成千上万的妥协密码凭据仍在使用甚至敏感的金融,政府,和电子邮件账户。

谷歌的一项新的研究披露,它标记为不安全的约316000用户继续使用already-hacked密码。谷歌收集这些信息基于网站登录和密码检查收集的数据在Google Chrome扩展。

“这项研究说明了安全、民主化访问密码违反提醒可以帮助减轻计算一维劫持,”谷歌发布其安全的博客。

这项研究是作为USENIX安全研讨会的一部分发布。

密码检查扩展

扩展显示一个警告当用户登录一个网站使用一个超过40亿个用户名和密码,谷歌知道由于第三方数据泄露是不安全的。

在今年2月推出的第一个月,谷歌扫描了2100万个用户名和密码,发现1.5%的登录扫描的扩展是有风险的。谷歌表示用户更容易重用脆弱的密码,进一步把账户劫持的风险。

根据匿名遥测密码检查报告的扩展,用户经常重用脆弱密码等某些网站新闻和娱乐网站。风险是最流行的购物网站上用户可以保存信用卡信息。

研究补充说,账户劫持的风险最高的视频流和色情网站,6.3%的用户登录使用违反了凭证。

“我们的研究表明,用户选择重置26%的不安全密码密码检查标记的扩展。更好的是,60%的新密码猜测攻击的是安全的——即需要攻击者超过一亿的猜测在确认新密码之前,”谷歌博客中声明。

如何保护你的密码凭证吗

没有改变的最大风险之一妥协密码是凭据填料。这种类型的网络攻击允许黑客利用用户名和组合从先前的数据泄露密码并使用它们来获得非法访问或强力新网站上注册了账号。当找到匹配,黑客可以接管受害者的账户。

最近credential-stuffing事件影响了Dunkin Donuts和保险提供者国营农场。邓肯甜甜圈的情况下,被客户帐户出售在黑暗的网络论坛。

这项研究提出了一个保护隐私协议在客户端可以查找一个集中的漏洞库知道一个特定的用户名和密码组合是公开曝光。这是不可能透露的信息查询。根据谷歌,客户查询可以是终端用户,密码管理器,或者身份提供者。