来源 :飞天诚信2025-02-27
近日,数据泄露通知服务HIBP(“Have I Been Pwned”)新增了2.84亿个被窃取的账户信息。
HIBP的创始人表示,他在分析1.5TB的窃取日志(这些日志在某个Telegram频道上公开,可能来自多个来源)时,发现了这些被泄露的账户。这些日志包含230亿行数据,涉及4.93亿个独特的网站和电子邮件地址组合,波及2.84亿个唯一的电子邮件地址。经过初步核查后,HIBP数据库增加了2.44亿个之前从未见过的密码(口令)。而在此之前,HIBP收集的密码总数“仅有”1.99亿个。此次事件使HIBP收集的已泄露密码数量直接翻番。
HIBP不失时机地宣布,他们近期开放了新的API,允许用户每分钟进行多达1000次电子邮件地址搜索和窃取日志查询。域名所有者和网站运营商(按月订阅付费)现在可以通过电子邮件域名或网站域名查询新增的窃取日志,从而识别出哪些客户的凭证被盗。HIBP强调,“这些新API的引入将最终帮助许多组织识别恶意活动的源头,更重要的是,能够在恶意活动造成损害之前提前阻止它”。
话说得挺漂亮,虽然但是,感觉更像是为攻击者提供方便?
密码(口令)管理服务商LastPass曾经披露,攻击者利用第三方媒体软件包中的远程代码执行漏洞,在该公司一名运维工程师的设备上安装了键盘记录器,成功获取了该员工在完成多因素身份认证(MFA)后输入的LastPass企业级密码数据库主密码(master password),借此获得了数据库的访问权限。此后,攻击者潜伏在LastPass内网长达两个月之久,持续访问并窃取了大量数据。LastPass是一款跨平台的网络密码管理工具,以浏览器扩展的形式提供服务。当你登录任何一个网站,它就会提示你保存登录信息,并在云端自动同步,以后访问该网站时它就会自动为你填写登录表单。由此可见,即使将密码存储在云端,也有可能被泄露。
来自世界各地的数百家技术公司和服务提供商在FIDO联盟和W3C的合作下创建了“无密码”登录标准(WebAuthn),该标准已经被数十亿设备和所有现代网络浏览器所支持。
FIDO联盟成立于2012年,致力于安全强度更高、使用更方便且更易于部署的身份鉴别(simpler stronger authentication)。联盟制定了FIDO UAF、FIDO U2F、FIDO2等一系列“无密码”(passwordless)规范,帮助减少全球对密码(口令)的过度依赖。FIDO联盟成员包括谷歌、微软、苹果、三星、ARM、Intel等等。飞天诚信于2014年加入FIDO联盟,目前是FIDO联盟董事会成员。
自2017年与微软合作推出第一个基于FIDO2生物识别的“无密码”身份认证安全解决方案以来,飞天诚信积累了丰富的“无密码”身份认证经验。飞天诚信构建了丰富的FIDO硬件安全密钥(FIDO Security Key)产品线,全线产品通过FIDO认证,其安全性能够满足NIST SP 800-63B中最高级别(AAL3)的要求。用户可以通过USB-A、USB-C接口、NFC或BLE接口将FEITIAN FIDO Security Key连接到电脑或手机,快速、安全地完成账号登录或单点登录。飞天诚信FIDO系列产品现已支持Google、AWS等众多在线服务。
BioPass FIDO2 Plus是飞天诚信的“无密码”硬件安全密钥产品,配置指纹模组,有效防止非授权用户盗用。该产品还同时支持FIDO2和FIDO U2F协议,进一步扩大了该产品的使用范围。
“无密码”互联网身份认证解决方案的推广,不仅能够有效减少因密码泄露带来的风险,还能极大地提升用户体验。飞天诚信作为FIDO联盟的重要成员,凭借其在“无密码”身份认证领域的深厚积累和创新技术,正在引领行业走向一个更加安全、便捷的未来。
在这个过程中,我们每个人也应提高安全意识,积极拥抱新技术,保护好自己的数字资产。如果你对“无密码”技术感兴趣,或者想了解更多关于飞天诚信的创新产品,不妨关注飞天诚信的官方渠道,共同探索数字安全的未来。
让我们一起迈向一个“无密码”的新时代,守护数字世界的扇每一安全之门。