在今年的“世界密码日”之际,安全厂商卡巴斯基发布的一项研究显示,使用单块高端 GPU,对通过 MD5 算法保护的密码哈希进行暴力破解时,有约 60% 的密码在一小时内就能被攻破,其中约 48% 甚至在一分钟内就可被破解,引发业内对传统密码安全性的再度担忧。
卡巴斯基在研究中选取了一个包含逾 2.31 亿个唯一密码的样本集,这些密码均来自暗网泄露数据库,其中有 3800 万条是较此前一轮研究新增的数据。 研究人员使用 MD5 对这些明文密码重新进行哈希处理,并在单块 NVIDIA RTX 5090 显卡上进行破解测试,结果表明,绝大多数密码在极短时间内就可以被恢复,这也在高性能硬件不断普及的背景下凸显出现代密码体系的脆弱性。
尽管 RTX 5090 并非普通桌面用户的主流显卡,而且价格不菲,但卡巴斯基指出,这并不构成实质门槛。 攻击者完全可以通过云服务低成本租用类似等级的 GPU,“按小时计费”进行密码破解,这意味着即便普通企业或网站在本地并未部署如此昂贵的硬件,其密码数据库一旦泄露,依然会在现实攻击场景中面临高强度破解能力。
研究报告强调,此次测试的结论并非针对明文密码本身,而是指向“快速哈希算法”的结构性风险:任何仅依赖 MD5 等高速哈希算法来存储密码的系统,在数据库被盗取后都不再具有足够的安全性。 卡巴斯基在报告中直言,“攻击者只需要一小时,就能从泄露列表中破解出五个密码中的三个”,在 GPU 性能持续提升的形势下,留给传统密码哈希的安全缓冲时间正在急剧缩短。
卡巴斯基分析认为,攻击效率提升的一个关键原因,在于人类密码选择本身的高度可预测性。 通过对逾 2 亿条泄露密码进行模式分析,研究人员发现,不少用户仍然采用常见单词、数字序列、键盘顺序组合等“套路”密码,而这类模式很容易被整合进字典攻击和规则优化的破解算法,极大缩短了穷举搜索所需的时间。
这项研究也与卡巴斯基在 2024 年开展的前一轮同类分析形成对比,结果显示,2026 年密码整体的可破解性相比两年前略有恶化,虽然幅度不大,仅提升了几个百分点,但趋势依然朝着“更容易被攻破”的方向发展。 卡巴斯基指出,攻击方“提速”的主要动力来自 GPU 性能的年年迭代,而用户在密码习惯上的改进却几乎停滞不前,使得攻防差距持续拉大。
在关于“世界密码日”的讨论中,多位安全专家认为,与其继续庆祝“密码节”,不如把这一天改成“告别密码日”,推动业界尽快摆脱对单一密码的依赖,或至少彻底重塑账号安全架构。 尽管“密码已死”的说法多年来屡被渲染,但现实是,大部分用户和企业依然在高度依赖密码登录,安全宣传邮件与市场推广活动年年不断,却未能从根本上扭转密码弱、复用多、保护差的现状。
托管服务提供商 Thrive 的“按需 CISO”Chris Gunner 在接受邮件采访时表示,没有必要完全抛弃密码,但它必须被纳入更广义的“身份安全战略”之中,而不是孤立存在。 他指出,即便是强密码,如果所在的身份与访问管理环境缺乏统一治理,同样可能因配置松散、会话劫持或权限滥用而形同虚设,因此密码最好与第二要素绑定使用,优先考虑生物识别等更难被绕过的因子。
Gunner 进一步建议,将多因素认证与身份治理和终端防护整合起来,构建更完整的零信任模型,通过精细化的访问控制和持续验证,降低单一账号被攻陷后横向移动的风险。 在他看来,组织应该假设“第一道门迟早会被打开”,并在门后再筑起多层防线,而不是将全部希望寄托在复杂密码和“正确哈希存储”上。
IEEE 高级会员、诺丁汉大学网络安全教授 Steven Furnell 则提醒,密码问题不能只停留在“教用户自救”的层面。 他表示,在未来相当长一段时间内,密码不会真正消失,而新一代安全技术(如无密码登录、Passkey 等)的部署也极不均衡,许多网站和服务尚未提供支持,导致用户不得不在传统密码和新方案之间来回切换,体验割裂且风险并存。
Furnell 指出,当前不少服务要么没有向用户清晰说明如何创建符合现代标准的高强度密码,要么干脆没有执行足够严格的密码策略,让用户轻松通过弱密码注册或修改流程,从源头埋下隐患。 在他看来,这个“世界密码日”真正应该发出的信号,并不是再一次要求用户“自觉增强安全意识”,而是敦促那些仍以密码为主要认证手段的网站和服务提供方,承担起应有的安全责任,推动更安全的登录选项和更合理的密码要求落地。
在多位专家看来,无论是采用更强的密码管理规则,还是转向多因素认证、Passkey 乃至“无密码化”方案,主动权都不应完全压在终端用户身上,而需要组织和服务提供方做出系统性的架构调整。 在 GPU 算力充裕、MD5 等快速哈希算法形同虚设的当下,任何自认为“复杂、随机并已哈希”的密码,都不应被视为最后一道防线,而只是门口的一把基础锁,真正决定安全底线的,是其背后那一整套身份与访问控制体系。