微软威胁研究小组扫描了所有微软用户帐户,发现有4400万用户使用了用户名和密码,这些用户名和密码由于其他在线服务的安全漏洞而在线泄漏。
扫描发生在2019年1月至2019年3月之间。
微软表示,它使用超过三十亿个泄漏凭证的数据库扫描用户帐户,该数据库是从多个来源(例如执法和公共数据库)获得的。
该扫描有效地帮助Microsoft识别了在不同的在线帐户中重复使用相同的用户名和密码的用户。
密码已重置
总数为4,400万,其中包括Microsoft服务帐户(常规用户帐户)以及Azure AD帐户。
微软表示:“对于我们找到匹配项的泄露凭证,我们将强制重置密码。在消费者方面无需采取其他措施。”
它补充说:“在企业方面,微软将提高用户风险并警告管理员,以便可以执行凭据重置。”
操作系统制造商一直是多因素身份验证(MFA)解决方案的坚定倡导者和推动者。
该公司今年夏天早些时候表示,为微软帐户启用MFA安全措施可阻止所有攻击的99.9%,而且MFA绕过尝试非常罕见,其安全团队甚至没有有关这种类型威胁的统计信息。
无法检测到100%的密码重用案例
Microsoft通常会警告不要在设置帐户时使用弱密码或易于猜测的密码,但是这些警告并不涵盖密码重用情况。
这是因为用户使用的复杂密码可能会通过Microsoft的检查,但是Microsoft无法知道用户是否在其他地方重用了该密码。
一旦第三方服务出现安全漏洞,并且用户的密码被盗并在线泄漏,尽管密码很强,但这无意中使用户的Microsoft帐户面临风险。
黑客可以利用泄露的密码并尝试使用该密码来访问用户的其他帐户,例如Microsoft,Google,Facebook,Twitter等。Microsoft将此称为“违规重播攻击”。
2018年一项针对2880万个用户帐户的学术研究发现,密码重用和对原始密码进行少量修改在52%的用户中很常见。同一项研究还发现,只需10次猜测,就可以破解30%的修改密码和所有重用密码。
