作为威胁评估的一部分,微软核查了30亿个凭据,其中有4400万个microsoft服务和azure ad帐户匹配上,表明上述帐户正在重复使用凭据。微软还指出,在30亿个凭据中,有许多是网络泄漏的,并且公司强制重设密码以确保不滥用帐户。
微软还指出,仅在10次猜测中就可以破解30%的重复使用或修改密码。这触发了违规重放攻击,其中,攻击者获得了一组凭据的访问权,并且也使用类似的凭据闯入其他帐户。
微软敦促用户改善其密码安全状况,并使用f2a,因为通过使用“多重身份验证”可以防止99%的攻击。此外,微软始终建议尽可能使用独特的密码,甚至使用独特的用户名,以使攻击者难以猜测和获得访问权限。