在暗網市場，人們可以買到任何非法物品，如毒品、武器、虛假文檔，甚至是被盜的數據庫。雖然 Hansa 和 AlphaBay 這兩個最大的暗網市場已被關停，交易行為受到了一定的打擊，但這并不意味著暗網的交易被完全遏制。近日，暗網監控公司 4iQ 發現了高達 41GB 的數據文件，其中包含 14 億個明文存儲的賬號郵箱和密碼等登錄憑證。

　　這次數據泄露嚴重嗎？

　　研究人員認為，這是迄今為止「在暗網中發現的最大的數據庫集合」。即使是新手黑客，也能通過購買數據庫的賬號密碼信息，從而進行攻擊。此前，在暗網中出現的最大的數據庫是 Exploit.in 泄露的 5.93 億賬戶和 Onliner Spambot 泄露的 7.11 億賬戶。

　　這次數據庫是于2017 年 12 月 5 日在暗網論壇上發現的，數據庫中包含的明文登錄憑證具體數值是 1400553869。4iQ 的 Julio Casal 解釋道，這個數據庫使查找密碼的速度比以前更快，更容易。他舉例一個例子，在搜索「admin」、「administrator」和「root」這些常用的默認用戶名時，幾秒之內就返回了 226631 個管理員用戶的密碼。據極客公園了解，有了這些默認的用戶名和密碼，黑客利用最基礎的技術，就能發動攻擊。

　　4iQ 給出了排行前 40 的最常用的密碼排行表。從圖片中我們可以看出，使用弱密碼的人還有非常多，可見大家都沒有從中吸取教訓?！?23456」仍然是最常用的密碼。

　　該公司進一步指出，總共有 14％的暴露的登錄證書從未公開過，也沒有在任何論壇上解密過，但是現在這些證書可以以明文形式提供給任何人下載。研究人員還認為，這個數據庫是 100% 解密的，并按照字母順序進行排序，所以對用戶造成了很大的威脅，因為有很多人在社交媒體和銀行平臺使用了相同的密碼。

　　一位業內人士告訴極客公園，這次的數據庫泄露事件，大致是各種庫的集合，很多廠商均中招了。雖然只是一些老數據庫，但這只是黑產中的冰山一角。

　　什么樣的技術才能保證密碼的安全？

　　有人說，把密碼設置得復雜一點，就能保證賬號安全了，是這樣嗎？

　　央視在今年 3 月份報道了一起離奇的詐騙案件，受害者的手機沒有中毒，也沒有收到惡意的電話和短信，銀行里的錢便不翼而飛了。經過調查發現，這是一起「撞庫」攻擊，也就是說，違法分子利用其他地方獲得的賬號密碼，去銀行嘗試登陸。隨后，對用戶的網銀手機號進行破解，最終盜取了銀行存款。因此，除了把密碼設置得復雜一些，還要針對每個網站設立不同的密碼。

　　但很多人紛紛表示，他們記不住過于復雜的密碼。那么，我們應該通過什么樣的技術手段，保證安全？

　　很多人第一時間想到了短信驗證碼，用戶只需填寫手機號碼，點擊「獲取驗證碼」，輸入驗證碼就能登錄了。但這種技術實際上并不安全，根據獵豹安全實驗室的云端監控數據顯示，近 1 個月截獲的「短信攔截」類樣本變種數量超過 10 萬，影響用戶數達數百萬之多。2016 年，中國海天集團有限公司創始人兼 CEO Seeker 曾在黑客大會展示了一種名為「LTE／4G 偽基站＋GSM 中間人攻擊」的技術，只需很低的成本，背上一個小背包，就能攻擊附近的人。他后來向媒體表示，最壞的情況是，黑客能以每秒 20 個手機用戶的速度血洗銀行賬戶。

圖 / 破解短信驗證的測試環境（來自黑客 KCon 大會）

　　隨著科技的發展，很多人認為生物識別技術會解決這個問題。通過指紋識別、人臉識別來驗證登錄。但生物識別技術也帶來了一定的弊端，2009 年，印度政府啟動一個生物識別數據庫的新身份項目，該項目名為 Aadhaar，收集超過 10 億人口的姓名、地址、手機號以及可能更為重要的指紋、相片和虹膜掃描，印度人生活的方方面面都需要這個項目。但隨之而來的是數據泄露事件，據外媒報道，印度執法部門 RTI 于近期發現超過 210 家政府網站在線曝光了 Aadhaar 的詳細信息。雖然數據泄露的嚴重程度沒有公布，但這一定會帶來嚴重的后果。生物識別技術和密碼不同，密碼可以更換，而指紋等生物特征則無法更換。

　　蘋果在很早以前就考慮到了這一點，在設計 iPhone 5s 時采用 A7 主芯片，其中包含了名為「Secure Enclave」的高級安全架構，專門用于保護密碼和指紋數據。Touch ID 不會儲存指紋的任何圖像，而僅依賴數學表示形式。任何人都不可能通過逆向工程從這種儲存數據中獲得實際的指紋圖像。但是，業內人士告訴極客公園，并不是所有的公司都像蘋果一樣注重安全，有些公司會將生物識別的數據存在云端，還是存在泄露的風險。

　　數字證書會是另外一種很好的方式，它是一種權威的電子文檔，可以由權威公正的第三方機構、企業級系統進行簽發，人們可以用它來識別個人的身份。由于存在不容易被偽造和截獲的特點，它被廣泛應用于網上銀行、電子政務、電子商務、企業內部應用、電子招投標等對于信息安全等級要求較高的場景。翼道網絡告訴極客公園，他們推出了移動端的數字證書，證書存儲于手機，不需要額外攜帶其他的硬件設備，降低了硬件的管理成本。

　　但是需要更換數字證書時，如何確保是真實用戶在操作？業內人士向極客公園表示，在企業內部，可以通過郵箱確認，在企業之外，只能通過大數據手段來驗證。因此數字證書更多被用于政企內部，以及高價值客戶等對于信息安全等級要求較高的場景。

　　其實，任何一種方式都存在被破解的可能。所以，很多人都提出了利用「雙因子驗證」的方法來解決上述問題，也就是結合密碼和實物（信用卡、SMS 手機、令牌或指紋等生物標志）。例如，當使用聲紋識別驗證時，VoiceGesture 技術能讓智能手機傳輸超出用戶臉部的超聲波，以此確認聲音是否由真實用戶發出。實際上，隨著人工智能的到來，很多公司提出了用人工智能分析用戶的行為，以此確定你是否是一個真實的用戶。

責任編輯：韓希宇