在今年的「世界密碼日」之際,安全廠商卡巴斯基發佈的一項研究顯示,使用單塊高端 GPU,對透過 MD5 演算法保護的密碼雜湊進行暴力破解時,有約 60% 的密碼在一小時內就能被攻破,其中約 48% 甚至在一分鐘內就可被破解,引發業界對傳統密碼安全性的再度擔憂。卡巴斯基在研究中選取了一個包含逾 2.31 億個唯一密碼的樣本集,這些密碼均來自暗網洩露資料庫,其中有 3800 萬條是較此前一輪研究新增的數據。
研究人員使用 MD5 對這些明文密碼重新進行雜湊處理,並在單塊 NVIDIA RTX 5090 顯卡上進行破解測試,結果表明,絕大多數密碼在極短時間內就可以被恢復,這也在高性能硬件不斷普及的背景下凸顯現代密碼體系的脆弱性。
RTX 5090 破解測試凸顯 MD5 風險
儘管 RTX 5090 並非普通桌面用戶的主流顯卡,而且價格不菲,但卡巴斯基指出,這並不構成實質門檻。攻擊者完全可以透過雲服務低成本租用類似等級的 GPU,「按小時計費」進行密碼破解,這意味著即便普通企業或網站在本地並未部署如此昂貴的硬件,其密碼資料庫一旦洩露,依然會在現實攻擊場景中面臨高強度破解能力。研究報告強調,此次測試的結論並非針對明文密碼本身,而是指向「快速雜湊演算法」的結構性風險:任何僅依賴 MD5 等高速雜湊演算法來儲存密碼的系統,在資料庫被竊取後都不再具有足夠的安全性。
卡巴斯基在報告中直言,「攻擊者只需要一小時,就能從洩露列表中破解出五個密碼中的三個」,在 GPU 性能持續提升的形勢下,留給傳統密碼雜湊的安全緩衝時間正在急劇縮短。 卡巴斯基分析認為,攻擊效率提升的一個關鍵原因,在於人類密碼選擇本身的高度可預測性。透過對逾 2 億條洩露密碼進行模式分析,研究人員發現,不少用戶仍然採用常見單詞、數字序列、鍵盤順序組合等「套路」密碼,而這類模式很容易被整合進字典攻擊和規則優化的破解演算法,極大縮短了窮舉搜索所需的時間。
這項研究也與卡巴斯基在 2024 年開展的前一輪同類分析形成對比,結果顯示,2026 年密碼整體的可破解性相比兩年前略有惡化,雖然幅度不大,僅提升了幾個百分點,但趨勢依然朝著「更容易被攻破」的方向發展。卡巴斯基指出,攻擊方「提速」的主要動力來自 GPU 性能的年年迭代,而用戶在密碼習慣上的改進卻幾乎停滯不前,使得攻防差距持續拉大。 在關於「世界密碼日」的討論中,多位安全專家認為,與其繼續慶祝「密碼節」,不如把這一天改成「告別密碼日」,推動業界盡快擺脫對單一密碼的依賴,或至少徹底重塑帳號安全架構。
儘管「密碼已死」的說法多年來屢被渲染,但現實是,大部分用戶和企業依然在高度依賴密碼登入,安全宣傳郵件與市場推廣活動年年不斷,卻未能從根本上扭轉密碼弱、復用多、保護差的現狀。 託管服務提供商 Thrive 的「按需 CISO」Chris Gunner 在接受郵件採訪時表示,沒有必要完全拋棄密碼,但它必須被納入更廣義的「身份安全戰略」之中,而不是孤立存在。他指出,即便是強密碼,如果所在的身份與訪問管理環境缺乏統一治理,同樣可能因配置鬆散、會話劫持或權限濫用而形同虛設,因此密碼最好與第二要素綁定使用,
優先考慮生物識別等更難被繞過的因子。Gunner 進一步建議,將多因素認證與身份治理和終端防護整合起來,構建更完整的零信任模型,透過精細化的訪問控制和持續驗證,降低單一帳號被攻陷後橫向移動的風險。在他看來,組織應該假設「第一道門遲早會被打開」,並在門後再築起多層防線,而不是將全部希望寄託在複雜密碼和「正確雜湊儲存」上。 IEEE 高級會員、諾丁漢大學網絡安全教授 Steven Furnell 則提醒,密碼問題不能只停留在「教用戶自救」的層面。
他表示,在未來相當長一段時間內,密碼不會真正消失,而新一代安全技術(如無密碼登入、Passkey 等)的部署也極不均衡,許多網站和服務尚未提供支持,導致用戶不得不在傳統密碼和新方案之間來回切換,體驗割裂且風險並存。Furnell 指出,當前不少服務要麼沒有向用戶清晰說明如何創建符合現代標準的高強度密碼,要麼乾脆沒有執行足夠嚴格的密碼策略,讓用戶輕鬆透過弱密碼註冊或修改流程,從源頭埋下隱患。
在他看來,這個「世界密碼日」真正應該發出的信號,並不是再一次要求用戶「自覺增強安全意識」,而是敦促那些仍以密碼為主要認證手段的網站和服務提供方,承擔起應有的安全責任,推動更安全的登入選項和更合理的密碼要求落地。 在多位專家看來,無論是採用更強的密碼管理規則,還是轉向多因素認證、Passkey 乃至「無密碼化」方案,主動權都不應完全壓在終端用戶身上,而需要組織和服務提供方做出系統性的架構調整。
在 GPU 算力充裕、MD5 等快速雜湊演算法形同虛設的當下,任何自認為「複雜、隨機並已雜湊」的密碼,都不應被視為最後一道防線,而只是門口的一把基礎鎖,真正決定安全底線的,是其背後那一整套身份與訪問控制體系。
📬 免費訂閱 TechRitual 科技精選
每 3 日由 AI 精選 5 篇最重要香港科技新聞,直送你信箱
