近期,网络安全机构发布年度密码泄露数据分析报告,对全年约60亿条泄露密码样本进行统计与归因。结果显示,弱口令问题仍未得到根本扭转,“123456”“123456789”“12345678”“admin”“password”等简单组合长期占据高频榜单。另外,“guest”“hello”“secret”“welcome”等常见单词,以及“qwerty”“zxcvbnm”等键盘序列也大量出现,反映出不少用户设置口令时仍依赖记忆方便而非安全优先。 问题:弱口令“顽疾”叠加窃密工具化,账户风险外溢 从样本特征看,泄露口令不仅“简单”,而且呈现明显的可预测性:将人名、地区或常用词与简单数字拼接的模式普遍存在,如“某词@123”“某词1234”等结构在不同语境中反复出现。更值得警惕的是,泄露来源并非仅限于单一平台的数据库事件,信息窃取类恶意软件对终端与浏览器凭证的批量盗取,正在成为推动凭证外泄规模化的重要力量。报告点名的LummaC2,以及Redline、Vidar等家族,体现出“黑产工具化、分工链条化”的趋势:通过钓鱼、捆绑下载、盗版软件或木马投递等方式入侵终端,再自动化收集账号口令、Cookies、加密钱包信息并回传,从而形成可交易、可复用的“账号资产”。 原因:合规门槛与使用习惯叠加,安全投入与认知存在落差 其一,部分系统仍以“最低长度达标”为主要门槛,导致用户倾向于选择最省力的方案。报告数据显示,8位字符口令数量占据显著比例,说明不少用户把“能通过规则”当作“足够安全”。其二,账号体系日益复杂,但口令管理工具普及不足,用户在多平台复用或轻微变体复用的情况仍较突出,一旦某处泄露便容易触发“撞库”连锁。其三,终端安全防护与更新习惯不佳,使信息窃取类恶意软件有机可乘。部分用户对来源不明的安装包、破解工具、外挂脚本缺乏警惕,给窃密程序提供了入口。其四,一些组织在身份与访问管理上仍存短板,如未强制多因素认证、未启用异常登录检测与风险控制策略,导致攻击者即使获取口令也能较容易完成登录与横向移动。 影响:从个人隐私到企业运营,低成本攻击带来高代价 弱口令与大规模凭证泄露的叠加效应,会显著降低攻击门槛。对个人而言,风险不仅体现在账号被盗、财产损失,还可能延伸至社交关系被冒用、隐私信息被利用进行精准诈骗。对企业与机构而言,凭证一旦被窃取,攻击者可绕过部分边界防护,直接以“合法身份”进入系统,带来数据泄露、业务中断、勒索攻击等更深层次威胁,并可能引发合规与声誉风险。更重要的是,凭证黑市流通与自动化撞库,使攻击具备“规模化、持续化、跨行业迁移”的特征,形成长期安全压力。 对策:以“强身份”为核心,平台治理与用户习惯同步升级 业内建议,应将治理重点从“提醒用户别用弱口令”升级为“以强身份体系降低口令依赖”。在个人层面,应优先使用长且唯一的口令,避免键盘序列、常见词组与简单数字拼接;通过密码管理器生成并保存随机口令,减少复用;同时开启多因素认证,尤其是对邮箱、社交媒体、支付与云存储等关键账户。对企业层面,需落实分级保护与最小权限原则,推动多因素认证与单点登录、零信任访问等能力落地;对高风险登录行为进行设备指纹、地理位置、异常速率等检测;加强终端防护与补丁管理,提升对信息窃取恶意软件的发现与处置能力;建立泄露凭证监测与应急流程,及时对暴露账号强制重置并溯源排查。对平台与服务提供方而言,应优化口令策略,遏制常见弱口令与已泄露口令的使用,完善风控与反自动化机制,压缩撞库与批量试探空间。 前景:从“口令时代”走向“多要素与无口令”是必然方向 从全球趋势看,身份安全正从单一口令向多要素认证、硬件密钥、生物识别与“无口令登录”等方向演进。随着信息窃取类恶意软件的产业化程度提升,仅依赖“更复杂的口令”难以完全对冲风险。未来一段时期,关键在于形成“制度约束+技术手段+用户习惯”三位一体的治理格局:一上以更强的身份验证降低口令泄露带来的直接危害,另一方面通过终端安全与反黑产能力建设切断窃密链条,同时以持续教育和产品引导改变“图省事”的口令习惯。只有把身份体系做强,把窃密路径堵住,把复用习惯改掉,才能把账户安全风险从源头压下去。
"123456"等弱密码的普遍使用反映了记忆习惯与安全需求的矛盾。在提升技术防护的同时,培养全民网络安全意识才是根本解决之道。从个人到企业,构建数字防线需要各方共同努力,这既是应对当前威胁的必要举措,也是面向未来的长远准备。