安全研究人員釋出1000萬筆網路帳密資料

安全研究人員Mark Burnett釋出1000萬筆網路用戶帳號及密碼，以作為密碼安全研究之用。

Burnett指出，經常有學生和安全研究人員跟他索取密碼研究資料的複本，他一向拒絕這類要求，但這陣子他想公開分享一批資料。這批特地挑選出來而建立的資料集，包含高達1000萬筆用戶名稱及密碼，可以讓大家一探使用者行為，有助於促進密碼安全。

一般研究人員僅釋出密碼，但Burnett卻連使用者名稱也一併公佈，他表示，使用者名稱和密碼的分析長久以來都被忽略，原因是大部份研究人員都擔心兩者合在一起可能被拿來通過安全驗證，但其實這對學術及安全研究極有價值。

去年獨立記者Barrett Brown因在報導中加入連向包含被竊資料的連結，就遭到FBI起訴多項罪名，此事也對新聞記者及安全研究人員產生寒蟬效應。Burnett為此也說明為何他的行為合法而不會被FBI逮捕。他表示，多數研究人員都不願同時公布帳號和密碼，因為這就會具備身份認證功能（authentication feature）。如果只是連向私密IRC通道中已被釋出的認證資訊就被視為走私，公開實際的資料當然就會被FBI視為犯罪。因此他對資料做了一些處理，以確保這些資料不具備認證功能。

此外，就動機來說，他的目的是要讓認證更安全，保護大眾免於詐騙及帳號被盜的風險，而不是要從事或助長非法存取他人電腦系統。

為了確保這些資料不會淪為不法用途，他採取一些防範措施，包括移除電子郵件中的網域名稱，以減少用戶被辨識出來的資訊。他並將過去五年來發生的數千起全球重大事件的資料樣本，和更早十年的其他資料混雜在一起，使帳號無法和任何一家企業連結。此外，他也移除了關鍵字，像是可能指出登入資訊來源的公司名稱。他也以人工檢視方式移除可能連向任何個人的資訊，或是像是信用卡或財務帳號等資訊，並儘可能移除屬於政府或軍方採購單位的僱員的資料。

Burnett聲稱，這些大部份都是已「死」的密碼，無法作為驗證之用。理由是，這些資料可為任何人透過搜尋引擎以文字格式取得，有意拿來詐騙的人早已經持有。這些資料存在時間也夠久，足以讓企業重設密碼並通知用戶。這些資料也早已由haveibeenpwned或pwnedlist等多個網站所蒐集，用戶可以檢視並獲得通知。許多服務供應商像Facebook也會監控公開傾倒的資料，並主動通知用戶。另外，特定產業的公司會主動辨識網站不尋常的登入資料，並且自動關閉帳號或通知用戶，而使用者也已養成定期變更密碼的習慣。（編譯/林妍溱）