研究人员发布了1000万个来自数据泄露的用户名和密码

这1000万个用户名和密码是泄露的数据库转储的集合，这些转储已经在互联网上公开。然而，著名的安全顾问马克·伯内特（Mark Burnett）开发了一个专门收集和研究网上泄露的密码的系统，他认为自己发布密码转储的决定具有法律风险，但对帮助安全研究人员来说是必要的。

为什么研究人员愿意分享密码？
研究人员表示，公布的一组密码和用户名就像一个样本数据，这对其他研究人员分析和深入了解用户行为很重要，对鼓励密码安全性也很有价值。

此外，研究人员经常收到学生和其他安全研究人员的大量请求，要求他们提交一份密码研究数据副本，供自己分析。

是什么让他对分享他的研究感到恐慌？
当时，他通常拒绝分享密码，因为他担心如果这样做，可能会在法律上伤害他，因为最近前匿名活动人士和记者巴雷特·布朗被判处五年徒刑，分享IRC（互联网中继聊天）频道的超链接，匿名成员在该频道传播黑客窃取的信息。

然而，与此同时，伯内特希望与全世界分享他的密码研究数据，以便研究人们选择密码短语的方式。

"我认为这是完全荒谬的，我必须写一整篇文章来证明出于对起诉或法律骚扰的恐惧而公布这些数据是合理的，“他在周一发表的博文中写道。”我本想写一篇关于数据本身的文章，但我必须稍后再写，因为我不得不写这篇蹩脚的文章，试图说服FBI不要突袭我。"

这些证书是从哪里来的？
伯内特收集了包括Adobe data Break和Stratfor hack在内的大公司重大数据泄露事件的数据，所有这些数据都已在互联网上公开，可以通过网络搜索轻松找到。

据这位研究人员称，大多数泄露的密码都是“死的”，这意味着它们已经被更改，他还删除了域名等其他信息，使其无法供网络罪犯和恶意黑客使用。但是，应立即更改列表中仍在使用的用户名或密码。

伯内特还解释说，他不应该被执法机构逮捕。

马克·伯内特的简短采访
在一次电子邮件聊天中的快速采访中，我个人向马克提出了几个关于公开用户名/密码的问题，他的回答如下：

问：公开密码会对在线用户造成威胁吗？
A:正如我所说，“如果黑客需要这个列表来攻击某人，他们可能不是什么威胁。”需要注意的是，我没有泄露这些密码，它们已经存在了。

问：有执法机构找过你吗？
A:还没有，但现在还为时过早。

问：这些用户名/密码是否包含来自Adobe和LinkedIn的数据？
A:我只列出了同时有用户名和密码的漏洞，这样我就可以合并来自多个站点的数据。这将排除LinkedIn和其他一些人。我也没有发布任何尚未公开的未加密密码，以排除Adobe。除此之外，它还包括了一点所有的东西。

问：公开分享密码有什么强有力的理由吗？
A:其主要目的是在世界上获得良好、干净、一致的数据，以便其他人能够找到新的方法来探索并从中获取知识。我经常被要求提供我的数据，但由于隐私问题，我一直不愿分享。虽然并不完美，但这是一个一致的数据集，我们都可以使用它来帮助提高安全性。

“为什么FBI不应该逮捕我”
"虽然研究人员通常只发布密码，但我发布的是带有密码的用户名。分析带有密码的用户名是一个被严重忽视的领域，它可以提供与单独研究密码一样多的洞察力。”伯内特写道。

"大多数研究人员都不敢同时发布用户名和密码，因为它们结合在一起会成为一种身份验证功能。如果简单地将已发布的认证特征链接到私有IRC通道被认为是贩运，那么联邦调查局肯定会考虑将实际数据公布给公众。"

例如，研究人员发布的近1000万个密码可以帮助其他研究人员确定用户在密码中包含全部或部分用户名的频率。然而，1000万是一个非常大的数字，但伯内特辩称，所有泄露的数据都已在网上可用。