關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 資安管理
顯示分類
2025.11.07
標準與框架/資安管理
你絕對猜不到最常用的密碼是什麼。哦,等等,你肯定猜到。

在數位時代,密碼是我們個人和企業資訊安全的最後一道防線,然而,這道防線的脆弱程度卻令人震驚。儘管資安領域的警示聲浪從未停歇,最新的全球數據顯示,絕大多數使用者仍然堅持使用極易被破解的弱密碼,這種現象揭示了網路世界中普遍存在且難以根除的「人類懶惰」。

你們大多數人還是做不出比 123456 更好的成績?123456. admin. password. 多年來,IT界一直在提醒使用者不要依賴這種容易被猜到的密碼。然而,又一項研究發現,這類容易被猜到、普遍被認為很弱的密碼仍然是最受歡迎的密碼。科技諮詢網站 Comparitech 週四發布了100 個最常見的密碼,該結果基於對 2025 年洩露到各種資訊外洩論壇上的 20 多億個密碼的深入分析。這項龐大的研究數據無情地揭露了使用者習慣的惡劣現狀。研究發現,清單中四分之一的密碼僅由數字組成,因此很容易被破解。其中38%的密碼包含字串“123”,另有2%的密碼包含其倒序“321”。這一切意味著什麼?根據 Comparitech 的說法,這「展現了人類在網路安全方面的懶惰」。

上述三個數字均進入前十名,這與長年來的趨勢並無二致,此外還有數字 1-9 的各種變體按升序排列,這些都是駭客字典攻擊的首選目標。當然,任何常見密碼清單都不能少了像Aa123456 這樣的創新之作,它是清單中第六常見的密碼,它結合了大小寫字母與常見數字組合,但其結構仍極度缺乏隨機性;而排名第十三的 Aa@123456 則截然不同,僅僅多了一個特殊符號,其流行性就足以說明使用者對於微小變化的滿足感。鍵盤第一行的 qwerty 和其他按鍵的順序組合也是常見的密碼,例如直接依序按下鍵盤上的字母,或是將其與數字結合,再加入一些數字,像是 1q2w3e4r,就成了另一個流行的密碼組合。這些基於鍵盤佈局的密碼,對於專業的破解工具而言,其破解速度幾乎等同於純數字組合。有趣的是,琴酒(Gin)竟然排在第29位,顯示出流行文化、品牌名稱或個人愛好等亦是密碼構成的重要來源;而略顯獨特但同樣流行的「India@123」則位列第53,顯示出特定群體或地區的偏好範式。為了迎合Z世代,熱門微軟體素建造沙盒遊戲「minecraft」(小寫「m」)也躋身前100名,在包含20億個密碼的清單中出現了69464次,這證實了遊戲或流行IP名稱已成為一種新的弱密碼趨勢。

弱密碼直接對應著現代密碼破解程式的效率。駭客利用高性能運算和字典攻擊,可以在極短時間內對常見密碼進行暴力破解。Comparitech的數據揭示了一個嚴峻事實:大多數用戶的密碼在洩露後,幾乎沒有任何抵抗能力。因此,無論是個人用戶或負責確保用戶擁有強密碼的管理員,都必須採取果斷措施來改變這種危險的現狀

  1. 首先,可以考慮使用生物辨識密鑰,它能完全取代密碼。生物辨識密鑰(Passkeys)作為一種無密碼的未來趨勢,利用設備上的生物特徵驗證,如指紋或面部識別,並通過公私鑰加密技術來驗證身份,從根本上消除了傳統密碼被猜測或被釣魚的風險。如果生物辨識密鑰不可行,也可以使用長密碼短語(註)——有些人認為長密碼短語比隨機數字和字母組成的密碼更可取,因為它們更長、更容易記住,而且理論上更難破解。長密碼短語利用長度來創造足夠的熵值,將破解時間從數秒延長至數千年。
  2. 尺寸確實很重要,這一點是所有資安專家的共識。「無論你問誰,最重要的因素都是長度。長度比複雜性和隨機性更重要,」Comparitech 消費者隱私倡導者 Paul Bischoff 在一封電子郵件中告訴我們。這強烈建議使用者應將注意力從單純的符號、大小寫混用等「複雜性」規則,轉向創造更長的密碼短語或亂碼組合,從而有效對抗暴力破解。
  3. 當然,Bischoff指出,在長密碼短語中添加一個隨機字元也無妨——所以與其說“icantbelievewerestilltellingyouthis”,不如說“icantbelivewerestilltellingy0uthis”,因為即使是這樣簡單的改變也能大大降低被猜測的可能性,尤其是在面對一些進階字典攻擊時,這種細微的隨機性變化會讓自動化攻擊工具陷入困境。

當然,使用亂碼密碼並依賴專業密碼管理器仍然比使用 qwerty123 鍵盤佈局要好,Bischoff 也表示,基於瀏覽器的密碼管理也是如此。密碼管理器能夠為用戶生成並安全儲存高度隨機且長度足夠的唯一密碼,是克服「人類懶惰」最有效的方法。然而,你仍然需要自己掌控安全,因為 Chrome 的更新可能會導致 Google 密碼管理器失效,而且密碼管理器應用程式也不是百分之百安全,它們本身也可能成為攻擊目標,因此,用戶必須對其採用的工具保持警惕,並定期進行備份和更新。

無論如何,千萬不要讓自己的密碼出現在 Comparitech 的黑名單上;如果設定密碼複雜度規則是你的責任,那就確保你設定的是好的規則。Bischoff解釋說,當企業環境不強制執行良好的密碼要求時,使用者更有可能放鬆警惕,不去設定一個強密碼。企業必須透過技術手段和政策來消除用戶選擇弱密碼的可能性,例如禁止使用常見密碼清單中的任何密碼,並強制要求極高的密碼長度門檻。這位隱私倡導者補充道:「最安全的密碼將由那些對密碼要求最嚴格的用戶設定。」®這強調了企業在推動網路安全文化變革中的核心作用,只有嚴格的環境才能確保最終的安全結果。資安的責任不僅在於個人,更在於體制與政策的強制執行。

註:


資料來源:https://www.theregister.com/2025/11/06/most_common_passwords/?td=rt-3a
 
科技諮詢網站Comparitech最新發布的報告,基於對2025年超過20億次密碼外洩的深度分析,發現「123456」等弱密碼仍是最受歡迎的密碼,報告指出這是「人類在網路安全方面的懶惰」。