“你的密码是什么？”

“123456。”

“……这太简单了吧？”

“没事，我所有账号都用这个，好记。”

这听起来像段子，但现实中，类似情况正发生在近一半的美国网民身上。最新调查数据显示，尽管数据泄露、网络钓鱼和勒索软件新闻频上热搜，仍有约47%的美国成年人在多个在线账户中重复使用相同的密码，或仅做微小改动——比如把“Password1”改成“Password2”。这种“省事”的习惯，正让他们的数字生活暴露在巨大的安全风险之下。

更令人担忧的是，攻击者早已不是“手动试密码”的年代。如今，他们用自动化工具+AI定制钓鱼邮件+暗网交易会话令牌，构建出一条高效、隐蔽的攻击流水线。而用户那句“我就用一个，能出啥事”，恰恰成了黑客最想听到的“入场券”。

为什么大家明知危险，还在重复用密码？

这份由网络安全研究机构发布的调查指出，用户重复使用密码的主要原因并非“不懂安全”，而是现实中的“记忆困境”：

记不住：平均每人拥有70多个在线账户，要求记住70个复杂且不同的密码，堪比“人肉加密机”。

怕麻烦：很多人认为密码管理器“不安全”“会拖慢手机”或“万一丢了怎么办”，宁愿选择最原始的方式。

安全疲劳：每天弹出的更新提示、验证码、二次验证，让人产生“我已经够安全了”的错觉。

过度依赖MFA：不少人觉得“我开了短信验证码，肯定没问题”，却不知道MFA也能被绕过。

“很多人把MFA当成‘保险箱’，但其实它只是门锁。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时说，“如果你用同一把钥匙开所有门，哪怕每扇门都加了指纹锁，只要这把钥匙丢了，整栋楼就都危险了。”

黑客怎么“捡钥匙”？三步走，几分钟搞定

攻击者的操作流程，远比普通人想象的要高效和自动化：

第一步：从数据泄露中“捡钥匙”

每当某家公司发生数据泄露（比如电商平台、社交网站），数百万用户的用户名和密码就会流入暗网。这些数据被称为“凭证库”（Credential Dumps），价格低至几美元。

第二步：用“凭据填充”（Credential Stuffing）批量试登

黑客使用自动化工具（如Selenium、专门的Bot脚本），将这些泄露的账号密码组合，批量尝试登录其他网站——比如银行、邮箱、云存储。由于很多人“一密多用”，成功率往往高达2%-5%。“这意味着，试个10万组，就能黑进2000多个新账户。”芦笛说。

第三步：AI加持，钓鱼更精准，绕过MFA更轻松

如今，生成式AI让钓鱼邮件的“拟真度”大幅提升。攻击者可以基于泄露数据，生成高度个性化的鱼叉式钓鱼邮件，比如：“张先生，您在京东的订单#JD20251027因地址变更需重新验证”，诱导用户点击伪造链接。

更危险的是，攻击者已不再只盯密码。他们通过“AI中间人”（AI-in-the-Middle, AiTM）攻击，在钓鱼页面实时捕获用户输入的账号、密码，甚至会话令牌（Session Token）——这是用户登录后系统自动颁发的“免密通行证”。

“传统MFA只能防‘密码重用’，但防不了‘实时钓鱼’。”芦笛解释，“你输入密码后，MFA验证码弹出来了，你以为安全了。但其实你正在访问的是一个和真实网站一模一样的假页面，验证码也被实时转发给了黑客。他们立刻登录真网站，完成验证，整个过程你毫无察觉。”

谁最危险？中老年与低收入群体成“高危区”

调查显示，密码重复使用现象在中老年用户（50岁以上）和低收入群体中尤为普遍。原因包括：

对新技术（如密码管理器、生物识别登录）接受度较低；

更依赖短信、电话等传统通信方式，易受社会工程攻击；

缺乏系统性网络安全教育。

“很多长辈觉得‘我没钱，黑客不会盯我’，但其实他们的邮箱、社交账号一旦被控制，就会被用来转发钓鱼邮件、冒充亲友借钱，甚至成为攻击企业的跳板。”芦笛说，“黑客不在乎你有多少钱，他们在乎的是你‘能连到什么系统’。”

破局之道：技术+教育+监管三管齐下

面对如此普遍的“密码困局”，专家认为，不能只靠用户“自律”，必须从技术、服务和政策层面共同推动变革。

对用户：别怕“工具”，要用“利器”

芦笛建议普通用户立即采取以下措施：

使用密码管理器：选择端到端加密、零知识架构的产品（如Bitwarden、1Password），所有密码由它生成和存储，你只需记住一个主密码。

启用无密码登录（Passkey）：越来越多网站支持FIDO2标准的Passkey，它用设备指纹（如指纹、面容ID）替代密码，从根本上避免“记不住”和“被试登”的问题。

MFA别只用短信：短信验证码易被SIM卡劫持。优先选择认证器App（如Google Authenticator）或硬件密钥（如YubiKey）。

“Passkey不是未来，它已经来了。”芦笛强调，“苹果、谷歌、微软都在推，它的安全性远高于密码，而且更方便——刷个脸就登录，谁还愿意打字？”

对服务商：别只让用户“自求多福”

在线服务提供商也应承担更多安全责任：

实施登录速率限制：自动识别并限制异常高频登录尝试，尤其是来自已知Bot IP的请求。

引入设备指纹与行为评分：分析登录设备的特征（如浏览器、IP、地理位置），对“陌生设备+成功登录”组合进行高风险标记。

检测异常成功序列：比如同一账号在1分钟内从纽约、伦敦、东京连续登录成功，系统应立即冻结并通知用户。

主动提示“密码重复风险”：可借鉴银行“异常交易提醒”机制，在用户注册或登录时提示：“您使用的密码曾在其他平台泄露，建议更换。”

对监管：该出手时就出手

芦笛还建议，针对银行、医疗、政务等关键在线服务，监管部门可考虑设立“密码安全合规标准”，例如：

强制检测用户是否使用已知泄露的密码；

要求提供密码管理器集成指引；

将“支持Passkey”纳入数字服务安全评级。

“安全不能只靠用户‘觉悟’，”他说，“就像汽车不能只靠司机小心，还得有安全带、气囊和碰撞测试标准。”

进步可期：用数据衡量安全水位

报告最后提出，衡量网络安全水平，不能只看“有没有发生大事件”，而应关注几个关键指标：

密码唯一率：用户在不同网站使用不同密码的比例；

Passkey启用率：已开通无密码登录的账户占比；

异常登录平均发现时间：从可疑登录发生到系统告警的时长。

“当这些数据开始改善，我们才算真正走出了‘密码疲劳’的恶性循环。”芦笛说。

结语：你的密码，不只是你的事

在这个互联互通的时代，一个弱密码可能不仅危及你个人的邮箱和社交账号，还可能成为攻击企业、亲友甚至公共系统的跳板。网络安全，早已不是“技术宅”的专属话题，而是每个网民的必修课。

下一次，当你想用“123456”或“Password2025”注册新账号时，不妨问自己一句：

“我愿意为省这十秒钟，赌上所有数字资产的安全吗？”

答案，或许就藏在你手机里的那个从未打开过的密码管理器App里。

编辑：芦笛（公共互联网反网络钓鱼工作组）