4400万个帐户密码被泄露：微软建议客户使用多因素身份验证

微软在今年1月份至3月份之间对其服务和用户进行了安全危险威胁评估，结果令人震惊。根据Microsoft威胁研究小组的说法，成千上百万用户正在Microsoft服务上重复使用其密码。作为威胁评估的一部分，微软核查了30亿个凭据，其中有4400万个Microsoft服务和Azure AD帐户匹配上，表明上述帐户正在重复使用凭据。微软还指出，在30亿个凭据中，有许多是网络泄漏的，并且公司强制重设密码以确保不滥用帐户。

微软对2016年密码使用情况的分析显示，约20%的互联网用户重复使用密码，另有27%的用户使用的密码与其他账户密码几乎相同。2018年的研究结果显示，大部分网民仍然青睐弱密码，而非安全密码。

像Mozilla或Google这样的公司都引入了改善密码使用的功能。谷歌于2019年2月发布了其密码检查扩展程序，并于2019年8月开始将其本地集成到浏览器中。该公司还于2019年在其网站上推出了针对Google帐户的新密码检查功能。Mozilla将Firefox Monitor集成到Firefox 浏览器中，该浏览器旨在检查弱密码并监视密码是否已经泄漏。

微软一直在推动无密码登录已经有一段时间了，该公司的密码重用研究提供了一个原因。根据微软的说法，4400万个Azure AD和微软服务帐户使用在泄漏的密码数据库中也可以找到的密码。这大约是该公司在研究中检查所有凭证的1.5％。

现在微软将强制重置泄露的密码。微软用户将被要求更改帐户密码。目前尚不清楚如何将信息传达给受影响的用户或何时重置密码。在企业方面，微软将提高用户风险并警告管理员，以便可以强制执行凭据重置。微软建议客户启用一种形式的多因素身份验证，以更好地保护其帐户免受攻击和泄漏。根据微软的说法，如果使用多因素身份验证，则99.9%的身份攻击不会成功。