科技資訊網站 Comparitech 最新研究揭示,「123456」依然是 2025 年最常用密碼,反映全球網路安全意識仍然薄弱。研究團隊從 2025 年數據洩漏論壇收集超過 20 億組真實帳戶密碼,分析結果顯示大量用戶仍使用極易被破解的密碼組合。這份報告發布之際,全球正面臨史無前例的密碼洩漏危機,2025 年 6 月曾發生涉及 160 億組密碼的大規模洩漏事件,成為史上第二大洩漏事件,僅次於 2024 年 1 月的 260 億筆紀錄洩漏。
最常用密碼排行榜出爐
研究顯示,十大最常用密碼包括「123456」、「12345678」、「123456789」、「admin」、「1234」、「Aa123456」、「12345」、「password」、「123」及「1234567890」。其中「123456」出現高達 760 萬次,遠超其他密碼。值得注意的是,遊戲「minecraft」成為第 100 位最常用密碼,出現近 7 萬次,另有 2 萬次使用「Minecraft」大寫形式。排名第 53 位的「India@123」也成為較常見但不太通用的密碼選擇。
根據 Verizon 2025 年數據洩漏調查報告,全球僅 3% 密碼符合美國國家標準暨技術研究院(NIST)建議的複雜度要求,顯示密碼安全問題嚴重。另一項分析發現,早前洩漏的數據中「admin」被使用 5,300 萬次,「password」則被使用 5,600 萬次,反映企業和個人用戶的安全意識依然不足。
數字與字母組合成主流弱點
分析顯示,前 1,000 個最常用密碼中,四分之一完全由數字組成。高達 38.6% 密碼包含「123」數字串,另有 2% 包含倒序數字「321」。同樣地,3.1% 密碼包含字母串「abc」。許多常用密碼由單一字元組成,例如「111111」排名第 18 位,「****」排名第 35 位。
常見單字與片語同樣構成重大安全漏洞。前 1,000 個最常用密碼中,3.9% 包含「pass」或「password」變體,2.7% 包含「admin」變體,1.6% 包含「qwerty」字串,1% 包含「welcome」一詞。這些易於猜測的組合讓駭客能輕易突破帳戶防護。
密碼長度普遍不足
專家普遍建議密碼長度至少 12 個字元,增加長度能大幅降低被破解機會。然而研究發現,65.8% 密碼少於 12 個字元,6.9% 更少於 8 個字元,僅 3.2% 使用 16 個或以上字元。排名第 9 最常用密碼「123」僅含 3 個數字,第 5 位的「1234」也只有 4 個字元。
其他研究數據進一步印證這個問題的嚴重性,88% 被破解密碼少於 12 個字元,而 81% 企業駭客入侵事件源於弱密碼或重複使用密碼。更令人憂慮的是,94% 密碼被重複用於兩個或以上帳戶,讓憑證填充攻擊(credential stuffing)風險大增。
弱密碼帶來重大安全風險
現代密碼破解程式能輕易破解弱密碼,常見密碼容易被猜中,短密碼則容易遭暴力破解。相對地,強密碼幾乎不可能被破解。強密碼至少 12 個字元長,結合大小寫字母、數字和符號,並具備足夠隨機性避免可識別模式。網路安全專家現時建議密碼長度至少 14-16 個字元,以應對日益進步的破解技術。
然而密碼強度並非全部,每個密碼應該獨一無二避免憑證填充攻擊。用戶應盡可能啟用雙重認證(two-factor authentication),即使密碼被破解也能防止帳戶被接管。研究顯示,49% 數據洩漏事件涉及密碼被破解,凸顯強化密碼安全的迫切性。
值得關注的是,業界正積極推動無密碼認證方案。Apple、Google 及 Microsoft 現已支援 Passkeys 技術,用密碼學金鑰取代傳統密碼。61% 機構計劃於 2025 年轉向無密碼方案,87% 資訊科技主管表達強烈意願。全球無密碼認證市場預計於 2025 年達到 220 億美元,未來 10 年更將增長至近 900 億美元。儘管如此,在無密碼認證普及前,遵循密碼安全最佳實務仍然至關重要。
Comparitech 研究人員從 Telegram 及其他管道的數據洩漏論壇收集超過 20 億組帳戶憑證。為獲取最新數據,研究團隊將數據與機構發布的洩漏報告對照,或直接詢問發布者數據年份,僅納入合理確信於 2025 年洩漏的數據。研究人員將數據匿名化移除任何個人辨識資訊,並清理異常數據,根據每個密碼出現次數排列最常用密碼。
‘Minecraft’, ‘qwerty’, and ‘India@123’ among 2025’s most common passwords: report
(本文由 Unwire HK 授權轉載;首圖來源:shutterstock)
線