密码重复使用泛滥：近一半的用户登录被泄露

密码重复使用泛滥：近一半的用户登录被泄露

2025-03-17

5 分钟阅读

无论是查看电子邮件还是观看喜欢的节目，访问在线私人内容几乎总是从“登录”步骤开始。在这项日常任务背后，隐藏着一个我们仍未解决的普遍人类错误：密码重复使用。许多用户在多个服务中重复使用密码，当他们的凭证被泄露时，就会产生连锁反应的风险。

根据 Cloudflare 在 2024 年 9 月至 11 月观察到的流量，41% 的通过 Cloudflare 保护的网站的成功登录涉及被泄露的密码。在这篇文章中，我们将探讨密码重复使用的广泛影响，重点关注它如何影响流行的内容管理系统（CMS），登录尝试中机器人与人类的行为差异，以及攻击者如何大规模利用被盗凭证接管账户。

分析范围

作为我们应用安全服务的一部分，我们提供一项免费功能，检查密码是否在其他服务或应用的已知数据泄露中被泄露。当我们进行这些检查时，Cloudflare 不会访问或存储明文最终用户密码。我们构建了一个隐私保护的凭证检查服务，帮助保护用户免受被泄露的凭证的威胁。密码会被哈希处理（即使用加密算法转换为随机字符字符串），以便与泄露凭证数据库进行比较。这不仅警告网站所有者他们的最终用户凭证可能被泄露，还允许网站所有者要求重置密码或启用多因素身份验证（MFA）。这些保护措施有助于防止使用自动化尝试猜测信息（如用户名和密码）以获取系统或网络访问权限的攻击。更多关于我们的泄露凭证检测扫描工作原理的信息，请点击这里。

我们的数据分析重点关注 Cloudflare 免费计划上的互联网资产流量，该计划内置了泄露凭证检测功能。泄露凭证指的是在已知数据泄露或凭证泄露中暴露的用户名和密码——在这次分析中，我们的重点是泄露的密码。Cloudflare 后面有 3000 万个互联网资产，约占网络的 20%，因此这次分析提供了重要的见解。数据主要反映了 2024 年 9 月生日周推出检测系统后观察到的趋势。

近 41% 的登录存在风险

身份验证中最大的挑战之一是区分合法人类用户和恶意行为者。为了了解人类行为，我们关注成功的登录尝试（返回 200 OK 状态码的那些），因为这提供了用户活动和真实账户风险的最清晰指示。我们的数据显示，大约 41% 的成功人类身份验证尝试涉及泄露的凭证。

尽管人们对在线安全的意识不断增强，但仍有相当一部分用户继续在多个账户中重复使用密码。根据福布斯最近的一项研究，用户平均会在四个不同的账户中重复使用他们的密码。即使在发生重大数据泄露后，许多人也不会更改他们被泄露的密码，或者仍然在不同服务中使用它们的变体。对于这些用户来说，问题不是“攻击者是否会使用他们被泄露的密码”，而是“何时”使用。

当我们扩展分析范围以包括机器人驱动的流量时，泄露凭证的问题变得更加明显。我们的数据显示，52% 的所有检测到的身份验证请求包含我们超过 150 亿条记录的数据库中的泄露密码，包括“我被泄露了吗”（Have I Been Pwned, HIBP）泄露密码数据集。

这一比例代表了每天来自机器人和人类的数百亿次身份验证请求。尽管并非每次尝试都会成功，但实际流量中泄露凭证的数量之大，说明了密码重复使用的普遍性。许多这些泄露的凭证仍然可以有效访问，放大了账户接管的风险。

攻击者大量使用泄露密码数据集

机器人是凭证填充攻击的驱动力，数据显示 95% 的涉及泄露密码的登录尝试来自机器人，表明它们是凭证填充攻击的一部分。

机器人配备了从数据泄露中窃取的凭证，系统地大规模针对网站，每秒测试数千种登录组合。

Cloudflare 网络的数据暴露了这一趋势，显示机器人驱动的攻击随着时间的推移仍然居高不下。由于它们的广泛使用和可利用的漏洞，流行的平台如 WordPress、Joomla 和 Drupal 经常成为攻击目标，我们将在接下来的部分中探讨。

一旦机器人成功入侵一个账户，攻击者会在其他服务中重复使用相同的凭证，以扩大他们的影响力。他们甚至有时会尝试通过使用复杂的逃避策略来逃避检测，例如将登录尝试分散到不同的源 IP 地址上，或模仿人类行为，试图融入合法流量中。

其结果是一个持续的自动化威胁向量，挑战传统的安全措施，并利用最薄弱的环节：密码重复使用。

对 WordPress 的暴力攻击

内容管理系统（CMS）用于构建网站，通常依赖简单的身份验证和登录插件。这很方便，但也使它们成为凭证填充攻击的常见目标，因为它们被广泛采用。WordPress 是一个非常流行的 CMS，其用户登录页面格式广为人知。因此，基于 WordPress 构建的网站经常成为攻击者的目标。

在我们的网络中，WordPress 占据了身份验证请求的重要部分。鉴于其市场份额，这并不令人惊讶。然而，突出的是使用泄露密码成功登录的数量，尤其是由机器人发起的。

76% 的针对基于 WordPress 构建的网站的泄露密码登录尝试是成功的。

其中，48% 的成功登录是由机器人驱动的。这是一个令人震惊的数字，表明近一半的成功登录是由未经授权的系统执行的，这些系统旨在利用被盗凭证。未经授权的成功访问通常是账户接管（ATO）攻击的第一步。

剩下的 52% 的成功登录来自合法的非机器人用户。这一比例高于所有平台平均的 41%，突显了真实用户中密码重复使用的普遍性，使他们的账户面临重大风险。

只有 5% 的泄露密码登录尝试被拒绝访问。

与成功的机器人驱动登录尝试相比，这是一个较低的数字，可能与缺乏诸如速率限制或多因素身份验证（MFA）等安全措施有关。如果这些措施到位，我们预计被拒绝的尝试比例会更高。值得注意的是，这些被拒绝的请求中有 90% 是由机器人驱动的，这进一步强化了尽管一些安全措施阻止了自动登录，但许多仍然溜走的想法。

这一类别中机器人流量的压倒性存在表明，持续的自动化尝试强行访问。

剩下的 19% 的登录尝试属于其他结果，例如超时、未完成的登录，或者用户更改了密码，因此它们既不算作直接的“成功”，也没有被记录为“拒绝”。

使用 Cloudflare 保护用户账户安全

如果你是用户，从更改重复使用或弱密码开始，为每个网站或应用使用独特且强大的密码。在所有支持的账户上启用多因素身份验证（MFA），并开始探索 passkeys 作为比传统密码更安全、更防钓鱼的替代品。

对于网站所有者，激活泄露凭证检测，实时监控和应对这些威胁，并在检测到泄露凭证匹配时发出密码重置流程。

此外，启用诸如速率限制和机器人管理工具等功能，以最小化自动化攻击的影响。审查密码重复使用模式，识别系统中的泄露凭证，并执行强大的密码卫生政策，以加强整体安全性。

通过采取这些措施，个人和组织都可以领先于攻击者，建立更强大的防御。