报告亮点
10.89亿条口令被恶意软件窃取,其中2.3亿条口令符合标准的复杂性要求(如包含大写字母、数字和特殊字符)。
最常见的弱口令:123456(370万次)、admin(190万次)、12345678(150万次)、password(55.8万次)、Password(47.4万次)。
最常见的口令长度:8字符(1.89亿次)、10字符(1.6亿次)、9字符(1.53亿次)。
最常见的口令基础词:5字符(admin)、6字符(qwerty)、7字符(welcome)、8字符(password)。
最常用的窃密恶意软件:Redline(占50%)、Vidar(17%)、Raccoon Stealer(11.7%)。
关键结论
恶意软件窃取凭证普遍存在:过去12个月中,超过10亿条凭证被窃取,其中Redline是最常用的窃密工具。
用户倾向于使用弱口令:即使知道风险,用户仍会选择简单口令(如123456、password)。组织应通过口令策略阻止用户使用这些弱口令。
复杂口令不一定安全:230万条符合复杂性要求的口令仍被窃取,表明口令长度比复杂性更重要。组织应鼓励用户使用长口令(如12字符以上)。
口令重复使用风险高:用户在工作账户和个人账户中重复使用口令,增加了组织网络被入侵的风险。组织应教育用户避免口令重复使用。
持续扫描泄露口令至关重要:组织应定期检查Active Directory中的口令是否已被泄露,并及时采取措施。
弱口令趋势与模式
尽管用户普遍了解口令重复使用的风险,但59%的用户仍会在多个账户中使用相同口令。报告显示,许多用户倾向于使用简单的基础词(如admin、qwerty)并在其后添加连续数字(如123456),这使得口令容易被猜测或通过暴力破解工具破解。
最常见的复杂口令:Pass@123、P@sswOrd、Aa@123456等。这些口令虽然符合复杂性要求,但由于其模式简单,仍然容易被破解。例如,Pass@123和P@sswOrd是常见的复杂口令变体,但它们遵循了可预测的模式(首字母大写,末尾添加数字)。
口令长度与破解时间:报告显示,6字符的纯数字口令可以瞬间破解,而12字符的混合口令(包含大小写字母、数字和符号)则需要141年才能破解。这表明,口令长度是抵御暴力破解的关键因素。
典型的口令窃取软件
Top1 Redline
Redline是2020年3月被发现的一种信息窃取恶意软件,主要目标是窃取用户的凭证、加密货币钱包和财务数据。它通过钓鱼邮件、恶意下载或伪装成游戏破解工具的视频传播。Redline会将窃取的数据上传到其命令与控制(C2)服务器,攻击者可以利用这些数据进行进一步的攻击。
传播方式:Redline通过YouTube视频传播,攻击者会在视频描述中嵌入恶意链接,用户点击后下载并感染恶意软件。
目标:主要针对游戏玩家,尤其是那些拥有高性能GPU的用户,因为Redline通常会附带加密货币挖矿程序。
Top2 Vidar
Vidar是Arkei Stealer的进化版本,专门窃取浏览器、电子邮件客户端和FTP客户端的凭证。它通过钓鱼邮件和恶意CHM文件传播,攻击者会利用PrivateLoader和Fallout Exploit Kit等工具分发Vidar。
传播方式:Vidar通过钓鱼邮件和恶意CHM文件传播,攻击者会利用PrivateLoader和Fallout Exploit Kit等工具分发Vidar。
目标:Vidar会检查受感染机器的语言设置,避免在某些国家传播,以减少被发现的风险。
Top3 Raccoon Stealer
Raccoon Stealer是一种信息窃取恶意软件,采用“恶意软件即服务”(MaaS)模式,攻击者可以按月租用该软件。它主要从浏览器、电子邮件客户端和FTP客户端中窃取凭证。
传播方式:Raccoon Stealer通过地下论坛传播,攻击者可以在Exploit和WWH-Club等论坛上租用该软件。
目标:RaccoonStealer的主要目标是窃取用户的凭证和财务数据,攻击者可以利用这些数据进行进一步的攻击。
组织如何降低口令风险
强制使用长且复杂的口令:研究表明,长度是口令强度的关键指标。例如,使用SHA-256哈希算法的12字符口令需要141年才能破解,而16字符口令则需要1031万年。组织应鼓励用户使用长且复杂的口令,避免使用简单的模式(如Pass@123)。
持续扫描泄露口令:Specops Password Policy提供每日扫描功能,检查Active Directory中的口令是否已被泄露。该功能通过与Specops的泄露口令保护服务(包含超过40亿条泄露口令)进行比对,帮助组织及时发现并强制用户更改泄露的口令。
阻止弱口令:通过自定义口令排除字典阻止用户使用常见弱口令(如admin、password)及其变体。例如,组织可以使用AI工具生成常见弱口令列表,并将其添加到口令策略中,防止用户选择这些口令。
多因素认证(MFA):即使口令被窃取,MFA也能提供额外的安全层。组织应强制实施MFA,尤其是在访问敏感系统时。
小结
正如Specops Software高级产品经理Darren James所言,恶意软件窃取的口令数量应该引起组织关注。即使您组织的口令策略很强大并且符合合规性标准,也无法保护口令不被恶意软件窃取。Specops 2025年泄露口令报告揭示了口令安全的严峻现状,强调了组织需采取综合措施(如强制使用长口令、持续扫描泄露口令和实施MFA)来应对日益复杂的网络威胁。通过加强口令策略和用户教育,组织可以有效降低口令泄露带来的风险。
参考资源
1、https://specopssoft.com/our-resources/most-common-passwords/
2、https://hackread.com/redline-vidar-raccoon-malware-stole-1-billion-passwords-2024/
