微软在今年1月至3月份之间对其服务和用户进行了安全危险威胁评估,结果令人震惊。根据Microsoft威胁研究小组的说法,成千上百万用户正在Microsoft服务上重复使用其密码。
作为威胁评估的一部分,微软核查了30亿个凭据,其中有4400万个Microsoft服务和Azure AD帐户匹配上,表明上述帐户正在重复使用凭据。微软还指出,在30亿个凭据中,有许多是网络泄漏的,并且公司强制重设密码以确保不滥用帐户。
微软还指出,仅在10次猜测中就可以破解30%的重复使用或修改密码。这触发了违规重放攻击,其中,攻击者获得了一组凭据的访问权,并且也使用类似的凭据闯入其他帐户。
微软敦促用户改善其密码安全状况,并使用F2A,因为通过使用“多重身份验证”可以防止99%的攻击。此外,微软始终建议尽可能使用独特的密码,甚至使用独特的用户名,以使攻击者难以猜测和获得访问权限。