弱密码让Hotmail频遭钓鱼攻击

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　Hotmail最近发生的成千上万用户帐户信息泄露事件(Gmail也受到影响)，看起来好象是一起非常严重的网络钓鱼攻击行为。这一现象再次显示出对于用户友好系统来说，密码管理措施出现错误会导致什么样的问题发生。

　　根据来自一份关于10000个密码的分析统计报告显示，被攻击用户中42%使用的是纯字母密码(a到z)，19%使用的是纯数字密码，抽样调查对象中的22%使用的是长度为6个字符的密码(Live.com的最低要求)，接下来21%的用户使用的是长度为8个字符的密码。

　　下面是10个最常用的密码：

　　-　123456　-　64

　　-　123456789　-　18

　　-　alejandra　-　11

　　-　111111　-　10

　　-　alberto　-　9

　　-　tequiero　-　9

　　-　alejandro　-　9

　　-　12345678　-　9

　　-　1234567　-　8

　　-　estrella　-　7

　　对电子邮件帐户进行大规模的暴力破解已经被更有效率和自动化的新注册帐户的方式所取代，薄弱的密码管理显示了这样的事实，用户在不同的网络服务中使用相同的密码，对于网络犯罪分子来说，了解这样一个简单的事实，可以实现事半功倍的效果。

　　看看这些相关的文章：Gmail、雅虎邮件和Hotmail的验证码被垃圾邮件发送者破解;垃圾邮件发送者再次成功破解微软的验证码;微软的验证码被成功破解;钓鱼式攻击导致的数据泄露每年造成了300亿美元的损失;在线交易缺乏密码和SSL的保护;安全研究之重设密码的安全问题很容易被猜到;Comcast回应在线文档分享服务Scribd密码泄漏事件。

　　面临网络暴力破解的威胁时，密码的长度和复杂性达到何种程度才能保证安全?这取决于最终用户是否相信自己是在访问合法网站，答案是否定的话，即使15位长度的密码也不可以防范来自网络的钓鱼式攻击，更坏的情况可能是，用户已经感染了恶意软件，网络犯罪分子甚至不必进行钓鱼攻击了。他要做的事情不用进行钓鱼式攻击就可以完成了，通过用户的单一密码就可以连接所有的服务。

　　尽管Hotmail允许用户选择设置密码的有效期限为最长72天，但现在是微软是否会在未来向用户提供类似Gmail“最近的帐户活动情况”之类的功能呢?