近日，Cybernews的研究人员发现了一个由论坛用户ObamaCare发布的文件名为rockyou2024.txt的密码汇编，里面包含近100亿条唯一明文密码，这造成了史上最大密码泄露事件，给容易重复使用密码的用户带来了严重威胁。 

100亿条密码泄露，给用户带来严重威胁

研究小组将 RockYou2024 泄露事件中包含的密码与 Cybernews 的泄露密码检查器中的数据进行了交叉比对，发现这些密码来自新旧数据泄露事件的混合体。

RockYou2024泄密事件汇编了世界各地个人使用的真实密码，这大大增加了网络攻击者利用凭证填充攻击的风险，网络攻击者可以利用 RockYou2024 密码汇编进行暴力破解攻击，并在未经授权的情况下访问使用数据集中所含密码的个人所使用的各种在线账户。

凭证填充攻击会对用户和企业造成严重损害。例如，最近针对桑坦德银行（Santander）、Ticketmaster、Advance Auto Parts、QuoteWizard 等公司的攻击就是针对受害者的云服务提供商Snowflake进行凭证填充攻击的直接结果。

暴力攻击系统、数据泄露、金融欺诈和身份盗窃等多种威胁

Cybernews 团队认为，攻击者可以利用百亿级的RockYou2024 编译来攻击任何未受暴力破解攻击保护的系统。这包括从在线和离线服务到面向互联网的摄像头和工业硬件的一切。

此外，RockYou2024与黑客论坛和市场上的其他泄露数据库（例如，包含用户电子邮件地址和其他凭证的数据库）相结合，可以导致一连串的数据泄露、金融欺诈和身份盗窃。

针对此次密码泄露事件，应该如何防范？

虽然没有有效措施来保护密码泄露的用户，但受影响的个人和组织可以采取缓解策略，例如：

· 立即重置与泄漏密码相关的所有账户密码，且不同平台采用不同的密码；

· 启用多因素身份验证 (MFA)，比如增加手机验证、指纹验证等额外验证来增强安全性；

· 利用密码管理器软件安全地生成和存储复杂密码，以降低不同账户重复使用密码的风险。

密码泄露事件也提醒着我们，企业组织除了采取部署防火墙、入侵检测系统、SSL证书等安全防护措施外，还需要加强账户安全管理，采取多因素身份验证（MFA）等措施来增强账户的安全性，减少因密码泄露导致的安全风险，进而助力保障数据安全、网络安全。