2025年,全球密码统计数据
你是否仍然将所有密码都存储在电脑上一个名为“密码”的文件里?尽管密码有助于保护我们的网络生活,但很少有人会努力创建强密码并安全地存储它们。
让我们来看一些令人惊讶的密码相关统计数据,并探讨如何改进密码习惯:
密码统计数据
- 全球每隔约 39 秒 就发生一次自动化密码猜测攻击。
- 个人平均需要管理的密码数量已从 2020 年的约 100 个 增长到超过 250 个。
- 预计到 2030 年,密码管理器的全球收入将从 21 世纪 20 年代初的不到 20 亿美元 增长到超过 70 亿美元。
- 只有 27% 的美国成年人使用随机密码生成器来创建新密码。
- 美国 79% 的人只是简单地将单词与数字混合起来创建密码。
- 57% 的人承认会重复使用旧密码的变体。
- 网站的密码策略会限制强大的密码管理:30% 的网站不允许在密码中使用特殊字符,17% 的网站没有最低长度要求。
- 仅 2022 年,就有近 240 亿 个用户名和密码被报告泄露。
- 90% 的暗网“出售访问权限”列表中包含被盗的登录凭据(用户名和密码组合,通常还附带 IP 地址)。
- 在约 36% 的云数据泄露事件中,攻击者使用了有效的凭据。
- 全球范围内(由人类和机器)正在使用的密码超过 3000 亿 个。
密码重用与其他不良密码习惯
在密码管理中,最危险的习惯之一就是对多个应用程序使用同一个密码,但这种做法却异常普遍:
- 高达 60% 的美国人会重复使用密码。
- 13% 的人对所有应用都使用同一个密码。
- 全球范围内,有 78% 的人承认会重复使用密码。
- 全球 52% 的人至少在三个账户上使用同一个密码。
- 59% 的美国成年人会在密码中使用个人姓名或生日,这使得密码非常容易被猜到。
- 44% 的互联网用户很少或从不更改密码。
- 34% 的人会反复使用同一个密码的微小变体(例如,在旧密码上添加数字或符号)。
- 10% 的人从青少年时期开始就一直使用同一个密码。
- 超过 36% 的互联网用户用纸笔记录密码。
- 只有 15% 的人使用密码管理器。
- 53% 的 IT 专业人员曾通过电子邮件以明文形式共享密码。
最常见的密码
创建强大密码的一个关键原则是让它们难以猜测。使用常见、可预测或普通字母和单词组合的做法与此原则背道而驰,但这却是一种惊人的普遍做法:
- 2023 年,最常见的密码是 “123456”。
- 超过 400 万 人使用 123456 作为密码。它可以在不到一秒钟内被破解。
- 2023 年排名前十的其他密码包括:
- 123456789
- qwerty
- password
- 其他常见密码还包括:
- secret
- dragon
- monkey
- Amazon
- Netflix
弱密码与数据泄露:主要统计数据
弱密码或被盗密码是导致数据泄露的最常见原因之一。以下是关键洞见:
- 近半数泄露事件与密码有关: 大约 49% 的所有数据泄露都涉及被泄露的密码。
- 企业面临的巨大风险: 在企业环境中,81% 的黑客相关泄露源于弱密码或重复使用密码。
- 密码长度至关重要: 在成功的攻击中,88% 的密码长度为 12 个字符或更短。
- Google Cloud 漏洞: 54.8% 的 Google Cloud Platform 泄露是由于账户或虚拟机使用弱密码或没有密码。
- 惊人的增长: 仅在 2022 年,就有大约 240 亿 个密码在数据泄露中暴露,与 2020 年相比,被泄露的密码数量增加了 65%。
- 社会工程学攻击的帮凶: 63% 的社会工程学攻击涉及被泄露的登录凭据,攻击者利用这些有效密码冒充用户。
这些数据强调了创建强大、独特密码的重要性,尤其是在企业环境中。
密码意识与行为的脱节
尽管人们普遍意识到不良密码习惯的风险,但他们的行为却常常与之脱节。
意识与行动的差距
- 75% 的人没有遵循公认的密码最佳实践。
- 尽管 89% 的人知道重复使用密码存在安全风险,但只有 12% 的人会为每个账户使用独一无二的密码。
- 68% 的全球受访者认同密码的安全性比易于记忆更重要,但超过一半的人仍然依赖记忆(通常导致重复使用密码),而不是使用密码管理器或其他工具。
密码管理的挑战
- 69% 的美国人因需要记住太多密码而感到不知所措。
- 45% 的美国人对自己的密码是否足够强大感到焦虑。
- 47% 的美国人表示他们每月会忘记几次密码,导致需要重置。
缺乏行动与风险意识
- 28% 的人表示他们没有采取任何特殊措施来管理或保护密码。
- 即使明知密码已被泄露,仍有 9% 的人没有采取任何行动来改进它。
- 有 13% 的人承认,无论是对于一个不重要的网站还是网上银行,他们都会投入相同的精力来设置密码。
这些数据表明,要改善密码安全状况,仅仅提高意识还不够,还需要解决密码管理带来的实际挑战。
行业特定密码趋势
你提供的这些数据揭示了不同行业在密码安全实践方面的差异,同时凸显出普遍存在的薄弱环节。
普遍存在的弱点
- 公司名称作为密码: 对财富 500 强公司的泄露数据分析显示,惊人的 20% 的密码就是公司名称或其微小变体。在酒店业,这种做法最为普遍。
