弱密码因易被暴力破解、字典攻击和撞库攻击而成为账户被盗主因,且常被社会工程学预测,导致连锁泄露风险上升,即便启用多因素认证也需强密码配合才能有效防护。
“弱密码”之所以被认为是账户被盗的首要风险,是因为它直接为攻击者敞开了大门,让破解过程变得异常简单高效。一个强度不足的密码,几乎无法构成有效的安全防线。
容易被自动化工具快速破解
黑客普遍使用暴力破解和字典攻击等自动化工具,这些程序能在极短时间内尝试数百万甚至数十亿种密码组合。
- 暴力破解:对所有可能的字符组合进行穷举。如果密码过短(如6位纯数字),计算量小,可在几小时内甚至瞬间被攻破。
- 字典攻击:利用包含常见密码、个人信息(生日、姓名)、流行词汇的“密码字典”进行尝试。“123456”、“password”、“admin”等常年位居最常用弱密码榜单前列,是攻击者的首选目标。
例如,一个仅由6位数字组成的密码,理论上最多只有100万种组合,在现代计算能力下破解时间极短。
导致“撞库攻击”引发连锁泄露
许多人习惯在多个网站和服务上使用相同的用户名和密码。一旦某个安全性较弱的平台发生数据泄露,用户的账号密码就会流入黑市。
- 攻击者会将这些泄露的凭证,批量尝试登录其他重要平台(如银行、邮箱、社交网络),这种行为被称为“撞库”。
- 如果你在购物网站和银行都使用了同样的弱密码,那么购物网站的一次小规模泄露,就可能导致你的银行账户被盗。
历史上的LinkedIn、雅虎等大规模数据泄露事件后,都引发了全球范围内的连锁撞库攻击,造成大量用户其他账户失窃。
易受社会工程学预测
许多用户喜欢用个人信息设置密码,比如“zhangsan1990”、“iloveyou”或宠物名字,这类密码虽然对本人有意义,但极易被攻击者利用公开信息(如社交媒体)猜测出来。
通过简单的背景调查,攻击者就能大大缩小猜测范围,成功率远高于随机猜测。连前美国总统奥巴马的社交媒体账号也曾因类似原因被短暂入侵。
缺乏基础防护,放大其他风险
即使你警惕钓鱼邮件、不连接公共WiFi,但如果密码本身是“admin”或“123456”,这些努力都可能白费。一个强大的密码是所有其他安全措施的基础。
相反,启用多因素认证(MFA)能极大提升安全性。谷歌统计显示,MFA可以阻止99%的自动化账户劫持尝试。但这并不能完全替代强密码的作用,两者结合才是最佳实践。
基本上就这些。
