网络安全是国家安全的一项基本内容，随着网络技术的飞速发展，网络安全威胁也日益增多。其中，“两高一弱”（高危漏洞、高危端口、弱口令）犹如潜伏在网络世界的“定时炸弹”，时刻威胁着我们的信息安全和个人隐私。

其中，密码过于简单，如连续数字、电话号码、姓名生日等组合形成的弱口令，不仅极易被猜中或破解，还有可能遭到境外黑客攻击，成为网络安全防护中最薄弱的突破口。在日常的渗透测试及网络攻防演练过程中，通过弱口令获取权限的情况甚至超过90%，各个组织都存在不同程度的弱口令，一旦用户的账号密码泄露或被破解，将导致大量的内部信息泄露，更有甚者，会给一些重点涉密部门带来泄密风险。

一、什么是弱口令

网络安全“三高一弱”高频事件中的“弱”指的便是弱密码，专业名称为“弱口令”。

一般来讲，口令的强度分为三种，即弱/中/强三级。弱口令是对易被猜测或破解的计算机信息系统口令（密码）的统称，这样的口令往往由简单字符组合而成，自身复杂度、长度不足。

二、弱口令危害

• 个人账户被盗

弱口令非常容易被黑客破解，一旦账户被盗，黑客可以访问个人信息，如银行卡、电子邮件、社交媒体账户等，造成财产和个人隐私的损失。

• 信息泄露

信息系统、网站和虚拟机的管理员采用弱密码、默认密码和通用密码，或者长期不进行修改，容易被黑客使用暴力破解软件直接破解本地密码，导致服务器被黑客控制，成为他们进行不法行为的跳板或僵尸网络的一部分，或服务器内部资料泄露，造成群体性危害事件等。

三、常见的弱口令类型

◆连续或重复的字母：如aaa、abc、abcdef、zyx等。

◆与用户相关的名称信息：如changtai（公司名称）、zhangsan（姓名全拼）、zjl（姓名缩写）、oa（产品名称）、admin（用户名）、手机号等。

◆具有特殊含义的字符串：如520、1314、woaini等。

◆其他常用的字符串：root、abc123！、administrator、test等。

四、弱口令安全事件案例

• 案例一

2024年6月12日，梧州网警工作中发现，某学校运营的信息系统存在弱口令漏洞的情况，遂前往现场进行网络安全检查及技术检测。

经查，该学校涉及安全隐患的信息系统是一款记录学校师生考试成绩信息的系统，该学校为方便老师进入系统查询，设置了弱密码。进一步检查发现，该学校网络安全制度缺失，无网络安全防护技术措施，无网络安全应急预案，漏洞扫描显示信息系统存在大量高危漏洞，被网络攻击及数据泄露的安全隐患极大。

根据相关法律法规，梧州网警对其进行了行政处罚，并责令其立即整改。

• 案例二

国家安全机关工作发现，某境外论坛上出现了我国某企业的内部数据，数据内容包含该企业多个合作客户姓名、身份证号、家庭住址以及手机号码等个人隐私信息，如落入不法分子手中将造成严重安全隐患。经核查，该数据之所以被窃取，是因为企业网络管理员在开展运维测试后，未及时删除测试账号，而该账号恰好具备管理员权限且口令极易猜解，导致一些客户的数据泄露。

• 案例三

今年8月，国家安全机关接到某单位报警称，其单位在官方网站公布对外电子邮箱账号用于联络收信，为方便查阅历史邮件，该单位工作人员将所有邮件及附件长期存储于邮箱云空间。近期，邮箱频繁出现异地登录告警。国家安全机关核查发现，该邮箱为单位公用邮箱，为方便工作人员使用，登录密码为单位对外办公的固话号码且长期未修改，导致邮箱密码被境外黑客猜解，进而邮件数据被窃取。

五、弱口令的防范

口令相当于进入家门的钥匙，弱口令就等同于把钥匙放在家门口，当他人拥有这把钥匙时，我们的个人安全、隐私、财物都是非常危险的。

拒绝弱口令，使密码更安全，那我们需要注意哪些呢？

①设置密码长度至少为8位，宜同时包含大小写字母、数字、特殊字符，提高密码的复杂度，不使用设备或账户初始密码及常见的弱口令密码。

②设置复杂密码后，并非一劳永逸，随着时间的推移，密码仍存在被破译的可能性。重要网络信息系统应定期（至少3个月内）进行密码更改，同时要避免数套密码轮换修改。

③在不同平台及系统避免使用相同的密码，防止一个密码泄露后其他系统被“撞库”攻击连带攻破，导致泄密面进一步扩大。

④计算机系统及网络账户通常具备安全审计功能，可查询历史异常记录，定期检查日志，及时发现账户异常行为，防止因密码泄露导致内部数据、信息被持续窃取。

⑤禁止在服务器、办公电脑中存放网络设备资产信息及登录口令，建议存在移动硬盘中。针对安全运维人员，应强制账号密码强度必须达到一定的级别。

来源：扬州职业技术大学 肇庆+