据zdnet报道,在 2019 年 1 月至 3 月份期间,微软威胁研究小组扫描了所有微软用户帐户,发现 4400 万用户在其它在线服务使用相同的用户名和密码,并且在其它平台出现安全漏洞后被泄露。
微软表示,它使用一个超过 30 亿份泄露凭证的数据库扫描用户账户,该数据库是从执法和公共数据库等多个渠道获得。该扫描有效地帮助微软识别在不同的在线账户上重复使用相同用户名和密码的用户。这 4400 万账户包括微软服务帐户(普通用户帐户)以及Azure AD帐户。
微软通常在用户设置帐户时提醒不要使用弱密码或容易猜测的密码,但是并不包括提醒重复使用密码的情况。虽然用户在微软账号设置了复杂的密码,但微软无法知道他们是否在其他地方重复使用了该密码。
一旦第三方服务出现安全漏洞,并且用户密码被窃取泄露,这样让微软帐户也面临风险。黑客通过窃取泄露的密码试图访问用户的其他账户,如微软、谷歌、Facebook、Twitter等。