2025年最常被盜密碼出爐「123456」連霸 專家示警:姓名+數字超危險
國外一項研究顯示,儘管多年來資安教育與宣導持續推行,使用者在密碼安全上的行為仍未改善。資安公司「Specops Software」公布最新報告,2025年最常被盜用的密碼第1名依然是「123456」,而「admin」與「password」也在前5名,反映出簡單數字序列與常用字詞依然是數百萬使用者的首選。
這份報告由Specops母公司「Outpost24」的資安情報團隊進行分析,涵蓋2025年洩露的6億筆帳號資料。分析結果顯示,最常被破解的密碼前5名依序為「123456」、「123456789」、「12345678」、「admin」及「password」。事實上,多年來這些密碼一直名列最常被使用的帳號密碼,從最新資料顯示使用者行為幾乎沒有太大改變。
研究指出,「123456」等簡單密碼多用於個人帳號,而「admin」與「password」則經常作為網路設備、物聯網裝置及工業控制系統的預設密碼。在企業環境中,未更改這類預設密碼可能讓駭客透過惡意軟體取得關鍵系統存取權限,造成重大風險;Specops在報告中示警,「這可能導致被惡意軟體盜用的帳號被重複用於Active Directory、VPN或雲端身份驗證,讓攻擊者取得企業系統的信任存取」。
除了上述簡單密碼外,分析中也發現許多稍微複雜的密碼仍含有可預測的基本字詞,如「admin」、「guest」、「qwerty」、「secret」、「Welcome」、「student」、「hello」及「password」;Specops說明,這些字詞頻繁出現,顯示多用於營運或系統管理,而非個人使用。對最常被恢復的500組密碼分析,也呈現明顯偏向與基礎設施、VPN及內部服務相關的功能性帳號,包括admin、root及user的各種變化。
此外,研究還發現密碼存在區域與語言模式,如「Pakistan123」及「hola1234」,以及姓名結合的密碼模式,例如「Kumar@123」與「Rohit@123」,這類密碼在外洩資料中反覆出現,可見安全性相當低。大部分被盜密碼來自惡意軟體,其中Lumma最活躍,其次為RedLine。
Specops強調,即使企業已採用防網釣與無密碼認證,舊系統、服務帳號與目錄驗證仍可能使用密碼。對此,他們建議民眾,應採多層防禦策略,包括使用密碼管理工具,生成複雜的密碼;在所有高風險存取與恢復流程中強制採用防盜的多因素驗證(MFA)與加強身份驗證;定期更換重要帳號的密碼,以提升整體安全性。