《Specops 2025 年密码泄露报告》揭示了过去一年中超过 10 亿个密码被恶意软件窃取，暴露了薄弱环节、恶意软件趋势和安全漏洞。

Specops 公司的网络安全研究人员就一个与密码有关的重大问题向全球敲响了警钟：在过去一年里，有超过 10 亿个密码被恶意软件盗取。根据 Specops 软件公司在本周二发布之前与 Hackread.com 分享的《2025 Specops 被盗密码报告》，数百万个被盗密码符合标准复杂度要求。报告还强调了恶意软件窃取凭证的普遍性，在过去 12 个月中发现了超过 10 亿个恶意软件。

报告的主要发现：

• 尽管符合常见的复杂性要求（长度、大写字母、数字、符号），但仍有 2.3 亿个被盗密码遭到泄露。
• “123456 ”和 “admin”等常见弱密码继续困扰着系统，暴露出用户意识和教育方面的巨大差距。
• “qwerty”、“guest ”和 “student ”等常用基础术语经常被用作密码基础。
• Redline、Vidar 和 Raccoon Stealer 成为窃取凭证恶意软件的前三名，显示了这些威胁的复杂性和持久性。这些复杂的恶意软件菌株主动瞄准并窃取各种来源的凭证，包括网络浏览器、电子邮件客户端甚至 VPN 客户端。点击这里查看 Hackread.com 对这些恶意软件的详细分析。
• “恶意软件即服务”模式，即网络犯罪分子出租这些工具，增加了这些强大攻击载体的可访问性和可用性。

该报告强调了不明真相的用户和组织在解决弱密码问题上所面临的持续困境，终端用户尽管知道存在风险，但仍在创建简短的弱密码。

通过 Specops

用户经常在多个账户（包括工作账户、个人账户和在线服务账户）中使用相同或稍作修改的密码，这是一种危险的做法，因为在个人设备和安全性较低的平台上重复使用工作密码会大大增加泄密的可能性。在安全性较低的平台上发生一次泄密事件，就会危及对活动目录和 VPN 等敏感企业系统的访问。

此外，被盗凭据可让攻击者直接访问有价值的数据，包括个人信息、财务记录和企业机密。这些凭证可用于发起进一步的攻击，如网络钓鱼活动和更复杂的漏洞，使攻击者能够更深入地访问组织系统。

“恶意软件窃取的密码数量应该引起企业的关注。即使贵组织的密码政策很强大并符合合规标准，这也无法保护密码不被恶意软件盗取。”

Specops软件高级产品经理达伦-詹姆斯（Darren James）。

考虑到这些危险的影响，安全专家建议企业实施更强大的密码策略，并定期扫描 Active Directory，以发现被泄露的密码，并立即采取补救措施。对用户进行有关弱密码的教育，并随时更新有关威胁和漏洞的信息，以抵御新出现的攻击，这些都是至关重要的。最后，实施多因素身份验证（MFA），在密码之外增加一层额外的安全保护。