为纪念世界密码日,卡巴斯基专家分析了2023年至2026年间重大密码泄露事件中涉及的2.31亿个独特密码,并发现了几种关键规律。首先,68%的现代密码可在一天内被破解。其次,研究发现绝大多数遭泄露的密码要么以数字开头,要么以数字结尾——这种常见规律使其极易受到暴力破解攻击。第三,用户还青睐积极和流行的词汇;例如,在过去的几年里,分析显示密码中使用“Skibidi”一词的频率激增了36倍,反映了这一互联网趋势的兴起。
近年来,安全密码的规则已成为广泛讨论的话题。如今,越来越多的服务要求密码长度至少为10个字符,包含至少一个大写字母,并包含至少一个数字或特殊符号。然而,对过去几年泄露密码的比较分析表明,即使遵循了其中的一些规则,也无法保证这些密码能够抵御暴力破解或人工智能驱动的攻击。
卡巴斯基专家分享了关于如何使密码更加复杂且安全,以及如何避免重复常见错误的实用建议。
在使用特殊符号和数字设置密码时发挥创意
在仅包含一个特殊符号的泄露密码中,“@”符号位居榜首,出现在10%的密码中。其次是句点(.),占3%。在所有被分析的密码中,“@”的出现频率位居第二,而“!”则位列第三。
密码中使用的数字也遵循类似的可预测模式:
·53%的受检查密码以数字结尾
·17%的密码以数字开头
·近12%的密码包含类似日期的数字序列 (1950年至2030年)
·3%的泄露密码包含“qwerty”或“ytrewq”等键盘序列,但其中大部分是“1234”这类数字序列
卡巴斯基数据科学团队负责人Alexey Antonov指出,常用的特殊符号、数字或日期——特别是当它们被放置在显眼位置(如密码的开头或结尾)时,会大大降低网络犯罪分子进行暴力破解的难度。因此,强烈建议优先使用不常见的特殊字符,并避免使用数字或键盘上的连续按键序列。
“暴力破解的原理是系统地尝试每一种可能的字符组合,直到找到正确的密码。一旦攻击者已经知道用户倾向于使用哪些字符,破解密码所需的时间就会大幅缩短。为了避免选择可预测的特殊符号,应将密码创建的任务交给专门的密码生成器,这些生成器能够以相等的概率生成随机的字母、数字和符号,”Alexey表示。
在伊甸园与地狱之间:尽量避免在密码中使用单词
研究显示,情感类和流行词汇经常成为密码的基础。例如,从2023年到2026年,密码中使用“Skibidi”一词的频率增加了36倍——这正好反映了这一网络趋势的迅速兴起。
卡巴斯基专家还对密码中积极词汇和消极词汇的出现情况进行了分析,结果发现积极词汇的数量更多。经常出现的包括“love”(爱)、“magic”(魔法)、“friend”(朋友)、“team”(团队)、“angel”(天使)、“star”(星星)以及“eden”(伊甸园)等正面词汇。有趣的是,积极词汇的出现频率远高于消极词汇。不过,“hell”(地狱)、“devil”(恶魔)、“nightmare”(噩梦)和“scar”(伤疤)等词语也有出现。
“使用单词密码,即使在后面加上数字或特殊字符,也是一种不安全的选择。这种模式过于可预测,使攻击者很容易猜出。相反,应该构建一个由多个不相关单词组成的密码短语,每个单词内部都加入数字和特殊符号,并有意识地加入一些拼写错误。密码越长、越随机、越不可预测,就越难被破解。作为额外的保护措施,请尽可能启用双因素认证(2FA),”Alexey Antonov推荐说。
密码长度重要吗?
众所周知,密码越长,就越难被破解,对泄露密码的分析也证实了这一原则。然而,随着人工智能驱动工具的兴起,仅靠长度已不再能保证安全:即使是较长的密码,如果遵循可预测的模式,也同样可能被破解。
研究表明,泄露数据中出现的长度不超过8个字符的短密码,通常在一天内就会被暴力破解。然而,借助人工智能驱动的智能算法,超过20%的15位密码也能在不到一分钟内被破解。
此外,在所有经过分析的密码中,无论长度如何,60.2%的密码大约一小时内即可被破解;68.2%的密码破解则需一天时间。
在上述示例中,算假设使用单块 RTX 5090 GPU 并采用 MD5 算法。在实际场景中,攻击者可以租用多块 GPU——可能是十块、一百块,甚至更多。在这种情况下,破解速度可能会提高数个数量级。
从现代标准来看,真正安全的密码不仅要满足16位以上字符的黄金标准,还必须由随机、不重复的字母、数字和符号组成,并且每个账户的密码都应各不相同。为帮助用户创建此类密码,卡巴斯基已在卡巴斯基密码生成器网站上新增了密码生成功能。现在,用户不仅可以检查自己的密码是否泄露,还可以免费生成安全密码。
为了实现便捷且安全的密码管理、自动填充以及跨设备同步,可以考虑使用密码管理器,将所有凭证存储在安全的保险库中,并仅由一个主密码进行保护。这样既无需记住数百个密码,又能有效防止密码泄露。此外,卡巴斯基密码管理器不仅支持密码管理,还可直接创建并存储通行密钥。借助安全同步功能,您不仅能一键登录支持该功能的服务,还能在所有设备上访问这些通行密钥。
*这些分析基于卡巴斯基数字足迹情报服务提供的数据。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务,以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情,请访问www.kaspersky.com。
