文章总结： 文章基于60亿口令分析，指出弱口令源于用户低成本选择及合规策略形式化。当前风险已从破解转向信息窃取，共享账号尤甚。弱口令是攻击者首选突破口，传统治理失效。治理弱口令需改进身份鉴别技术并落实管理责任，这是阻断系统性失陷的底线工程。 综合评分： 88 文章分类： 安全意识,安全建设,数据泄露,恶意软件,安全运营

由60亿个口令分析的报告引发“两高一弱”工作的紧迫性的思考

祺印说信安

2026年1月24日 00:00 河南

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

一、为何密码口令安全问题长期顽固存在

1. 人的行为模式决定了弱口令的“高复发率”

国外的一份研究分析报告对2025年全年超过60亿条恶意软件窃取的密码进行分析后发现，最常见的密码仍然是十多年前就被反复警告过的模式：123456、admin、password 等依然稳居前列。

这说明一个核心现实：

密码问题不是“不知道怎么做”，而是“人天然会选择最低认知成本的方案”。

在真实环境中：用户面对频繁登录、定期修改、复杂规则，天然倾向于“能记住就行”

管理员和运维人员在压力下会使用admin / guest / Welcome@123等“功能性口令”组织默认允许用户“自己想一个”，而不是从源头阻断弱模式。这使得弱口令并非偶发错误，而是系统性行为结果。

2. 合规型密码策略“看起来安全，实际上极易被滥用”

报告显示，大量被盗密码完全符合企业常见复杂度策略（大小写 + 数字 + 特殊字符），例如：Aa@123456、Admin@123、Password@123。

这揭示了一个长期被忽视的问题：

传统密码策略只检查“字符类型”，不检查“构造逻辑”。

结果是用户用极其固定的模板“应付规则”攻击者早已将这些模板纳入自动化攻击字典一旦密码通过信息窃取被获取，其“复杂性”毫无意义

所以，合规 ≠ 安全，这是弱口令长期存在的制度性根源。

3. 口令不再主要是“被破解”，而是“被直接偷走”

报告明确指出，现代攻击中，大规模口令暴露并非来自暴力破解，而是信息窃取恶意软件（Infostealer）。

关键变化在于，LummaC2、RedLine 等窃密木马大规模感染终端直接从浏览器、VPN 客户端、远程工具中读取明文或可复用凭据密码一旦被偷走，就会进入ULP（用户名-登录-密码）黑市经济体系这意味着：

即便一个密码“足够复杂”，只要被偷走一次，就会在地下市场被反复使用多年。

密码风险已经从“创建时的安全问题”，演变为生命周期内的持续暴露问题。

4. 弱口令大量存在于“看不见但最危险”的账户中

报告中一个非常关键但容易被忽视的发现是：

最常被盗的前500个密码，明显偏向基础设施和共享账号，如 admin、root、user、guest。

这些账号往往具备：VPN、RDP、运维系统、内部平台访问权限不属于“某一个人”，因此长期不改经常绕过MFA、监控、行为分析这类弱口令的存在，使攻击者无需漏洞、无需钓鱼、无需0day，即可直接获得“可信访问”。

二、公开安全事件中，弱口令为何反复成为突破口

从近年来公开披露的重大安全事件（勒索软件、供应链入侵、云账户接管）中，可以总结出清晰模式：

1. 弱口令是“最稳定、最便宜的初始访问手段”

根据报告引用的数据：22%的已确认数据泄露直接源于凭证滥用，54%的勒索软件受害组织在攻击前，其域名已出现在凭证泄露集中，40%的企业邮箱地址提前被暴露在地下数据中。这说明弱口令并不是“低级攻击”，而是现代攻击链的标准入口。

2. 攻击者并不“猜密码”，而是“回收旧密码”

在公开案例中，攻击路径高度一致：通过信息窃取木马获得用户或运维口令，在地下市场被Initial Access Broker（二道贩子）转卖勒索软件或间谍组织“直接登录”，绕过外围防护整个过程几乎不触发传统告警机制，因为登录行为是“合法的”。

3. 弱口令问题一旦被忽视，影响往往是系统级、全局性的

与单点漏洞不同：

一个弱口令，可能关联 AD、VPN、云控制台

一个共享口令，可能横跨多个系统、多个环境

一次泄露，可被反复利用数年

因此，弱口令往往不是“一个账号出问题”，而是整个信任体系被击穿。

三、治理弱口令的紧迫性：已经不是“改进项”，而是“生存项”

结合报告结论，可以明确三点紧迫现实：

1. 弱口令问题已经进入“规模化、产业化、长期化”阶段

ULP凭证库中已累计近60亿条可直接使用的账号密码，且仍在持续增长。

2. 传统“定期改密码 + 复杂度规则”已经事实失效

攻击者利用的是暴露历史，而不是当前合规状态。

3. 不治理弱口令，零信任、MFA、云安全都会被掏空

只要某些入口仍然允许弱或已泄露口令存在，整体安全架构就存在“后门”。

四、结论性判断

弱口令问题之所以顽固，并非因为技术不成熟，而是因为：人的行为长期被忽视，制度设计停留在“形式合规”，威胁模型仍停留在“破解密码”，而非“滥用身份”，而今天，随着信息窃取和凭证黑市的成熟，弱口令已经成为攻击者性价比最高、确定性最强的突破口。在我国，随着公安部网安局“两高一弱”专项在各个单位得到非常高的重视，我们发现各单位已经意识到弱口令的危害，一方面要从技术上倒逼产品提供者，改进身份鉴别技术和手段；另一方面要从管理上加强管理，与安全责任追究制度挂钩，让制度落到实处。虽然，无法绝对杜绝弱口令问题，但可以大大提升口令安全水平，降低因弱口令引发的网络安全风险与隐患。可以说，治理弱口令，已经不是“安全建设优化项”，而是“阻断系统性失陷的底线工程”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 《由60亿个口令分析的报告引发“两高一弱”工作的紧迫性的思考》