近日,Outpost24公司的旗下的Specops Softwares发布了其关于2024年度口令安全最新的研究报告,报告分析了通过恶意软件窃取的10.89亿条口令数据,揭示了当前口令安全的现状、攻击者的手段以及组织如何降低口令风险。数据截至2024年12月,反映了口令泄露的普遍性和复杂性。Specops Software是Outpost24的子公司,专注于
口令
管理和身份验证解决方案。Outpost24是一家全球领先的网络安全公司,提供威胁情报、漏洞管理和风险评估服务。其威胁情报团队KrakenLabs专注于收集和分析全球范围内的网络威胁数据,特别是通过恶意软件窃取的凭证数据。KrakenLabs利用先进的威胁情报工具和蜜罐网络,持续监控和更新泄露口令数据库,帮助组织识别和应对潜在的安全威胁。
报告亮点
10.89亿条口令被恶意软件窃取
,其中2.3亿条口令符合标准的复杂性要求(如包含大写字母、数字和特殊字符)。
最常见的弱口令
:123456(370万次)、admin(190万次)、12345678(150万次)、password(55.8万次)、Password(47.4万次)。
最常见的口令长度
:8字符(1.89亿次)、10字符(1.6亿次)、9字符(1.53亿次)。
最常见的口令基础词
:5字符(admin)、6字符(qwerty)、7字符(welcome)、8字符(password)。
最常用的窃密恶意软件
:Redline(占50%)、Vidar(17%)、Raccoon Stealer(11.7%)。
关键结论
恶意软件窃取凭证普遍存在
:过去12个月中,超过10亿条凭证被窃取,其中Redline是最常用的窃密工具。
用户倾向于使用弱口令
:即使知道风险,用户仍会选择简单口令(如123456、password)。组织应通过口令策略阻止用户使用这些弱口令。
复杂口令不一定安全:
230万条符合复杂性要求的口令仍被窃取,表明口令长度比复杂性更重要。组织应鼓励用户使用长口令(如12字符以上)。
口令重复使用风险高
:用户在工作账户和个人账户中重复使用口令,增加了组织网络被入侵的风险。组织应教育用户避免口令重复使用。
持续扫描泄露口令至关重要
:组织应定期检查Active Directory中的口令是否已被泄露,并及时采取措施。
弱口令趋势与模式
尽管用户普遍了解口令重复使用的风险
,但59%的用户仍会在多个账户中使用相同口令。报告显示,许多用户倾向于使用简单的基础词(如admin、qwerty)并在其后添加连续数字(如123456),这使得口令容易被猜测或通过暴力破解工具破解。
最常见的复杂口令
:Pass@123、P@sswOrd、Aa@123456等。这些口令虽然符合复杂性要求,但由于其模式简单,仍然容易被破解。例如,Pass@123和P@sswOrd是常见的复杂口令变体,但它们遵循了可预测的模式(首字母大写,末尾添加数字)。
口令长度与破解时间:
报告显示,6字符的纯数字口令可以瞬间破解,而12字符的混合口令(包含大小写字母、数字和符号)则需要141年才能破解。这表明,口令长度是抵御暴力破解的关键因素。
典型的口令窃取软件
Top1 Redline
Redline是2020年3月被发现的一种信息窃取恶意软件,主要目标是窃取用户的凭证、加密货币钱包和财务数据。它通过钓鱼邮件、恶意下载或伪装成游戏破解工具的视频传播。Redline会将窃取的数据上传到其命令与控制(C2)服务器,攻击者可以利用这些数据进行进一步的攻击。
传播方式:
Redline通过YouTube视频传播,攻击者会在视频描述中嵌入恶意链接,用户点击后下载并感染恶意软件。
目标
:主要针对游戏玩家,尤其是那些拥有高性能GPU的用户,因为Redline通常会附带加密货币挖矿程序。
Top2 Vidar
Vidar是Arkei Stealer的进化版本,专门窃取浏览器、电子邮件客户端和FTP客户端的凭证。它通过钓鱼邮件和恶意CHM文件传播,攻击者会利用PrivateLoader和Fallout Exploit Kit等工具分发Vidar。
传播方式
:Vidar通过钓鱼邮件和恶意CHM文件传播,攻击者会利用PrivateLoader和Fallout Exploit Kit等工具分发Vidar。
目标
:Vidar会检查受感染机器的语言设置,避免在某些国家传播,以减少被发现的风险。
Top3 Raccoon Stealer
Raccoon Stealer是一种信息窃取恶意软件,采用“恶意软件即服务”(MaaS)模式,攻击者可以按月租用该软件。它主要从浏览器、电子邮件客户端和FTP客户端中窃取凭证。
传播方式
:Raccoon Stealer通过地下论坛传播,攻击者可以在Exploit和WWH-Club等论坛上租用该软件。
目标
