在最新发布的《2025年全球最常用的200个密码》报告中,“123456”这一“经典弱密码”再次霸榜,“admin”、“12345678”、“123456789”、“12345”等弱密码领域的“老熟人”分列二到五位。
对于这份“毫无新意”的榜单,发布榜单的NordPass定下的主题颇显无奈——Generations change,password habits remain(时代再变,密码不变)。
有意思的是,这份榜单还分析了全球人民的密码习惯,得出了很多出人意料的结论。企业有必要好好研究一下这些“奇葩习惯”,看看自己员工的有没有中招~
时代在变,密码不变
榜单首先揭示的一个密码习惯是,全球人民都喜欢使用名字或姓氏加上一些数字当密码,比如“kristian123”或“Joan89”。在中国,张、王、李、赵这样的大姓,伟、健、娜、丽这样的名字出现在密码中的次数一定非常惊人,而一大波子轩、子涵正在成为新的密码。
榜单的另一个结论让人非常意外。人们普遍认为“数字原住民”(Z世代和千禧一代)的密码习惯会比“数字移民”(从40后到70后)做得更好,但实际情况是18岁年轻人与80岁老人的密码习惯几乎没什么区别。而且Z世代(1997-2007年出生)是所有年龄段中最喜欢重复使用密码的,他们的密码复用率高达72%。他们倾向于使用网络流行语、俚语或动漫词汇,一旦记住一个就在所有 App 上反复使用。
这导致了Z世代更容易因为密码复用而被盗号。当然,这也不能都怪Z世代们的安全意识弱,他们拥有最多的在线账户(平均100+),患有严重的“安全疲劳”(Security Fatigue),导致他们为了省事而疯狂复用密码。
除了这两个最显著的趋势,榜单给出的另外一些结论也令人玩味:
密码中的@越来越多:2025年的常用密码列表中有32个包含特殊字符,相比去年的6个有显著增长。其中最能代表互联网的“@”字符出现的频率最高,反映了全球的密码策略日趋严格。
边输密码边“骂人”:各国人民都有用脏话当密码的习惯,所以如果哪天行政部发文禁止使用脏话当密码,你也不用感到奇怪。
幸运数字可能导致“不幸”:全球人民都会使用幸运数字当密码,比如中国人酷爱的八个八和六个六。但是,幸运数字不但不能保护账户免遭攻击,反倒可能让你的账户更容易被破解。
用“密码”当密码:“密码”这个词在不同的语言中有不同的对应词,这些对应词都位列最常用密码榜单之中。从英语的“password”和汉语的“mima”,再到法语的“motdepasse”和西班牙语的“contraseña”,全球人民都喜欢用“密码”当密码。
你是谁的粉丝:有些人喜欢用品牌名、球队名、球星的名字作为密码来表达忠诚,所以很多大品牌、足球俱乐部、球星的名字也出现了榜单之中。
密码也爱国:如果用祖国的名称当密码是爱国的表现,那么哥伦比亚人和印度人最爱国。“哥伦比亚”的四种不同拼写方式都跻身该国密码前20名,而“India@123”不仅在印度排名中位列第15,还在全球排名中位列第70。
尽管密码习惯千奇百怪,但是我们不难从中看出,在全球范围内,人们的密码安全意识仍然不足,弱密码仍旧普遍存在。
对于个人而言,弱密码意味着个人账户可以轻易被窃取,导致信息泄露、资金被盗。对于企业而言,每一个弱密码都是网络安全防线上的一个“缺口”,随时都有可能被黑客顺着“缺口”黑进内网。
芯盾时代IAM助企业破解“弱密码”难题
弱密码之所以成为网络安全领域的老大难问题,其根源在于安全与便利之间的“跷跷板”难题:每一个应用都设置不同的密码,够安全,但是不便利;密码直接设置成“123456”,够便利,但是不安全。
企业想要彻底消除弱密码,必须找到安全和便利的平衡点:降低认证的复杂度和频率,让员工在登录各种业务系统时少输密码,甚至不输密码;提升密码的强度,让黑客难以破解密码。
这句话说起来简单,做起来难,直到有了用户身份与访问管理平台(IAM)这个全能型的“密码管理高手”。
芯盾时代用户身份和访问管理平台(IAM),基于零信任理念打造,采用增强型身份认证技术、连续自适应风险信任评估技术,帮助企业建立智能、高效、可靠的身份管理体系,实现身份、认证、权限、审计的“四个统一”,全面提升身份认证的安全性。
有了芯盾时代IAM,让全球企业头疼不已的密码管理难题就能迎刃而解:
1.创建唯一身份,一个账号走全网
整合企业零散的组织用户数据,创建唯一用户身份标记,形成权威的组织用户体系,建立自动化流转的用户全生命周期管理机制,让员工使用一个账号登录多个业务应用,减少需要记录、使用的密码数量,实现“一个身份,访问全网”。
统一员工身份后,运维人员能够统一设置多个应用的访问权限,统一审计多个应用的访问日志,大幅减少运维工作量,提升工作效率。
2.统一认证管理,把密码随身携带
为企业建设应用门户,统一业务应用的登录入口,并借助单点登录功能,让员工只需认证一次,就能登录所有权限内的业务应用,减少员工认证的次数,实现“一次认证,全网通行”。
为企业建立移动认证App,结合员工所知、所持、所有进行多因素身份认证,提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式,让员工在进行身份认证时少输密码、甚至不输密码,兼顾企业网络安全与员工操作体验。
3.智能身份认证,不放过任何异常登录
结合历史数据、风险情报对AI大模型进行训练后,为每个用户生成独一无二的“行为指纹”,不但能够评估口令、设备、IP、网络等信息,更能够评估打字速度、鼠标操作行为、应用交互习惯等行为是否偏离用户行为基线,并根据评估结果实时生成认证策略,实现“一人一策略,次次不一样”的身份认证模式。
4.自研底层技术,守好密码防泄露
为了让身份认证更加安全,芯盾时代自主研发了移动认证技术,通过对智能手机的唯一性识别,证书的安全生成、存储、调用,以及手机安全环境的检测,将智能手机打造成“移动U盾”,为身份认证营造安全的终端环境。
芯盾时代研发的智能终端密码模块,基于传统证书认证方式,结合分割密钥、设备指纹、白盒算法、环境清场等技术,为身份信息的安全存储提供了底层支持,保证身份信息更安全的传输、存储,即使身份信息被劫持、被泄露也难以被破译和篡改。
)
