科技資訊平台 Comparitech 最新研究顯示,密碼「123456」繼續在 2025 年成為最頻繁使用的密碼,這反映了全球用戶在網絡安全上的意識仍有待加強。研究團隊通過分析來自 2025 年的數據洩漏論壇所收集的超過 20 億組真實帳戶密碼,發現大量用戶依然選擇危險的密碼組合。
隨著一場前所未有的密碼洩漏危機席捲全球,2025 年 6 月發生了涉及 160 億組密碼的大規模洩漏事件,成為歷史上第二大的密碼洩漏事件,僅次於 2024 年的 260 億條記錄洩漏。
報告指出,最常見的十大密碼包括「123456」、「12345678」、「123456789」、「admin」、「1234」、「Aa123456」、「12345」、「password」、「123」及「1234567890」。其中「123456」的使用次數高達 760 萬次,遠高於其他密碼。值得一提的是,遊戲「minecraft」在密碼使用中排名第 100 位,出現了近 7 萬次,而「Minecraft」拼寫中的大寫形式也有近 2 萬次的使用。
根據 Verizon 2025 年的數據洩漏調查報告,全球只有 3% 的密碼符合美國國家標準暨技術研究院(NIST)的複雜度要求,這再一次強調了密碼安全的緊迫性。另一項數據分析顯示,「admin」這一密碼在先前的洩漏中出現了 5,300 萬次,而「password」則達到 5,600 萬次,顯示企業和個人的安全防護意識仍然不足。
分析結果也表明,在前 1,000 個最常用的密碼當中,四分之一是完全由數字組成,而高達 38.6% 的密碼中包含「123」數字串。對應地,3.1% 的密碼則含有字母串「abc」。許多常見密碼只由重複的字符組成,例如「111111」排在第 18 位,「****」則名列第 35 位。
常見的單字和短語同樣構成重大安全隱患。在前 1,000 個最流行的密碼中,有 3.9% 包含「pass」或其變體,2.7% 則含有「admin」的變體,這些易於猜測的組合使得黑客可以輕鬆突破帳戶防護。
專業人士普遍建議密碼的長度應至少為 12 個字符,以顯著降低被破解的風險。然而,研究顯示目前 65.8% 的密碼少於 12 個字符,甚至有 6.9% 的密碼少於 8 個字符。而排名第 9 的「123」只含了 3 個字符,第 5 位的「1234」也僅有 4 個字符。
其他研究數據進一步佐證了問題的嚴重性,88% 被破解的密碼都少於 12 個字符,而 81% 的企業黑客入侵事件皆源於弱密碼或重複使用的密碼。更令人擔憂的是,94% 的用戶在多個帳號中重複使用相同的密碼,造成憑證填充攻擊的風險大增。
如今的密碼破解技術能夠輕易攻破弱密碼,而常見的簡單密碼則十分容易被猜測。相比之下,強密碼幾乎無法被破解。專家建議強密碼應該至少有 12 個字符,並結合大小寫字母、數字和符號,以避免可識別的模式來增強安全性。
然而,密碼的強度並非唯一要求,每組密碼應獨一無二,以避免憑證填充攻擊。用戶應儘可能啟用雙重認證(two-factor authentication),即便密碼被破解也可有效保護帳戶。研究顯示,近 49% 的數據洩漏事件涉及密碼被破解,這凸顯了加強密碼安全的重要性。
在業界方面,目前正推動無密碼認證的解決方案。Apple、Google 和 Microsoft 等大廠已經開始支持 Passkeys 技術,用密碼學金鑰來取代傳統密碼。預計到 2025 年已有 61% 的機構將會轉向無密碼的解決方案,87% 的資訊科技主管也表示強烈的意願。全球無密碼認證市場預測到 2025 年將達到 220 億美元(約港幣 1,716 億元),未來 10 年更預計將成長至近 900 億美元(約港幣 7,020 億元)。不過,在無密碼認證成為主流之前,遵循密碼安全的最佳實踐仍然至關重要。
Comparitech 研究團隊從 Telegram 及其他數據洩漏論壇上收集了超過 20 億組帳戶憑證,並且為確保數據的可靠性,研究人員與機構發佈的洩漏報告進行對照,或詢問數據發佈者以確定數據年份。所納入的數據均經過匿名處理,移除了任何可識別的個人資訊,並清理了異常數據,最終根據每個密碼的出現次數排列了最常用的密碼。
