最近微软,谷歌等公司宣称有近20000多万份被窃密码被人在网络上公开,微软,谷歌及雅虎认为钓鱼网站应为这次大规模泄密事件负责,但据 ScanSafe公司的研究人员表示,这次密码失窃事件恐怕与恶意软件脱不开关系,而这则意味着这批用户失窃的帐号不仅限于网络电子邮件帐号。据安全专家 Bogdan Calin对这次被窃的密码所作的统计显示,偷懒将密码设为“12345”的用户数量最多,达到了64名,位居第二的是“123456789”达到18 名,另有42%的用户所设密码的安全级别也很低。

尽管有不少用户懒于为自己设置安全性较高的密码,但也有相当一部分人在密码设置上可谓颇费心机。比如,有30%的用户在密码中使用了数字和字母的组合式密码;22%的用户使用了6位密码,14%的用户则使用7位密码,21%用户使用8位密码,12%使用9位密码,甚至还有一位用户使用了长达30位的超长密码。

“我认为这些密码多半是被人使用钓鱼工具获得的。”Calin表示,“不过这种钓鱼工具设计得很差,并不能让用户在输入密码后登陆Hotmail/Live账户,而只会显示出错信息,这样就出现用户多次输入密码的现象,有时这些密码还改变了大小写的形式。”

不过ScanSafe的高级安全专家Mary Landesman则表示这些密码应该是被木马软件所窃取的,而并不是利用钓鱼工具获得的。他的理由是这些密码数据似乎经过某种程度的压缩,比如密码中的“@”字符基本都出现了丢失。

就此质询微软和雅虎,这些公司的发言人仍然坚持己见,认为这次失窃事件的罪魁祸首主要是钓鱼网站。

一位谷歌的发言人表示:“有多种途径可以造成密码被泄露,因此用户有必要使用多种措施来防范,包括设置独特的密码,使用杀毒软件来保护自己的系统等等。”

需要指出的是一些钓鱼网站可以引诱用户点击恶意软件的下载链接,而整个过程则完全在用户的眼皮底下发生。

发表评论

您的电子邮箱地址不会被公开。