”（例如 @# 或 _）会使破解密码变得更加困难，因此使一个人成为攻击受害者的可能性大大降低，而犯罪分子则进行攻击更容易被破坏的帐户。

Digital Shadows的高级网络威胁情报分析师Chris Morgan表示，尽管行业试图超越密码作为身份验证机制，但凭据泄露的问题仍然很紧迫，并且随着时间的推移变得越来越严重。

Morgan说：“犯罪分子有无穷无尽的被破坏凭据清单，他们可以尝试，但使这个问题更加严重的是薄弱的密码，这意味着许多账户可以在短短几秒钟内使用自动工具猜出来。“

Morgan补充说：“在过去的18个月里，我们Digital Shadows已经提醒我们的客户注意670万个暴露的凭证。这包括其员工、客户、服务器和物联网设备的用户名和密码。”