打开APP阅读
国外一项研究显示,尽管多年来资安教育与宣导持续推行,使用者在密码安全上的行为仍未改善。资安公司“Specops Software”公布最新报告,2025年最常被盗用的密码第1名依然是“123456”,而“admin”与“password”也在前5名,反映出简单数字序列与常用字词依然是数百万使用者的首选。
这份报告由Specops母公司“Outpost24”的资安情报团队进行分析,涵盖2025年泄露的6亿笔帐号资料。分析结果显示,最常被破解的密码前5名依序为“123456”、“123456789”、“12345678”、“admin”及“password”。事实上,多年来这些密码一直名列最常被使用的帐号密码,从最新资料显示使用者行为几乎没有太大改变。
研究指出,“123456”等简单密码多用于个人帐号,而“admin”与“password”则经常作为网路设备、物联网装置及工业控制系统的预设密码。在企业环境中,未更改这类预设密码可能让骇客透过恶意软件取得关键系统存取权限,造成重大风险;Specops在报告中示警,“这可能导致被恶意软件盗用的帐号被重复用于Active Directory、VPN或云端身份验证,让攻击者取得企业系统的信任存取”。
除了上述简单密码外,分析中也发现许多稍微复杂的密码仍含有可预测的基本字词,如“admin”、“guest”、“qwerty”、“secret”、“Welcome”、“student”、“hello”及“password”;Specops说明,这些字词频繁出现,显示多用于营运或系统管理,而非个人使用。对最常被恢复的500组密码分析,也呈现明显偏向与基础设施、VPN及内部服务相关的功能性帐号,包括admin、root及user的各种变化。
此外,研究还发现密码存在区域与语言模式,如“Pakistan123”及“hola1234”,以及姓名结合的密码模式,例如“Kumar@123”与“Rohit@123”,这类密码在外泄资料中反覆出现,可见安全性相当低。大部分被盗密码来自恶意软件,其中Lumma最活跃,其次为RedLine。
Specops强调,即使企业已采用防网钓与无密码认证,旧系统、服务帐号与目录验证仍可能使用密码。对此,他们建议民众,应采多层防御策略,包括使用密码管理工具,生成复杂的密码;在所有高风险存取与恢复流程中强制采用防盗的多因素验证(MFA)与加强身份验证;定期更换重要帐号的密码,以提升整体安全性。
文 综合报导
图 互联网
