研究人员发现了14亿凭证的特色

Dark Web MonitoringFirm4iQ发现了41GB数据文件，包含140亿登录凭据，包括清晰文本格式的邮件和密码。

从各种来源和违规者收集的凭证缓存被认为是其类型中最大的，超过2017年8月发现的711万电子邮件帐户凭据。

密码被认为来自凭证列表，如反公众，exploit.in，以及来自LinkedIn，MySpace，Netflix，比特币，Pastebin，Last.fm，Zoosk，YouPorn，Badoo，Redbox，Minecraft和Runescape的违法者。

“没有一个密码都是加密的，而且我们已经过时的是我们已经测试了这些密码的子集，并且大多数已被验证为真，”4IQ在博客文章中写道。

根据研究人员，他们已经发现了一个允许快速（一秒钟响应）搜索和新违反进口的“聚合的交互式数据库”。

“鉴于人们在电子邮件中重用密码，社交媒体，电子商务，银行和工作账目，黑客可以自动化劫持或账户收购，”4IQ表示。

据研究人员来说，数据库为恶意演员的“比以前比以往更轻松地找到密码”管理员“，”管理员“和”root“以秒为单位的”管理员“，”root“提供了226,631个密码。

虽然大多数违规行为在违规和黑客社区中都是已知的，但是，4IQ表示，14％的公开凭证未被社区解密，现在可以清楚地提供。

据研究人员称，该数据库于12月5日在一个地下社区论坛中发现，并于11月29日上次更新，但目前尚不清楚谁负责数据库。

“这个新的突破增加了3.85亿新的凭证对，3.18亿个独特的用户和1.47亿密码，与之前的垃圾有关，”4IQ说。

数据库暴露了人们在不同平台上重新使用的简单，易于记住的密码，例如“123456”，“123456789”，“QWERTY”和“密码”。

Lipberman Software总裁Philip Lieberman表示，黑暗网上可用的凭据的大规模数据库的启示应该关注监管机构和政府关于密码的LAX政策，特别是那些用于高程访问的人。

“PCI DSS和其他仅需要管理员密码的监管标准每90天才能与现实脱节。同样，通过混淆而不是技术改进，通过审计员和分析师删除清晰的文本密码的痴迷进一步消除了当前IT流程与今天威胁失去的现实，“他说。

根据Lieberman的说法，它必须通过将手册管理的身份和密码转换为自动化的特权身份管理系统来在每隔几个小时内更改密码来删除被盗凭据的任何值来进行身份管理的革命。

“通过在更改不断变化的密码的顶部添加一层附加的多因素身份验证，它可以实现真正的安全性并摧毁被盗凭证的这些宝贵的奖励的价值，”他说。