问题:弱口令仍广泛存,安全防线被“低成本”突破 随着数字化办公和云服务普及,账号密码已成为数据与业务系统的第一道入口;然而在实际使用中,部分个人与机构为图省事,仍沿用“123456”、姓名拼音、生日或联系电话等易猜测口令,甚至直接使用设备或系统的出厂默认账号密码。日前,全国首个以科技安全为主题的全国国家安全教育基地在南京开馆,现场体验环节显示:仅由6位字母组成的姓名拼音口令在短时间内即被破解;而包含大小写字母与数字、长度更长的口令,破解所需时间显著增加。这个对比直观提示:密码强度差异,直接决定系统“被攻破的速度”。 原因:便利优先叠加管理缺位,技术门槛下降放大风险 业内人士分析,弱口令问题长期反复,主要有三上原因:一是部分用户安全意识不足,错误将“好记”置于“安全”之上;二是一些单位账号管理制度不健全,缺少强制复杂度要求、定期更换机制和离岗交接审查,导致口令长期不变;三是网络攻击工具与算力资源更易获取,常见的字典枚举、规则推测与“撞库”攻击持续迭代,使得攻击者可通过远程方式对大量账号进行快速尝试,弱口令随之成为最容易被利用的“入口”。 影响:从个人隐私到关键领域,风险外溢至国家安全层面 国家安全机关披露的对应的情况显示,弱口令不仅带来个人信息泄露,更可能波及单位业务与关键基础设施安全。某单位官网公布联络邮箱后,工作人员发现邮箱出现频繁异地登录预警。经核查,该单位为方便记忆,将邮箱密码设为对外办公固定电话且长期未变,最终被境外黑客猜解进入。由于邮件及附件长期存放在云端空间,相关数据随之面临被持续窃取风险。 另一起案例发生在沿海港口区域。一家跨境物流企业园区布设大量摄像头用于物流运转监控,但员工发现部分摄像头在午休及夜间出现自动旋转、聚焦船只等异常现象。国家安全机关查验发现,该企业监控系统管理员账号密码仍为出厂默认弱口令,境外黑客通过“撞库”等方式获得登录权限并操控摄像头,进而对目标海域进行窥探,形成现实安全隐患。相关专家指出,一旦办公终端、金融账户、管理后台等关键账号存在弱口令,攻击者可能以“非接触式”方式远程突破,造成数据泄露、业务中断乃至被渗透控制的连锁风险。 对策:以制度、技术与习惯三端发力,提升“攻防成本差” 多位安全专家建议,治理弱口令应从可执行的规则入手,形成“默认强、持续强、可审计”的闭环管理。 一是提升密码强度。口令长度不宜过短,应采用更长的组合,并同时包含大小写字母、数字及特殊字符,避免使用姓名、生日、电话号、连续数字等可预测信息;严禁继续沿用设备和系统初始密码。 二是建立定期更换与分级管理机制。对邮箱、远程办公、管理后台等重要账号设置更严格的口令策略与更换周期;人员岗位变动、外包运维接入等关键节点要同步更新口令并收回权限。 三是杜绝“一码多用”。不同平台、不同系统应使用不同口令,防止某一平台泄露后引发“连带失守”。对重要系统可叠加多重验证手段,深入降低被撞库与远程入侵概率。 四是用好审计与预警功能。多数系统具备登录日志与安全审计能力,单位应定期检查异常登录记录、失败尝试次数与可疑设备信息,发现异地登录、夜间异常访问等迹象要及时处置,防止风险长期潜伏。 前景:安全教育与治理并重,推动从“被动防守”向“体系防护”转变 业内人士认为,密码安全虽是基础环节,却往往决定攻防对抗的起点。随着数据要素流通加速、企业上云用云常态化,账号体系将更趋复杂,弱口令带来的外溢风险也更具隐蔽性与扩散性。未来需在安全教育、制度标准与技术治理上联合推进:一上持续普及密码管理常识,提升全员安全素养;另一方面推动单位完善账号全生命周期管理,强化默认安全配置与权限最小化原则,并通过常态化演练与检查,及时补齐“最短木板”。在此基础上,关键领域还应提升监测、响应与溯源能力,形成可持续的综合防护体系。
当密码破解以秒计时,安全防护必须跑在技术犯罪前面。这不仅关乎个人隐私,也关系到数字化时代的国家安全。从设置一个强密码开始,每个网络参与者都应成为安全链条中可靠的一环,共同守住网络空间的安全底线。