两万份账户密码遭公开泄漏，窃密途径众说纷坛

dryiceboy发布于 2009-10-09 11:02:30|2314 次阅读 字体：大 小 打印预览


最近微软，谷歌等公司宣称有近20000多万份被窃密码被人在网络上公开，微软，谷歌及雅虎认为钓鱼网站应为这次大规模泄密事件负责，但据 ScanSafe公司的研究人员表示，这次密码失窃事件恐怕与恶意软件脱不开关系，而这则意味着这批用户失窃的帐号不仅限于网络电子邮件帐号。据安全专家 Bogdan Calin对这次被窃的密码所作的统计显示，偷懒将密码设为“12345”的用户数量最多，达到了64名，位居第二的是“123456789”达到18 名，另有42%的用户所设密码的安全级别也很低。




尽管有不少用户懒于为自己设置安全性较高的密码，但也有相当一部分人在密码设置上可谓颇费心机。比如，有30%的用户在密码中使用了数字和字母的组合式密码；22%的用户使用了6位密码，14%的用户则使用7位密码，21%用户使用8位密码，12%使用9位密码，甚至还有一位用户使用了长达30位的超长密码。

“我认为这些密码多半是被人使用钓鱼工具获得的。”Calin表示，“不过这种钓鱼工具设计得很差，并不能让用户在输入密码后登陆Hotmail/Live账户，而只会显示出错信息，这样就出现用户多次输入密码的现象，有时这些密码还改变了大小写的形式。”

不过ScanSafe的高级安全专家Mary Landesman则表示这些密码应该是被木马软件所窃取的，而并不是利用钓鱼工具获得的。他的理由是这些密码数据似乎经过某种程度的压缩，比如密码中的“@”字符基本都出现了丢失。

就此质询微软和雅虎，这些公司的发言人仍然坚持己见，认为这次失窃事件的罪魁祸首主要是钓鱼网站。

一位谷歌的发言人表示：“有多种途径可以造成密码被泄露，因此用户有必要使用多种措施来防范，包括设置独特的密码，使用杀毒软件来保护自己的系统等等。”

需要指出的是一些钓鱼网站可以引诱用户点击恶意软件的下载链接，而整个过程则完全在用户的眼皮底下发生。

CNBeta编译
原文：cnet