如今，十亿以上的账户凭证在网上售卖。在被盗口令泛滥的时代，从凭证入手是比网络钓鱼、恶意软件或漏洞利用更方便的攻击方式。“口令验证”工具已可用于查找跨网站重复利用的口令。这种大规模验证被盗口令的趋势不是什么新鲜事，已经持续了至少2年。

你能想象一个遍地都是银行保险箱钥匙的世界吗？所需要做的，仅仅捡起一把，再找到匹配的保险箱而已。我们面对的口令现状就是这么个样子。事实上，由于大多数人总用同一把钥匙开办公室、车和家的门，情况还要更糟糕。

口令就是新的漏洞利用，甚至可能更好——凭证已成为当今头号攻击方法。据威瑞森《2016数据泄露报告》所言，63%的已证实数据泄露涉及弱口令、默认口令或被盗口令，且问题正变得更严重。

市场已满是用户名/口令对，数量多到难以判断新口令包是新泄露的成果，还是以往被盗口令在新网站上的重过滤的结果。攻击者挖掘已暴露的用户名、邮件地址和口令数据，利用自动化工具，在各大顶级网站上尝试自动测试这些登录数据和口令。

如果有人在多个站点使用同一个用户名/口令对，那么攻击者在某些情况下就能自动接管他们的账户。这也是为什么X网站的口令泄露，会造成毫无关系的Y网站也有凭证被盗的原因。举个例子，一名黑客可以用Tumblr被盗数据集，在Dropbox上用自动化“口令验证”工具，数小时之内获取上百万“新”Dropbox口令——今年6月的事儿。

可用的“口令验证”工具多达几十个，比如SentryMBA。

其他同类工具也很多，可以在多个网站上测试被盗口令是否有效。当然，这些站点试图通过速率限制登录来预防此类测试活动。因此，攻击者利用大量代理和僵尸网络来突破此一防范措施。他们甚至用光学字符识别(OCR)软件来绕过验证码！

利益链条是这样的：被盗凭证1000条一组打包，以5美分左右的价格在黑市反复售卖——每百万条大约值50美元。攻击者随后利用iOne.club之类的网站，找工具来测试这些口令，每条有效口令只需付1美分，口令无效则不付款。

大部分人的口令都有可能已经被泄露了。修改口令也不会使你更安全。比如说，据统计，很多人都会把口令直接改成“123456789”，或像扎克伯格的“dadada”，或者此类不相上下的烂口令。

即使选了个很难记的强口令，另一起SQL注入攻击把你的新口令暴露出来也只是时间问题。

因此，是时候把口令都甩掉了，就像雅虎和谷歌所做的那样。

另一个选择，是总是默认采用双因子验证。很多服务已经在这么干了。

大多数人不愿意弄些复杂难记的口令，也不会每个服务都费事去弄个单独的口令。所以，网站必须假设攻击者已经知道大多数口令。在很多网站上大量重用口令，意味着单点被破基本上就是整个网上身份的彻底暴露。这种状态必须改变，是时候让口令从主要验证机制的位置上退下来了。