文/中華數位
近年來,數位轉型帶來創新與效率,但是,資安風險也隨之增加。密碼仍然是資訊安全的第一道防線。使用弱密碼、舊密碼會讓機敏資料暴露於暴力破解、字典攻擊、網路釣魚等攻擊手法的威脅。
研究顯示 (Picus Blue Report 2025 ),2025駭客針對密碼破解成功率上升到46%,接近2024年的兩倍。密碼管理以及防護、多因子驗證都將成為各大企業及法規關注的議題。
2025年度密碼被攻破關鍵要點:
- 2025六月發生超大規模帳密集合被公開事件,報導指出,蘋果、Google、Telegram等多家全球知名企業遭到駭客入侵,波及用戶總數高達16億,是有史以來最大宗的資料外洩事件 (Cybernews, 2025/6)
- 94% 的密碼被使用來登入多個帳號
- ”123456”仍是最熱門的一組密碼 (最常見的密碼包含: “password”, “qwert”, “111111”)
- 37%的攻擊採用暴力破解,也就是從容易猜到的密碼下手
- 僅有3% 的密碼符合建議的密碼複雜度要求
固定密碼仍然無可取代
認證方式雖然經歷多年的轉型及嘗試取代密碼,包含使用多因子認證(MFA)、生物認證(如FaceID或指紋)、金鑰(Token) ,但目前各大企業內仍有許多系統無法轉換成安全的無密碼登入機制。
因此,帳號密碼仍然是主要的認證方式,同時也是最常見的攻擊入口。若是使用弱密碼並在跨系統或是平台中重複使用,風險亦會隨之倍增。
密碼接下來何去何從?
為了因應針對密碼進行暴力破解的攻擊,多份密碼外洩報告與安全廠商一致呼籲:使用者應立刻啟用多因素驗證(MFA)、使用密碼管理器、並對關鍵帳號執行外洩比對。
值得注意的是,雖然某些密碼表面上符合系統規定的長度與複雜度,但仍屬於常見模式或常見詞彙的字符轉換,如:qazwsx、p@ssw0rd,容易被攻擊者透過字典檔或自動化工具快速猜測破解。因此密碼管理器能否偵測並限制替代字元或是常見的鍵盤模式,將成為強化密碼的關鍵。
Netwrix Password Policy Enforcer密碼原則強制器
Netwrix Password Policy Enforcer密碼原則強制器除可提供符合 CIS、HIPAA、NERC CIP、NIST 800-63B 和 PCI DSS 的預定義策略模板。也可讓您針對組織不同群組制定強大但彈性的密碼政策。
除了規範密碼有效期、字元複雜度、重複使用密碼、密碼相似度、鍵盤模式,亦可比對字典檔以及洩漏密碼資料庫,且可針對這些密碼偵測是否使用替代字元或倒序輸入。確保組織中沒有使用弱密碼或是已外洩的密碼。
