由澳洲安全專家Troy Hunt在2013年所建立的Have I Been Pwned(HIBP)外洩密碼查詢平臺,在今年5月開源之際,宣布美國聯邦調查局(FBI)將把所查獲的外洩資料匯入HIBP專案,本周Hunt指出,英國的國家犯罪調查局(National Crime Agency,NCA)也已將大量的外洩密碼貢獻給HIBP。

HIBP原本就蒐集了6.13億筆的外洩密碼,此次NCA則提供了逾5.8億筆的外洩密碼,當中近2.3億筆屬於新密碼,也讓HIBP的外洩密碼資料庫規模超越8.4億筆,增加了38%。HIBP也計算出這8.4億筆的外洩密碼總計被使用了近56億次,顯示有不少使用者在不同的服務中採用同樣的密碼。

NCA表示,這些外洩資料都是該組織於過去幾年所取得,特別是與那些平臺被駭或用戶資料遭竊的企業合作,協助企業保護用戶的帳號安全。

NCA也透露,最近該組織還在一個曝露的雲端儲存服務中,看到大量的外洩憑證,包含電子郵件帳號與密碼,同時涉及多個已知或未知的資料外洩事件。

HIBP服務可讓使用者以電子郵件查詢自己所使用的服務與密碼是否曾外洩過,同時也能讓各業者了解自家服務的安全狀況。研究人員或業者可透過Pwned Passwords API來查詢特定帳號曾在哪些服務外洩,或是那些曾外洩用戶資料的服務,也能查詢單一網站的外洩狀況與外洩模式,並避免用戶再使用已外洩的密碼。

雖然HIBP允許外界下載整個外洩資料庫,但壓縮後的檔案大小仍高達17.2GB,建議外界可啟用保障使用者隱私的k-anonymity API來辨識那些新的外洩密碼。

熱門新聞

Advertisement