危險!別用!這個密碼被評為2024全球最糟糕密碼
作者/ IT時報記者 賈天榮
編輯/ 王昕孫妍
近日,知名密碼管理器NordPass通過分析2.5T的公開數據,發佈了2024年度全球最流行密碼榜單,揭示了人們在設置密碼時的普遍習慣與安全隱患。「123456」不負眾望,連續第二年穩居榜首,而「123456789」則緊隨其後,再次證明了簡單密碼的受歡迎程度。
自該機構過去六年發佈密碼榜單以來,「123456」五次榮登榜首,僅在2022年被「password」短暫取代。然而,2024年,「123456」再次奪回冠軍寶座。
簡單密碼的安全隱患
該榜單中,2024年全球最常用的十大密碼分別為:123456、123456789、12345678、password、qwerty123、qwerty1、111111、12345、secret、123123。這些密碼雖然簡單好記,但破解時間極短,給用戶的賬戶安全帶來了巨大威脅。
在中國,情況同樣不容樂觀。位居前十的密碼中,除了與全球榜單相似的簡單數字組合外,還出現了如「11111111」、「000000」和「00000000」等更加簡單的密碼。這些密碼的破解時間同樣不到1秒,給中國用戶的賬戶安全帶來了極大的風險。
公安部第三研究所網絡安全等級保護高級測評師、密碼安全專家賈徽徽在接受《IT時報》記者採訪時表示,使用簡單密碼屬於普遍現象,反映了用戶習慣和安全意識的不足,「大多數人更願意選擇簡單且易記的密碼組合,比如‘123456’或‘654321’,這種現象不僅在國內普遍存在,放眼全球也是如此。但實際上,這類密碼對於外來人員而言,幾乎等同於沒有設置密碼,非常容易被破解。」
賈徽徽進一步闡釋道,許多用戶將簡單密碼用於個人設備或家庭場景中,例如手機解鎖或WiFi熱點設置。然而,隨著網絡威脅的增加,這種簡單密碼可能帶來嚴重的安全隱患。
近日就有媒體曝光了「酒店偷拍直播」的黑色產業鏈。在某社交網站上,有不少帳號打著「酒店偷拍」「攝像頭破解」「實時監控」等關鍵詞噱頭,吸引網絡用戶購買觀看各種隱私影片。
這些影片不僅畫面清晰,現場聲音也被完整收錄。此前,2020年2月,北京市第三中級人民法院審結一起案件,被告人巫某某通過技術手段,一年之內總共控制了全球18萬餘個攝像頭,其中就包括了許多私人空間。
中國信息通信研究院泰爾終端實驗室工程師王嘉義在接受媒體採訪時分析,黑客正是通過IP地址遍曆或弱口令攻擊,侵入攝像頭設備,他們利用用戶未修改出廠密碼的習慣,將這些設備變為隱私泄露的工具。
暴力破解的應對之道
賈徽徽告訴《IT時報》記者,黑客對於簡單密碼的暴力破解主要通過兩種方式實現。
第一種是字典攻擊,這種方式利用一個包含大量常見弱口令的「字典」進行嘗試。例如,「123456」「Password」「ADMIN」等簡單易記的密碼,都會成為黑客的首要攻擊目標。這些弱口令被廣泛使用且容易被預測,因此經常出現在字典中,供黑客逐一嘗試破解。
第二種是自動化工具,黑客使用自動化工具生成多種密碼組合併進行暴力破解。這些工具能夠快速生成如「123456」「1234567」「12345678」等逐步增加字符長度的組合,同時也可以嘗試各種不同的排列方式。這類工具依賴於計算機的高速運算能力,能夠在短時間內嘗試數千甚至數百萬種可能的密碼。
因此,針對黑客的暴力破解,個人用戶在設置密碼時應儘量保持在8位及以上,避免單一數字或字母的組合,增加大小寫字母、數字和特殊符號的混合。
為了便於記憶,也可以利用與自己相關的特殊信息設置密碼,比如使用喜歡的詩句中某一部分,將其中的字用拚音首字母或筆畫數表示,並加入隨機字符來增加複雜性。
另外,與傳統密碼相比,基於生物特徵的身份驗證(如面部識別、指紋識別)安全性更高,這些技術通過複雜的算法對生物特徵點進行採集和比對,難以偽造。
量子和AI成密碼攻防「雙刃劍」
在密碼技術的更新迭代上,傳統意義上的密碼(如交易密碼、支付密碼)只是用於身份驗證的「口令」,而真正的密碼技術指的是基於密鑰的加密算法,比如AES或國密標準算法,當前密碼技術正面臨量子計算和人工智能的雙重挑戰。
量子計算機的強大運算能力,使得傳統公鑰密碼學賴以生存的數學難題變得易於破解,對現有的密碼體系構成了巨大威脅。此外,人工智能算法,如蟻群算法,能挖掘加密系統的脆弱點,進一步威脅數據安全。
應對此類威脅,量子密碼學將成為應對這些威脅的重要研究方向。例如,美國國家安全局(NSA)正研究抗量子密碼體系,人工智能也被用於開發更強大的加密算法和密鑰生成技術。
「美國國家安全局正在研究抗量子密碼體系,將人工智能跟密碼學相結合,通過神經網絡深度學習等技術開發出更加強大的加密算法,以及安全密鑰的生成。」賈徽徽表示,儘管面臨新技術的挑戰,整體信息安全水平仍在提升,大部分公開的密碼算法仍然是安全的,「目前已經公佈的密碼算法,已知能夠被黑客攻擊的就那麼幾種,我國自主研發的SM系列算法和美國的RSA-2048算法,都屬於比較安全的算法」。
圖源:東方IC另一方面,業內專家建議,一些常見的不良使用習慣及安全風險仍要注意,如連接不安全的公共WiFi,公共環境中的WiFi熱點特別是未加密或由惡意行為者設置的熱點,容易被用來竊取用戶輸入的信息(如賬戶名和密碼);將密碼記錄在電腦或手機中的文本文件中是一種非常危險的行為。一旦設備被惡意軟件入侵,黑客可以通過掃瞄文件找到這些記錄,從而輕鬆獲取賬戶信息。
排版/ 季嘉穎
圖片/ IT時報 東方IC
