到目前为止人们仍没有真正弄明白最近在网上遭到披露的20000个密码是怎么被盗的,但是结果显示了很多人的密码习惯:我们中有些人太懒惰了。
本周一开始,我们就在网上见到了遭到披露的一些来自Hotmail,Gmail,Yahoo Mail以及其他账户的密码列表。而微软,谷歌和雅虎则谴责钓鱼攻击,ScanSafe一名研究人员认为计算机上的密码盗窃恶意软件可能是罪魁祸首,这将意味着网络上的电子邮件帐户可能已被泄露。
首先,让我们看一下泄露密码解释了什么样的分析结果。
安全研究人员Bogdan Calin对10000个Windows Live Hotmail密码做了一项统计分析,并在博客中披露了他的研究结果。他发现最常用的密码为123456,64%的人使用。其二是123456789,有18%的人使用。42%的人的密码只使用小写字母。
虽然这显示出,一些人没有电子邮件账户安全的防范意识,但是其他数字则显示出许多人对密码已经有了更多的思考。
例如,30%的人使用大小写联合的数字和字母的组合。22%的密码使用的是6个字符,14%的密码使用的是7个字符,21%的使用8位,12%的使用9位。有个账户竟然使用了长达30位字符的密码。
"我印象中这些密码已被用作钓鱼的工具,"Calin wrote写道:"更为严重的是,最常用的钓鱼工具是受到良好的设计的,因为他们将用来吸引用户到Hotmail/Live网站上。"我认为这恰恰向我们反馈回来一个错误的信息。我注意到这是因为一些密码被复制一到两次(有时不分大小写)。更有可能发生的事情是,用户根本没有注意到发生了什么。他们试着键入同样的密码,还在想是不是密码错误了。
ScanSafe攻击安全研究员Mary Landesman认为密码被数据盗窃木马获取,而不是钓鱼。
她在博客中写道,被公布的Hotmail密码列表中存在错误,看起来像是不恰当的数据提取和合并形成的。
在其他原因中,Landesman指出用户名往往会与同一个密码出现多次,除了拼写稍有不同以外。同样,她表示,分割开账户中的用户名的@经常是出现的,这可能表明,数据是从一种形式中拼凑起来的,或者是从更大的一组数据中提取出来的。
当被问及能否针对Landesman的猜测做些评论的时候,微软和雅虎发言人表示,企业仍然认为密码是被钓鱼窃取的。
一位谷歌发言人作出了如下评论:"密码可能会因多种原因被窃取,因此好的做法应该是采取多种步骤来保护你的个人信息。选择独特的密码,特别是在你最重要的网站上,使用病毒防护软件来帮助检测可能会盗窃你的密码的软件。"
最重要的是记住,钓鱼可以导致下载恶意软件到一个受害者的计算机。因此,人们可能根本不知道它们的存在。
无论如何,在哪里都要小心。
