作者／IT时报记者贾天荣

编辑／王昕孙妍

近日，知名密码管理器NordPass通过分析2.5T的公开数据，发布了2024年度全球最流行密码榜单，揭示了人们在设置密码时的普遍习惯与安全隐患。“123456”不负众望，连续第二年稳居榜首，而“123456789”则紧随其后，再次证明了简单密码的受欢迎程度。

自该机构过去六年发布密码榜单以来，“123456”五次荣登榜首，仅在2022年被“password”短暂取代。然而，2024年，“123456”再次夺回冠军宝座。

简单密码的安全隐患

该榜单中，2024年全球最常用的十大密码分别为：123456、123456789、12345678、password、qwerty123、qwerty1、111111、12345、secret、123123。这些密码虽然简单好记，但破解时间极短，给用户的账户安全带来了巨大威胁。

在中国，情况同样不容乐观。位居前十的密码中，除了与全球榜单相似的简单数字组合外，还出现了如“11111111”、“000000”和“00000000”等更加简单的密码。这些密码的破解时间同样不到1秒，给中国用户的账户安全带来了极大的风险。

公安部第三研究所网络安全等级保护高级测评师、密码安全专家贾徽徽在接受《IT时报》记者采访时表示，使用简单密码属于普遍现象，反映了用户习惯和安全意识的不足，“大多数人更愿意选择简单且易记的密码组合，比如‘123456’或‘654321’，这种现象不仅在国内普遍存在，放眼全球也是如此。但实际上，这类密码对于外来人员而言，几乎等同于没有设置密码，非常容易被破解。”

贾徽徽进一步阐释道，许多用户将简单密码用于个人设备或家庭场景中，例如手机解锁或WiFi热点设置。然而，随着网络威胁的增加，这种简单密码可能带来严重的安全隐患。

近日就有媒体曝光了“酒店偷拍直播”的黑色产业链。在某社交网站上，有不少账号打着“酒店偷拍”“摄像头破解”“实时监控”等关键词噱头，吸引网络用户购买观看各种隐私视频。

这些视频不仅画面清晰，现场声音也被完整收录。此前，2020年2月，北京市第三中级人民法院审结一起案件，被告人巫某某通过技术手段，一年之内总共控制了全球18万余个摄像头，其中就包括了许多私人空间。

中国信息通信研究院泰尔终端实验室工程师王嘉义在接受媒体采访时分析，黑客正是通过IP地址遍历或弱口令攻击，侵入摄像头设备，他们利用用户未修改出厂密码的习惯，将这些设备变为隐私泄露的工具。

暴力破解的应对之道

贾徽徽告诉《IT时报》记者，黑客对于简单密码的暴力破解主要通过两种方式实现。

第一种是字典攻击，这种方式利用一个包含大量常见弱口令的“字典”进行尝试。例如，“123456”“Password”“ADMIN”等简单易记的密码，都会成为黑客的首要攻击目标。这些弱口令被广泛使用且容易被预测，因此经常出现在字典中，供黑客逐一尝试破解。

第二种是自动化工具，黑客使用自动化工具生成多种密码组合并进行暴力破解。这些工具能够快速生成如“123456”“1234567”“12345678”等逐步增加字符长度的组合，同时也可以尝试各种不同的排列方式。这类工具依赖于计算机的高速运算能力，能够在短时间内尝试数千甚至数百万种可能的密码。

因此，针对黑客的暴力破解，个人用户在设置密码时应尽量保持在8位及以上，避免单一数字或字母的组合，增加大小写字母、数字和特殊符号的混合。

为了便于记忆，也可以利用与自己相关的特殊信息设置密码，比如使用喜欢的诗句中某一部分，将其中的字用拼音首字母或笔画数表示，并加入随机字符来增加复杂性。

另外，与传统密码相比，基于生物特征的身份验证（如面部识别、指纹识别）安全性更高，这些技术通过复杂的算法对生物特征点进行采集和比对，难以伪造。

量子和AI成密码攻防“双刃剑”

在密码技术的更新迭代上，传统意义上的密码（如交易密码、支付密码）只是用于身份验证的“口令”，而真正的密码技术指的是基于密钥的加密算法，比如AES或国密标准算法，当前密码技术正面临量子计算和人工智能的双重挑战。

量子计算机的强大运算能力，使得传统公钥密码学赖以生存的数学难题变得易于破解，对现有的密码体系构成了巨大威胁。此外，人工智能算法，如蚁群算法，能挖掘加密系统的脆弱点，进一步威胁数据安全。

应对此类威胁，量子密码学将成为应对这些威胁的重要研究方向。例如，美国国家安全局（NSA）正研究抗量子密码体系，人工智能也被用于开发更强大的加密算法和密钥生成技术。

“美国国家安全局正在研究抗量子密码体系，将人工智能跟密码学相结合，通过神经网络深度学习等技术开发出更加强大的加密算法，以及安全密钥的生成。”贾徽徽表示，尽管面临新技术的挑战，整体信息安全水平仍在提升，大部分公开的密码算法仍然是安全的，“目前已经公布的密码算法，已知能够被黑客攻击的就那么几种，我国自主研发的SM系列算法和美国的RSA-2048算法，都属于比较安全的算法”。

图源：东方IC

另一方面，业内专家建议，一些常见的不良使用习惯及安全风险仍要注意，如连接不安全的公共WiFi，公共环境中的WiFi热点特别是未加密或由恶意行为者设置的热点，容易被用来窃取用户输入的信息（如账户名和密码）；将密码记录在电脑或手机中的文本文件中是一种非常危险的行为。一旦设备被恶意软件入侵，黑客可以通过扫描文件找到这些记录，从而轻松获取账户信息。

排版／季嘉颖

图片／IT时报东方IC