卡巴斯基专家对 1.93 亿个被信息窃取者窃取并在暗网上公开的密码进行了大规模研究,以测试它们抵御暴力破解和智能猜测攻击的能力。
研究结果显示,所有分析的密码中,有 45%(8700 万个)可以在一分钟内被欺诈者猜到。只有 23%(4400 万个)的密码组合被证明足够强大,破解它们需要超过一年时间。此外,卡巴斯基专家还揭示了创建密码时最常用的字符组合。
卡巴斯基的遥测数据显示,2023年有超过3200万次尝试使用密码窃取器攻击用户的记录。这些数字凸显了数字卫生和及时更新密码的策略的重要性。
2024年6月,卡巴斯基在一项新研究中分析了 1.93 亿个密码,这些密码在各种暗网资源上公开可见。研究结果表明,大多数被审查的密码的强度不够高,很容易被使用智能猜测算法破解。以下是破解速度的细分:
- 45%的密码(8700万个)可在一分钟内被破解。
- 14%的密码(2700万个)可在一分钟至一小时内被破解。
- 8%的密码(1500万个) 可在一小时至一天内被破解。
- 6%的密码(1200玩个)可在一天至一个月内被破解。
- 4%的密码(800万个)可在一个月至一年内被破解。
专家们仅将23%的密码(4400万个)归类为具有抵御力的密码——破解它们需要超过一年的时间。
此外,大多数被检查的密码中(57%)包含字典中的单词,这大大降低了密码的强度。在最受常用的词汇序列中,可以区分几个组:
- 名字:"ahmed", "nguyen", "kumar", "kevin", "daniel".
- 流行词汇:"forever", "love", "google", "hacker", "gamer".
- 标准密码:"password", "qwerty12345", "admin", "12345", "team".
分析表明,只有19%的密码包含强组合的迹象——即包含非字典单词、小写和大写字母,以及数字和符号。同时,研究表明,39% 的此类密码也可以在不到一小时内使用智能算法被猜出。
有趣的是,攻击者并不需要深厚的知识或昂贵的设备来破解密码。例如,一台强大的笔记本电脑处理器将能够在仅7分钟内通过暴力破解找到一个由8个小写字母或数字组成的密码的正确组合。此外,现代显卡可以在 17 秒内完成相同的任务。另外,智能密码猜测算法还会考虑字符替换(如"e"替换为"3","1"替换为"!",或"a"替换为"@")和流行序列(如"qwerty","12345","asdfg")。
“人类在潜意识中会创建“人性化”的密码——包含母语中的字典单词、姓名和数字等等。即使看似高强度的密码组合也很少完全随机,因此可以通过算法猜到。鉴于此,最可靠的解决方案是使用现代可靠的密码管理器生成完全随机的密码。这类应用程序可以安全地存储大量数据,为用户信息提供全面而强大的保护,”卡巴斯基数字足迹情报负责人Yuliya Novikova评论说。
为了加强您的密码策略,用户可以采用以下简单的建议:
- 对于您使用的所有服务,记住长且独特的密码几乎是不可能的,但通过使用密码管理器,您只需记住一个主密码即可。
- 为每个服务使用不同的密码。这样,即使您的一个账户被盗,其他账户也不会受到影响。
- 使用意想不到的词语可能会使密码短语更安全。即使您使用的是常用词语,也可以以不寻常的顺序排列它们,并确保它们之间没有关联。还有一些在线服务可以帮助您检查密码是否足够强大。
- 最好不要使用可以从您的个人信息中轻松猜到的密码,例如生日、家人姓名、宠物或您自己的姓名。这些通常是攻击者首先尝试猜测的密码。
- 启用双因素认证(2FA)。虽然这与密码强度没有直接关系,但启用2FA为账户安全增加了一层额外的保护。即使有人知道了您的密码,他们仍然需要第二种验证方式才能访问您的账户。现代密码管理器存储2FA密钥,并使用最新的加密算法来保护它们。
- 使用可靠的安全解决方案将增强您的保护。它会监控互联网和暗网,并在您的密码需要更改时发出警告。
关于这项研究
我们的研究是在各种暗网资源上公开的 1.93 亿个密码的基础上进行的。点击《卡巴斯基日报》文章中的链接可查看研究报告。更多信息请参见 Securelist 上的研究资料。
在这次研究中,卡巴斯基专家使用了以下几种密码猜测算法:
- 暴力破解——这是一种密码猜测方法,它通过系统地尝试所有可能的字符组合,直到找到正确的密码为止。
- Zxcybn——这是一个在GitHub上可用的先进评分算法。对于一个已存在的密码,该算法首先确定其构成模式。然后,算法计算为了找到模式中每个元素所需的搜索迭代次数。例如,如果密码包含一个单词,那么找到这个单词将需要与字典长度相等的迭代次数。通过计算每个模式元素的搜索时间,我们可以评估密码的强度。
- 智能猜测算法——这是一种学习型算法,它基于用户密码数据集来计算不同字符组合的出现频率。然后,该算法会从最频繁的变体及其组合开始,逐步到最不频繁的变体,进行一系列的尝试。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.