2023年网络安全报告：密码安全现状

关键要点

• 24亿 个用户名和密码组合在网络犯罪市场中流通，较2020年增加65%。
• 常见密码 如“password”或“123456”易于猜测。
• 多重身份验证（MFA）是加强账户安全的关键措施。

根据的最新报告，目前在网络犯罪市场上流通的用户名和密码组合超过 24亿
，这一数字相比于2020年的报告增长了 65% 。

研究人员发现，前 50个 常用密码简单易猜，很多都是使用“password”或容易记住的数字组合。调查显示，大约 0.46%
的所有密码——几乎每200个中就有1个——使用“123456”。像“qwerty”或者“1q2w3e”这样的键盘组合也是常见使用的密码。在这 50个
最常用的密码中，攻击者可以在不到 一秒钟 的时间内破解 49个 ，仅需使用简单易用的工具，这些工具通常在犯罪论坛上免费或以极低的价格提供。

在网络安全方面，人类仍然是网络犯罪分子瞄准的高风险目标。Delinea的首席安全科学家Joseph Carson表示，消费者需要明白永远不要重复使用密码。

“提供认证和登录功能的组织必须逐步远离仅依赖密码作为唯一的安全控制手段。”Carson指出，“对所有客户启用双因素认证是降低那些重复使用密码的用户成为网络犯罪受害者风险的有效方式。此外，建议使用密码管理器帮助用户在创建新账户和密码时保持良好的密码卫生和选择。”

MRK Technologies的首席信息安全官ChrisClymer表示，密码重复使用在各个领域仍然是一个普遍问题。他说，威胁行为者非常清楚他们可以在不太重要的网站上攻击账户，并发现这些账户在更敏感的银行网站或企业登录上仍然有效。在许多情况下，Clymer表示，他们无需费力，因为这些凭证在非常公开的数据泄露中暴露无遗。

“这正是多因素身份验证和其他加强身份验证机制如此重要的原因之一……现在在许多情况下也已成为获得网络保险覆盖的必要条件。”Clymer强调，“如果还有另外一种多因素验证方法，那么一个被泄露的密码的价值将大大降低。尽管黑客也可以破解这些，但这无疑给他们增加了工作难度。”

Axiad的首席营销官JoeGarber也表示，仅依靠密码的安全方法在当前情况下已不再合理。他指出，密码管理成本高、耗时且对最终用户造成干扰，黑客也能轻易盗取或破解这些密码。

“一旦密码被盗，组织将更容易遭受钓鱼攻击，因为黑客拥有合法密码的情况下很难发现泄露。同时，黑客一旦获得访问权限，组织很难减少损失，因为他们实际上拥有了‘王国的钥匙’。”Garber补充道，“是时候让组织采用一种关注凭证而不是密码的方法。凭证更难被盗取或破解，对钓鱼攻击有更强的抵御力，而且对管理员和最终用户的干扰更小。”