问题——弱口令成为网络安全“短板”,破解速度远超公众想象; 随着数字化办公、云存储和物联网设备普及,密码依然是多数系统的第一道防线。南京开馆的全国科技安全教育基地现场体验中,记者将开机口令设为个人姓名拼音、仅6位字母,2秒即被破解;当密码改为包含大小写字母与数字的8位组合后,破解两小时仍未完成。对比显示,口令强度哪怕只提升一点,在攻防对抗中也可能出现“秒破”和“久攻不下”的巨大差别。 原因——图省事、沿用默认设置与“一个密码走天下”是主要诱因。 从已披露的安全事件看,弱口令更多不是技术问题,而是管理和使用习惯的问题。一上,部分单位为了方便记忆和交接,常用手机号、生日、单位简称等容易被推测的信息;另一方面,一些系统和设备部署后未按规范修改出厂默认账号口令,相当于给攻击者留了“通用入口”。此外,同一密码反复使用、长期不更换、缺少异常登录核查,也会放大单点失守带来的连锁风险。 影响——从数据泄露到基础设施风险,弱口令可能触及国家安全边界。 国家安全机关核查发现,一家单位对外公布联络邮箱后,邮箱频繁出现异地登录告警。继续核查显示,该单位将邮箱密码设为对外办公固话号码且长期未更改,境外黑客通过猜解获取账号控制权。由于邮件及附件长期保存在云端空间,数据被持续窃取。 另一起发生在沿海港口有关企业的案例中,园区监控摄像头在午休及夜间出现异常转动、自动聚焦船只等情况。查验发现,该企业监控系统管理员账号口令仍为出厂默认弱口令,境外黑客通过“撞库”等方式登入并获得摄像头操控权限,进而对目标海域实施持续观测。此类风险不仅涉及企业经营信息和客户数据,也可能对重要地理区域、关键设施运行安全带来隐患。 对策——把“强密码+多措施”落到制度与操作层面。 一是提升口令强度。密码长度建议不低于8位,并同时包含大小写字母、数字及特殊字符,避免使用姓名拼音、手机号、门牌号、连续数字等常见弱口令;重要系统要杜绝沿用初始密码和默认管理员口令。 二是建立更换与分级管理机制。对办公电脑、邮箱、财务系统、银行账户、监控平台等关键账号实行分级分类管理,落实定期更换;不同平台避免使用相同密码,防止一个账号泄露引发连锁被攻破。 三是强化审计与预警处置。多数系统和网络账户具备安全审计功能,应定期查看登录日志、异常提示与访问记录,发现异地登录、频繁失败尝试、夜间异常访问等情况及时处置并上报。 四是对物联网与工业类设备开展专项排查。港口、物流园区、仓储等场景摄像头数量多、点位分散,应将“改默认口令、关闭不必要的远程访问、限制管理员权限、定期固件升级”等要求纳入运维流程,避免设备成为外部渗透的跳板。 前景——安全建设需从“个人习惯”走向“体系治理”。 当前网络攻击呈现自动化、批量化特征,弱口令往往是最先被扫描、最容易被利用的入口。面向未来,随着云服务、移动办公、视频监控与数据流通进一步扩展,密码管理需要从“提醒式倡议”升级为可执行、可检查的制度要求。推动单位落实最小权限管理、日志常态化审计、安全培训和应急演练,有助于在早期拦截风险,降低数据泄露和被远程控制的概率。
密码是网络空间的第一道防线,安全性直接关系到个人权益与国家利益。在数字化加速发展的今天,提升密码防护意识、落实规范管理更为紧迫。只有形成长期机制并落实到日常操作,才能持续加固网络安全屏障,减少潜在威胁。