根据网络安全公司ImmuniWeb 发布的报告，在过去的一年里，大约有1600万个密码已添加到“暗网” 。

这些密码是在2019年第一季度数据泄露事件增加50％之后获得的，这些密码来自于4,000多个数据泄露事件中惊人的40亿条泄露记录。暗网是特殊软件可以访问的互联网的阴暗部分。

利用自身的内部技术，ImmuniWeb发现了超过2100万份属于《财富》 500强公司的凭据，其中有1600万份可追溯到过去12个月。发现数据泄露的最受欢迎来源是第三方，与组织本身无关的网站和其他资源；其次是财富500强企业的信任第三方，合作伙伴，供应商和供应商。

尽管有许多关于数据泄露的新闻，以及关于是否需要强密码的教育普及，但该报告发现，诸如“ 12345678”，“ abc123”甚至“ password”之类的基本，可猜测的密码仍然广泛使用。在分析的2100万条记录中，该报告仅发现490万个唯一密码。

安全公司Tripwire Inc.的漏洞和暴露研究团队的计算机安全研究员Craig Young 告诉SiliconANGLE：“这是对地下犯罪黑客市场内部运作的一个有趣的瞥见。” “它说明了对手在目标组织中立足的难易程度。”

Young解释说，一些犯罪黑客非常擅长鱼叉式钓鱼或破坏随机网站，但可能几乎没有能力直接从信息中获利。他说：“其他人可能专门研究组织内部的访问权限升级，但最初获取访问权限的能力很小。” “通常在TOR上托管的地下市场允许这些威胁参与者以相对匿名的方式进行协作。”

网络安全公司Shape的工程总监Jarrod Overson 指出，凭证填充是最常见的攻击类型之一，因为它便宜且有效。它指的是蛮力攻击，其中先前数据泄露的密码用于尝试登录其他服务。

“成功的凭据馅攻击提供犯罪分子的帐户，然后他们可以用它来行骗的个人和公司，” Overson说。“攻击者可以从商店信用，忠诚度积分到处方药补充剂等各种货币获利。”

Overson补充说，用户可以通过从不重用密码并尽可能打开两因素身份验证来保护自己。此外，诸如1Password之类的密码管理器可以帮助用户轻松管理跨设备的数百个唯一密码。