微软公司声称,在对包含所有受攻击账户数据的清单进行过全面分析之后,最终发现有20%的是因为消费者在多项服务中都采用内容完全相同的详细登录信息所造成的。
该清单是由利用第三方服务提供商进行攻击的组织与黑客所散发的。
在星期天发布的一篇日志文章中,微软客户服务群组经理埃里克·多尔指出,消费者经常采取的做法是在不同供应商所提供的各种服务设置之中都采用内容完全相同的密码以及登录信息。而信息的多次重复使用就意味着,一旦某项登录设置遭遇到攻击,其它所有账户马上就会处于风险之中。
在雅虎上星期爆发了泄露40万用户详细信息的重大事故之后,多尔指出:“这些攻击将关键问题暴露在了聚光灯之下——人们选择在不同网站上重复使用完全相同的密码”。他进一步解释说:“从平均情况来看,我们发现有20%的用户名可以与密码成功匹配”。
为了宽慰雅虎黑客事件之后惊魂未定的消费者,多尔对微软在确保账户安全方面采取的几项措施进行了详细说明。微软采用的是独立帐号模式,也就是说包括SkyDrive在线存储、Hotmail电子信箱、Xbox网络游戏以及Messenger即时通信在内的各项服务都拥有自己的独立体系。
对各种清单涉及到的内容进行详细分析
按照多尔的介绍,微软会定期从互联网服务供应商、执法机关以及供应商处获取到第三方所泄露登录详细信息的清单,甚至连黑客发布到互联网的内容也会被包括进来。微软开发的一个自动化处理工具将会利用这些信息来对账户使用的登录信息进行详细审核。多尔声称,尽管平均数字达到了20%,但最近一段时间之中这样的情况只有4.5%。
在其它供应商遭遇黑客攻击之后,微软马上就会对相关用户账户进行重点监测,以防出现发送垃圾邮件的行为。如果发现该账户存在从事犯罪活动的迹象,微软就会选择直接暂停使用。而受到影响的用户需要通过帐户恢复模式的审核才能再次获得登录的权利。
如果微软虽然怀疑但不是非常确定存在风险的话,则会要求用户进行密码重置处理。
在登录模式中,微软还部署了金融级别的访问以及位置监控技术,以确保整个过程都不会出现问题。该技术既能够选择直接阻止可疑尝试,也可以要求访问者回答身份验证方面的额外问题,再决定是否授予相应的访问权限。
进一步加强安全方面的各项设置
多尔声称,微软客户服务团队正致力于加强安全性方面的工作。举例来说,现在密码长度的限制已经提升到16个字符,这让暴力破解攻击获得成功的难度进一步上升。当然,他也指出,微软也在应对密码长度增加给现有系统带来的新问题。
多尔解释说:“不幸的是,由于历史遗留问题带来的限制,导致密码验证策略被分散在不同的产品之中,因此,这样重大的调整将需要较长时间才能全部完成”。
不过,一名微软用户MondayBlues在发表的评论中指出,雅虎信箱、谷歌信箱、Hushmail、Yandex以及欧朋免费信箱都已经容许设置最大长度为30个字符的密码。
多尔指出,用户在使用基于SkyDrive空间的同步软件以及在Xbox.com上购买产品的时间都需要选择双因子认证模式。他声称,微软还将会在更多产品以及服务中部署这项安全措施。不过,目前这项工作并没有已经确定好的时间表。