根据Digital Shadows的一项新研究，暗网上有240亿个用户名和密码，令人瞠目结舌——在短短两年内增加了65%。一些组合在论坛上不止一次宣传，但即使在删除重复项后，Digital Shadows仍然发现存在67亿个唯一凭据——两年内增加了约17亿个或34%。

威胁情报公司于周三（6月15日）发布的一项研究(PDF)发现，尽管如此，消费者仍继续使用易于猜测的密码。

例如，大约0.46%的密码（几乎每200个密码中就有一个）是“123456”。诸如“qwerty”或“1q2w3e”之类的键盘组合也很常见。

Digital Shadows表示，在其报告中收集和分析的大部分凭据都来自其数据库在密码哈希被破解和密码在网络犯罪论坛上泄露之前已被破坏的组织。登录凭据最初是通过网络钓鱼攻击被盗的，并且经常使用专业的网络钓鱼工具包和另一个重要的凭据盗用载体。

易于使用的工具通常可以通过犯罪市场以最低成本或免费获得，即使是不熟练的脚本小子也可以轻松破解弱密码。

简单地在10个字符的基本密码中添加一个“特殊字符”（例如 @# 或 _）会使破解密码变得更加困难，因此使一个人成为攻击受害者的可能性大大降低，而犯罪分子则进行攻击更容易被破坏的帐户。

Digital Shadows报告称，通过网络犯罪论坛和市场销售被盗和破解的凭证仍然是销售的支柱。

“被盗凭证是各种网络犯罪分子和国家资助团体运营的最重要的访问令牌之一，”Digital Shadows说“因此，他们的市场一直很火爆，威胁组织争相抢购这些宝贵的资产。”

Digital Shadows的高级网络威胁情报分析师Chris Morgan表示，尽管行业试图超越密码作为身份验证机制，但凭据泄露的问题仍然很紧迫，并且随着时间的推移变得越来越严重。

摩根说：“犯罪分子有无穷无尽的被破坏凭据清单，他们可以尝试，但增加这个问题的是弱密码，这意味着可以在几秒钟内使用自动化工具猜出许多帐户。”

摩根补充说：“在过去的18个月里，我们Digital Shadows已经提醒我们的客户注意670万个暴露的凭证。这包括其员工、客户、服务器和物联网设备的用户名和密码。

他们总结说：“其中许多情况可以通过使用更强的密码而不是在不同账户之间共享凭据来缓解。”

在一篇博文中，Digital Shadows总结了其研究结果，并提供了有关密码安全最佳实践的建议。

它的重要提示包括建议用户改用密码管理器，并为他们的在线帐户添加多因素身份验证，这样仅凭密码（即使被泄露）也不足以获得访问权限。