问题——弱口令依然是网络防线最容易被撬开的“入口”;南京新开馆的科技安全主题教育基地媒体体验环节中,工作人员把设备开机口令设为6位姓名拼音,系统在很短时间内就被破解;当口令升级为包含大小写字母与数字的更长组合后,破解难度和耗时明显增加。演示直观说明:看似“方便好记”的口令,往往是攻击者进入系统的最快通道,而且这类攻击不必接触设备本体,远程同样可以实施。 原因——图省事叠加制度与技术短板,让风险长期存在。一是“可用性优先”的习惯仍较普遍,部分单位和个人偏好使用姓名、生日、电话号码、连续数字等低复杂度组合,或在多个平台重复使用同一密码;二是账号口令长期不更新,等于保留了“长期有效”的入侵窗口;三是一些关键系统仍存在默认账号、默认口令未更改的问题,一旦被批量扫描或撞库命中,后果往往从“账号被盗”扩大到“系统被控”;四是一些系统虽具备安全审计与告警能力,但缺少定期核查和响应闭环,异常登录提示被忽视,错失处置时机。 影响——从数据泄露到关键基础设施风险,外溢效应不可低估。国家安全机关披露的案例中,某单位官网公开联络邮箱后,工作人员发现频繁出现异地登录提醒。核查发现,该邮箱口令设置为对外办公固话号码且长期未改,最终被境外黑客猜解。由于邮件及附件长期存放在云端空间,对应的数据被持续窃取,形成信息泄露隐患。另一起案例涉及沿海港口跨境物流企业:园区监控摄像头出现“自动转动、聚焦船只”等异常现象,查明原因是监控系统管理员账号沿用出厂弱口令,境外黑客通过撞库获取权限并远程操控摄像头,对目标海域活动实施窥探。专家指出,类似事件不仅影响企业生产秩序和商业秘密安全,还可能在港口、物流、能源等领域引发链式风险,触及国家安全底线。 对策——用“强口令+强治理+强技术”搭建多层防护。业内人士建议,首先把口令强度作为基础要求落实到位:密码长度宜不低于8位,综合使用大小写字母、数字及特殊字符,避免常见弱口令、个人信息和设备初始口令;重要账户应设置更高门槛,优先采用更长口令或短语式口令,并配合定期更换。其次,避免“一码走天下”,对工作邮箱、财务系统、网银、后台管理等高价值账号实行分级管理,防止一个平台泄露牵连全局。再次,推广多因素认证、登录地异常拦截、失败次数限制、风险设备识别等措施,让口令从“唯一凭证”变为“多重校验之一”。同时,企业与单位应建立默认口令清理制度和账号权限最小化制度,尤其对摄像头、网关、路由器、工控及各类管理后台开展排查,做到新设备上线即改密、发现弱口令立即清除、关键账号及时加固。最后,用好安全审计功能,定期检查登录日志、告警记录和权限变更,发现异地登录、异常时段访问、频繁失败尝试等迹象及时处置并形成闭环。 前景——从“记住密码”转向“管理身份”,安全建设将更体系化。随着数字化、智能化应用不断深入,账号体系从个人终端扩展到云平台、物联网与供应链协同场景,仅靠口令的防护已难以应对高对抗环境。专家认为,未来一段时间,围绕身份认证的综合防护将成为重点:一上,推动重要系统加快部署多因素认证、零信任访问与统一身份管理;另一方面,持续开展面向公众与从业人员的科技安全教育,提升对弱口令、钓鱼邮件、撞库攻击等常见手法的识别能力,让安全意识落到可执行的日常规范中。制度、技术与教育协同发力,才能把“入口风险”压到最低。
密码是网络空间的第一道防线,关系到个人隐私与国家利益。从“短时间被破解”的现场警示到境外黑客的持续窥探,弱口令带来的风险已十分现实。只有全社会共同重视密码安全,才能把网络威胁挡在门外。