- 常用弱密码: 即使在注重安全的行业,像“password”这样的弱密码也仍然是常用选项。在医疗保健行业,“vacation”也是最受欢迎的密码之一。
- 跨账户重复使用: 44% 的员工会在工作和个人账户之间重复使用相同的密码。
行业表现差异
- 人力资源表现最佳: 在泄露分析中,人力资源行业的独特密码比例最高,达到 31%。
- 电信行业表现最差: 电信行业的独特密码比例最低,仅为 20%。
- 不设密码过期政策: 59% 的金融服务公司拥有超过 500 个永不过期的员工密码,这增加了安全风险。
安全性排名
根据 Dashlane 2024 年的一份报告,密码安全性最好的五个行业是:
- 软件/技术
- 媒体/电信
- 教育
- 交通与仓储
- 住宿/餐饮服务
而密码安全性最弱的五个行业则是:
- 法律
- 制造业
- 建筑业
- 医疗保健
- 能源/公用事业
这些数据表明,即使是那些被认为是高风险的行业,也存在显著的密码安全漏洞。
MFA 的采用率显著增长
多重身份验证(MFA)正在成为账户安全的标准。数据显示,MFA 的普及率正在迅速提高:
- 2019 年,只有 37% 的美国用户启用了 2FA。
- 到 2024 年,全球个人账户的 2FA 采用率已增长到 78%,工作账户的采用率也达到 73%。
- 尽管如此,仍有 23% 的美国员工在工作中没有使用任何形式的 2FA。
- 在 IT 专业人士中,约 46% 使用 2FA 登录工作系统,而 56% 的公司使用基于短信的一次性密码作为登录方式。
有效性与挑战并存
MFA 被证明是抵御网络攻击的有效工具,但同时也面临一些挑战:
- 极高的有效性: 微软估计,启用 MFA 可以阻止 96% 的批量网络钓鱼攻击和 76% 的针对性账户入侵尝试。
- 用户认知: 19% 的受访者认为启用 2FA/MFA 是仅次于设置强密码的最佳自我保护方式。
- IT 专业的顾虑: 在一项研究中,超过 50% 的 IT 专业人士认为基于短信的 2FA 会扰乱工作流程或令人感到烦恼。
无密码验证的兴起
除了传统的 MFA,无密码验证(Passwordless authentication)也越来越受欢迎,这是一种使用生物识别或硬件密钥等方式代替传统密码的方法。
- 87% 的 IT 专业人士认为转向无密码登录对于提升安全性非常重要。
- 60% 的组织已经开始在其 IT 基础设施中实施某种形式的无密码访问,例如使用硬件安全令牌或一次性邮件链接。
这些数据表明,尽管 MFA 的采用率持续增长且其有效性已得到验证,但在用户体验和实施方面仍然存在需要解决的挑战。同时,无密码验证正被视为未来更安全的解决方案。
组织中的密码管理策略
你提供的数据揭示了组织在管理密码方面的一些关键趋势和挑战,尽管新技术不断涌现,许多公司仍然依赖传统方法。
依赖传统方法
- 普遍依赖密码: 约 76% 的公司仍然主要使用传统的密码验证方式。
- MFA/SSO 普及率低: 不到一半的公司为员工广泛采用了多重身份验证(MFA)、单点登录(SSO)或无密码登录等替代方案。
员工密码管理
- 缺乏集中管理: 只有 25% 的受访者表示,他们的雇主强制要求使用密码管理器。
- 员工责任重: 员工平均要管理 87 个工作密码,但许多公司仍将安全管理的责任推给个人。
- 密码生成问题: 约 80% 的员工为公司账户创建自己的密码,这些密码通常较弱。
- 帮助台负担: 约三分之一的 IT 帮助台工单都与密码相关,例如重置、账户锁定或忘记密码。
离职员工访问风险
- 安全隐患: 只有约四分之一的公司非常有信心,离职员工无法访问公司账户。
- 实际风险: 32.4% 的员工承认,他们曾访问过前雇主的账户。
积极措施
- PAM 解决方案: 为了提高密码安全性,美国 60% 的 IT 和网络安全负责人使用特权访问管理(PAM)解决方案,来集中控制管理员密码和高级别账户。
总的来说,组织在密码管理方面存在显著的漏洞,过度依赖传统密码、缺乏集中管理以及员工行为都是主要的安全风险。
加强个人密码安全的最佳实践
虽然这些数据可能令人担忧,但你可以通过一些简单的措施来大大提升你的账户安全。
- 使用强大且独特的密码: 避免使用常见词汇、个人信息或简单的数字序列。确保密码中包含大小写字母、数字和符号的组合。
- 使用密码管理器: 这些工具可以为你生成并安全存储所有密码,你只需记住一个主密码即可。
- 启用 MFA: 这是最有效的保护措施之一。为你的重要账户(如邮箱、银行、社交媒体)启用双重验证。
- 定期更新密码: 定期更换密码,特别是对于那些非常重要的账户。
- 保持学习: 持续关注密码安全方面的最佳实践,并与朋友分享你的知识。
密码的未来
认证技术的发展轨迹表明,密码可能没有未来。诸如生物识别和硬件密钥等方法正日益普及,发展势头明显倾向于减少对密码的依赖。然而,在多重身份验证(MFA)和无密码方法成为主要的认证方式之前,强大的密码和 MFA 仍然至关重要。
了解不当密码习惯的风险,并养成更好的习惯来保护你的在线形象和信息,是至关重要的。
联系我们
有任何云成本管理的需求或问题?欢迎通过以下方式联系我们!
公众号
企业微信客服
业务咨询
技术社区
地址
北京市海淀区自主创新大厦 5层
