你的帐密安全吗？研究：黑市估约有25％的外泄帐密能成功存取Google账号

Google与加州大学一项共同研究揭露，在黑市中可以买到约19亿笔的账号与密码，而且不少还能用来存取Google账户。

研究人员想要了解地下生态，研究时间从2016年3月到2017年3月，仅一年的时间就找到约有788,000名潜在的键盘侧录受害者，1,240万潜在钓鱼受害者，从资料泄露以及黑市论坛曝露出约19亿笔的帐密。

研究人员表示，可以借由研究这些帐密取得了解骇客行动的脉络，像是这些帐密来自数千个线上服务，使攻击者可以获取受害者帐密的电子邮件等验证资料，透过取得间接的验证资料，进一步的完全控制受害者线上身份。

不少人在不同的线上服务都会重复或是仅些微重新组合帐密，研究人员估计在19亿笔的资料中，约有25％的帐密资料，攻击者可以透过取得间接验证资料，成功存取受害者的Google账号。而从账号破解的过程，可以了解线上服务利用使用者历史地理资讯以及登入装置资料等讯息，辅助认证机制的强度有多少。

不幸的是，这些骇客攻击的严重程度超乎想像，但是政府组织与企业并没有放在心上，研究发现，由于这类的攻击缺乏强烈的外在打击压力，以至于键盘侧录和钓鱼工具从2000年来没有太大的改变。

尽管密码制定规则建议从至少8个字元的复杂组合，现在已经提升到了20个字元包含数个简短无相关的短词组合，不过，研究人员还是建议，与其记忆复杂的密码，对于这类攻击最有效的办法还是使用帐密管理服务。