多个大型论坛的用户已被告知尽快修改密码，近日，有大约4500万份身份凭据被盗。

 

LeakedSource报道，来自超过1100个网站和社区的数百万用户身份凭据被盗，相关网站包括techsupportforum.com、autoguide.com、petsguide.com、motorcycle.com。这些网站的母公司VerticalScope在今年二月份曾遭到一次攻击，但此事并未公开报道。

VerticalScope在公司网站上发布的安全通告中含糊地确认了此次事件，并描述了其将采取更严格的密码规则的详细计划：

我们近期了解到，许多在线论坛社区账户的用户名、用户ID、加密密码和电子邮件账户可能存在风险，其中有一些由VercicalScope拥有并运行。为了确保安全，以下是我们为了更好地保护各个网站上用户采取改动。

ZDNet发布的一篇报告披露了更多的信息，文中解释了许多受影响网站似乎在使用过时的VBulletin论坛软件、而且并没有配置基本的HTTPS防止黑客作为中间人嗅探用户登录密码的原因。

进一步，如果我们相信LeakedSource给出的信息，遭泄露记录中的绝大多数(超过4000万)使用的是MD5哈希算法存储密码。该算法可能无法面对密码破解给出足够的保护。

如果你是VerticalScope下属某个知名论坛的用户，这将意味着什么？

显然，你应该尽快更换密码。并确保你没有在互联网上的任何其它地方使用泄露的原密码。

毕竟，如果你在petsguide.com上的账户被盗，你可能不会在意，但如果黑客使用同样的信息攻破了你的Gmail账户，你的感觉可能完全不同。

不过这次数据泄露也提出了另一个有趣的问题：为什么有些人在不约而同地使用着一串很奇怪的密码？

LeakedSource对遭泄露数据进行的分析表明，超过9.1万人似乎选择使用密码18atcskd2w，这让这串密码成了第二流行的密码。当然，还有两个更加显而易见，也令人抑郁的密码：123456和password。

 

但是，真的会有这么多人不约而同地选择像是18atcskd2w、3rjs1la7qe、q0tsrbv488这样看上去完全是随机的密码么？

当然，答案是不。人们没有选择那些密码。

是的，这些登录凭据能在失窃的数据中找到，而且使用这些密码的人数很多，但选择它们的不是人类，而是一台电脑。

人类大脑显然可能选择像123456、password、qwerty这样的密码。但91103个人同时选择18atcskd2w这样的密码的事显然不可能存在。

相反，真正发生的事情是，这些账户是机器创建的，也许其目的是在论坛上发送垃圾信息。

如果用户论坛没有采取很强的措施防止机器注册，那么就可能有人写出程序，同时创建大量账户，用于传播垃圾信息或者恶意链接。

游手好闲的人有可能为自己的僵尸账户设置不同密码，但这显然需要更多的编程工作，而且也可能让攻击者其后的工作变得复杂起来，因为他们需要分别记住不同僵尸账户的密码。

总之，对于骚扰者而言，创建成百上千拥有相同密码的账户更加方便，特别是当网站并没有意识到存在可疑行为的时候。

当然，对于那些账户信息因为这次事件而泄露的人而言，这些都并不重要。当前，你可能并不会在意相关网站上的僵尸账户，而更关心你自己的安全。

因此，如果你认为自己将受到威胁，请更改这些网站上的密码和你在其它地方使用的相同密码。

很多人并不喜欢定期更改密码(VerticalScope宣布将采取类似政策)，但在这个案例中，你的选择并不多：密码已经泄露，因此你真的需要换换它们了。

使用优秀的密码管理器可以帮助你完成这一过程。密码管理器可以为你生成真随机密码，并帮你记住它们，进而减少你在未来复用密码或使用容易猜测的弱密码的可能性。

(责任编辑：安博涛)