问题——弱口令仍被大量使用,数字“门锁”形同虚设;随着线办公、移动支付、云存储等应用普及,账号密码已成为个人和单位信息系统的第一道关口。在南京新近开放的国家安全教育基地体验环节中,记者将电脑开机密码设为6位姓名拼音,破解测试仅用2秒便成功;当密码升级为包含大小写字母和数字的8位组合后,破解耗时明显拉长,数小时仍未完成。对比之下可以看到:看似“好记”的口令,往往也是“最好猜”的口令。 原因——“图省事”叠加管理松散,给攻击者留下空间。一上,部分用户习惯用生日、姓名、电话等易被推测的信息作密码,或直接沿用设备出厂默认口令;另一方面,一些单位在账号权限管理上较为粗放,密码长期不更换、多人共用账号,缺少日志检查和风险提示。更值得警惕的是,网络黑产已形成自动化工具链,通过字典猜解、撞库等方式批量试探口令,在高算力和脚本面前,弱口令几乎起不到防护作用。 影响——从个人隐私到关键行业,风险可被“远程放大”。国家安全机关通报的案例显示,某单位在官网公开联络邮箱后,邮箱频繁出现异地登录告警。核查发现,其密码竟是对外办公固话号码且长期未变,境外人员据此猜解成功并窃取云端邮件及附件,带来敏感数据外泄隐患。另有沿海港口跨境物流企业的监控系统管理员账号沿用默认弱口令,境外人员通过“撞库”登录后获取摄像头控制权限,利用高清画面持续观察停靠、出港船只动态,对特定海域态势形成窥探风险。事实表明,密码一旦与邮箱、云盘、监控平台等关键节点绑定,单点失守就可能演变为链式渗透,带来持续且隐蔽的安全后果。 对策——把“好记”让位于“可靠”,用制度和技术共同加固。专家建议,个人和单位应优先采用更高复杂度的口令策略:长度不少于8位,混合使用大小写字母、数字及特殊符号,避免姓名拼音、连续数字、常见词汇等弱口令;同时停用设备或系统初始密码,并对高权限账号执行更严格的口令规则。还应建立定期更换机制,避免“一套密码走天下”,防止一个平台泄露牵连其他系统。对单位而言,还需落实分级授权和最小权限原则,重要系统启用多因素验证,并用好安全审计功能,常态化检查登录日志与异常告警,及时发现和处置,防止账号被长期潜伏利用。 前景——安全教育与风险治理需同步推进。随着数字化转型深入,关键基础设施、供应链和公共服务对网络系统的依赖不断提高,攻击者也更倾向从“最薄弱的密码”切入,以低成本撬动高价值目标。以科技安全为主题的国家安全教育基地开馆,传递出提升公众安全意识和能力建设的信号。未来,密码安全将更强调从个人习惯到单位制度的整体升级,并向“主动防护、持续监测、闭环整改”的治理模式转变。