微软在 2019 年间对超过 30亿 个公司帐户进行了密码重用分析,以找出微软客户正在使用的密码中有多少。该公司从公开来源收集了密码哈希信息,并从执法机构收到了其他数据,并将这些数据用作比较的基础。
数据显示,2016 年对密码使用情况的分析表明,大约 20% 的互联网用户正在重用密码,另外 27% 的用户使用的密码与其他帐户密码“几乎完全相同”。在2018 年,则仍然有很大一部分互联网用户仍然偏爱弱密码而不是安全密码。
事实上,像 Mozilla 或 Google 这样的公司都已引入了改善密码使用的功能。谷歌于 2019 年 2 月发布了其密码检查扩展程序,并于 2019 年 8 月开始将其本地集成到浏览器中。该公司还于 2019 年在其网站上推出了针对 Google 帐户的新密码检查功能。
而 Mozilla 则将 Firefox Monitor 集成到 Firefox Web 浏览器中,该 Web 浏览器旨在检查弱密码并监视密码是否泄漏。此外,使用独立密码管理器的计算机用户也可以根据泄漏数据库检查密码。
据了解,就推动无密码登录而言,微软方面已经推行有一段时间了。
根据 Microsoft 的说法,4400 万个 Azure AD 和 Microsoft Services 帐户使用在泄漏的密码数据库中也可以找到的密码。这大约是该公司在研究中检查的所有凭证的 1.5%。
微软引用了一项研究,该研究分析了近 3000 万用户的密码使用情况。结论是,密码重用和修改在 52% 的用户中很普遍,并且“修改后的密码和所有重用的密码中有 30% 可以在 10 个猜测之内破解”。
因此,Microsoft 将强制重置泄露的密码。Microsoft 帐户客户将被要求更改帐户密码,不过目前尚不清楚如何将信息传达给受影响的用户或何时重置密码。
在企业方面,Microsoft 将提高用户风险并警告管理员,以便可以强制执行凭据重置。
Microsoft 建议客户启用一种形式的多因素身份验证,以更好地保护其帐户免受攻击和泄漏。根据 Microsoft 的说法,如果使用多因素身份验证,则 99.9% 的身份攻击不会成功。