黑客攻击RDP服务器最常用的十大密码

黑客在针对远程桌面协议 (RDP)服务的攻击中使用的最常见密码凸显了许多组织安全态势中的严重漏洞。 

Specops 研究团队分析了针对 RDP 端口的实时攻击中使用的 1500 万个密码，结果显示简单、可预测的密码继续被针对远程接入点的威胁行为者所利用。

在从 2024 年末到 2025 年 3 月的广泛分析中，研究人员确定了针对 TCP 端口 3389 的攻击中使用的最常用密码，该端口通常用于 RDP 连接。 

RDP 攻击中最常用的密码

该研究涉及破解从专门设计用于监视这些攻击的蜜罐系统收集的大约 40% 的 NTLMv2 哈希。

攻击者使用的十大密码为：

• 123456（355,088 个实例）。
• 1234（309,812 个实例）。
• Password1（271,381 个实例）。
• 12345（259,222 个实例）。
• P@ssw0rd（254,065 个实例）。
• 密码（138,761 个实例）。
• Password123（121,998 个实例）。
• Welcome1（113,820 个实例）。
• 12345678（86,682 个实例）。
• Aa123456（69,058 个实例）。

调查结果揭示了一个令人不安的趋势：这些攻击中最常用的密码“123456”在 2025 年密码泄露报告中也被确定为最常被恶意软件窃取的密码。 

这表明许多用户仍然依赖简单的键盘步行作为其主要的身份验证方法。

密码复杂性分析

研究团队对字符集复杂度的分析显示，近一半（45%）用于攻击的密码仅由数字或小写字母组成。 

只有 7.56% 的密码包含所有四种字符类型（小写字母、大写字母、数字和特殊字符）。

研究小组指出： “最终用户如果选择了复杂的密码，哪怕是一个简短的基本密码，也能抵御 92% 以上的 RDP 端口攻击。”

密码长度漏洞

研究发现，攻击中使用的密码中有 26.14% 正好是 8 个字符长，符合许多组织设定的最小长度要求。 

令人震惊的是，攻击中使用的密码中只有 1.35％ 的长度超过 12 个字符。

研究人员总结道：“如果您的组织强制使用超过 15 个字符的密码，那么您的最终用户将受到保护，免受 98% 的攻击密码的攻击。”

保护RDP连接

安全专家建议采用多种方法来防御这些常见的攻击媒介：

• 实施强密码策略，要求密码长度较长且包含多种字符类型。
• 为所有RDP连接启用多重身份验证 (MFA) 。
• 确保TCP端口3389使用SSL连接并且不直接暴露给互联网。
• 限制授权使用RDP连接的IP地址范围。
• 保持Windows服务器和客户端完全修补和更新。

该研究恰逢Specops 将来自蜜罐网络和威胁情报行动的超过 8500 万个泄露密码添加到其“泄露密码保护”服务中。

这项研究表明，尽管经过了多年的安全意识培训，用户和组织仍在使用容易被黑客攻击的弱密码。随着远程工作仍然盛行，保护 RDP 连接变得越来越重要。 

原文始发于微信公众号（河南等级保护测评）：黑客攻击RDP服务器最常用的十大密码