为什么弱口令问题总是反复出现？

❤请点击上方 ⬆⬆⬆ 关注君说安全！❤

“弱口令问题就是安全便捷性之间的矛盾、技术管理上的漏洞和人性弱点交织在一起的结果。”

大家好，我是JUN哥，一个普通的IT牛马，一直在深深思索，身边的人、事和物。

最近几个月，看了很多公开发表的典型网络安全案例，还是存在很大一部分跟弱口令有关。

弱口令问题，这个网络安全领域的“老大难”，虽然大家都知道它的重要性，但为什么就是难以彻底解决呢？下面，我来用大白话聊聊这其中的原因。

首先，就是人类记忆的问题。大家都知道，记那些复杂密码真的太头疼了。所以，很多人就倾向于用些简单的，比如生日、手机号、一连串的数字（像“123456”，“666666”，“88888888”这种），或者是单位的缩写加上点数字。这些密码好记，但安全性可就太差了。就像有个单位的电话尾号是6324，单位缩写是snyyh，结果很多人就把密码设成snyyh@6324。这种密码，稍微有点网络知识的人，用不了多久就能猜出来。

第二个原因，就是大家心里都存着点侥幸。有些人觉得“我的密码这么弱，应该没人会来攻击我吧”，或者觉得自己的数据没什么价值，就不愿意去加强密码的保护。比如，医院里忙忙碌碌的医护人员，可能就用姓名加工号来当密码，这样多方便啊，但安全性可就大打折扣了。

第三个原因，是系统默认设置的问题。很多设备、系统出厂的时候，都带着一些通用的弱口令，比如“admin”、“root123”这些。如果买回来之后不及时改掉，那可就等着被黑客盯上了。就像有些安全设备，网上一搜就能找到默认口令，要是买了之后不改，那真的是让人后怕。

第四个原因，就是密码策略执行得不够好。虽然有些单位制定了密码管理制度，但往往只是走走合规过场，没有真正落到实处。系统里也没有强制要求密码的复杂度，或者定期更换密码。所以，大家还是可以随便设些弱口令。

这些问题，如果系统不暴露在互联网上，风险可能还小点。但一旦暴露在互联网上，那被攻击就只是时间问题了。现在攻击工具越来越智能，黑客们用密码字典、社工库、暴力破解工具，很快就能试出那些常见的弱口令组合。甚至还能根据你的个人信息，猜出你的密码。

还有啊，很多人为了方便，就在不同的平台上用同一个弱口令。这样，一旦一个平台被攻击了，其他平台的账号也就跟着遭殃了。比如，邮箱密码泄露了，那跟邮箱关联的银行账号、社交账号也就都不安全了。这就是何可所谓的撞库攻击。

对一些单位来说，要改这些弱口令，得花不少人力、物力和财力。特别是大型机构，要全面排查和更新密码，还得考虑系统兼容性、用户培训等问题，执行起来阻力就更大了。就像医疗设备，因为运维复杂，可能就一直用着默认密码。

当然啦，安全防御措施跟不上，原因有很多，其中很重要的一点就是没钱。没有足够的预算，很多单位就只能抱着侥幸心理，不去部署那些多因素认证、异常登录检测等技术。就靠一个密码来防止攻击，那当然是防不住的。

总的来说啊，弱口令问题就是安全便捷性之间的矛盾、技术管理上的漏洞和人性弱点交织在一起的结果。要解决这个问题，得靠技术强制、制度约束和意识提升三方面共同努力。但这里面涉及到的协作复杂性和成本投入都太大了，所以进展就很缓慢，问题也就反复出现。

免责声明：本文相关素材均来自互联网，仅为传递信息之用。如有侵权，请联系作者删除。

-End-★关注，在看，转发，设为星标★，与你一起分享网络安全职场故事。

原文始发于微信公众号（君说安全）：为什么弱口令问题总是反复出现？