第三方数据泄露漏出的十多亿明文口令至今仍能在互联网上免费下载，而人类喜欢在多个服务上重复使用同一个凭证的习惯，依旧是网络安全的极大威胁，尤其是对中小企业而言。

多年来，犯罪论坛上一直活跃着口令数据集交易，但最近半年来，口令总量的增加驱动了口令价格的下降，甚至已经到了免费放送的地步——2017年有人在网上放出了14亿之前曝光过的凭证，任何人均可免费下载。

只要知道怎么用搜索引擎和流下载客户端，都不需要动用Tor，就能弄到这些凭证。

这是之前从未出现过的情况。以往人们都只有在暗网才能弄到被泄数据，但现在，这些数据已经公开可得，任人取用。

该数据中包含有美国国际数据集团(IDG)雇员及前雇员的数千个工作用电子邮箱及口令，世界各国各级政府和职能部门雇员的电子邮箱地址和口令也在其中，包括警察、军人和间谍的。甚至 @nsa.gov 邮箱账户也未能幸免——虽然NSA保证自身不受被曝光凭证的影响。但又有几家公司或组织能够像NSA那样手握大量高品质威胁情报呢？

美国国土安全部(DHS)和司法部(DoJ)也有邮箱及口令在这批数据中，但这两个部门都表示未受影响，同样有邮箱和口令被曝的美国银行和富国银行也宣称不受影响。谷歌和苹果则表示，因为早已主动搜索此类被泄数据并提请用户修改口令，这批数据中的上亿Gmail和iCloud邮箱账号没有受到任何影响。

但是，中小企业与大银行、政府机构或大型科技公司不同，通常掌握不到什么太好的威胁情报，甚至连用流客户端下载第三方被泄数据并对着雇员名单交叉对照都做不到。

这就使大量公司企业和地方政府面临口令重用攻击的风险——所谓“凭证充填”攻击，低端攻击者都能运用的攻击手段。抵御此类低端却具破坏性的攻击，首先得接受人性现实，认识到谴责雇员或客户重复使用口令是徒劳的。最好是能深刻领会人们在选择和记忆强口令上的无能，以此为出发点制定防护策略。

口令问题

基于“用户所知信息”（比如口令）的单因子身份验证已不再被认为是最佳操作。口令是个非常糟糕的验证系统。只要知道了你的老口令，就能摸进你的系统。比如说，如果用户有以曾居住地的地名和邮编设置口令的习惯，那只要翻翻朋友圈就能找出这些地方，推断出口令也就不在话下了。

事实上，浏览第三方口令泄露可以窥探人们珍视的那些东西——配偶和孩子的姓名、心愿、喜欢的地方、死忠的球队等等。老口令或许已经失效，但窥探人们隐秘想法的窗口仍然大开。

大量被泄口令的免费上线，大幅降低了发起攻击的成本。口令重用或口令猜测攻击是脚本小子级别的玩意儿。做到基本的尽职审查就能杜绝此类威胁。

那么，该怎么做这些尽职审查呢？

防御凭证填充攻击

每家企业都应遵循以下5个基本步骤：

1. 取消强制口令轮转

去年，美国国家标准与技术局(NIST)设立了新的口令最佳操作 (SP 800-63B) ：停止强制用户每30/60/90天就改一次口令，取消口令中必含有大写字母、小写字母和特殊字符的要求。

除非有理由认定公司被入侵或第三方数据泄露影响到雇员或用户，否则不应强迫用户修改其口令。

验证者不应对口令强加其他复合规则（比如要求不同字符类型混编或禁止连续重复字符），不应要求无端（比如定期）修改口令。但是，在有证据表明认证者已遭入侵的情况下，验证者应强制修改口令。

如果强制人们经常修改口令，那弱口令的大量使用就是板上钉钉的事。

2. 使用口令管理器

随机产生40个字符组成的口令并存储在本地KeePassX数据库中，可以让所有口令重用攻击失效。如果每个口令都不一样，那就没有口令可供重复使用了。用户只需记住口令管理器的主口令即可——好记忆难破解的类Diceware密码短语。

验证者应允许请求者在输入口令时使用“粘贴”功能，这样可以方便应用口令管理器，提升用户选择更健壮口令的概率。

3. 所有已泄露口令进黑名单

下载被泄口令并将之全部放入黑名单。攻击者都有一份被泄口令列表，用户当然也应该有一份。企业中任何人都不应使用列表中的任何口令。

处理设置和修改口令请求的时候，验证者应将提交的口令与常用/预期/被泄口令列表交叉比对。

该列表包含但不限于下列内容：

• 之前数据泄露事件中涉及的口令；
• 字典词；
• 重复性字符或顺序字符(如：“aaaaa”，“1234abcd”)；
• 上下文特定字词，比如服务名、用户名及其衍生物。

将已泄露口令加入黑名单是提高攻击门槛的省钱省力办法。这些被泄口令可免费下载，分析时间也耗不了多久。搜索IDG口令大概花费几个小时，警告用户需要几天。

4. 永远不能重用口令

当前一个最佳操作就是确保用户永远无法再次使用同样的口令。这意味着所有用过的口令散列值都要保存起来，而不仅仅是存储最近用过的5到10个。删除老口令散列值就给了用户重拾老旧口令的机会，而老旧口令正是上文提到过的可供窥视用户内心的窗口，是用户特别爱用的那些，也是第三方数据泄露文件中包含的那些。

5. 强制采用双因子身份验证(2FA)

所有这些建议中最重要的是使用双因子身份验证，最好应用硬件令牌。只要启用了2FA，口令重用就没有任何意义了，而硬件令牌则是比用户手机上的应用更靠谱的安全措施。所有东西都应采用2FA。

重视起来

因为太直观，凭证填充这种重要的攻击方法往往被低估了。幸运的是，其缓解办法也简单而有效。但安全管理员和公司高层必须重视起来，采取行动，遵循NIST指南，部署容易理解的最佳实践。

这并非什么尖端科技，不过是尽职审查而已。踏实做好就行。