-
作者
-
發佈日期
2026-05-10
-
閱讀時間
6分鐘
-
字體大小
Kaspersky 在 2026 年「世界密碼日」(5 月 7 日)發布最新研究,以單張 Nvidia RTX 5090 顯示卡對 MD5 演算法保護的密碼雜湊(Hash)進行破解測試,結果顯示 60% 的密碼在一小時內即可被破解,其中 48% 甚至在一分鐘內淪陷,報告直指問題根源並非用戶密碼本身,而是快速雜湊演算法的結構性安全漏洞。
研究規模與具體數據
Kaspersky 從暗網洩露資料庫選取逾 2.31 億條唯一密碼,涵蓋 2023 年至 2026 年的重大資料洩露事件,較 2024 年的同類研究新增 3,800 萬條數據,研究的破解時間分佈如下:
- 一分鐘內:48%(2024 年為 45%)
- 一小時內:60%(2024 年為 59%)
- 24 小時內:68%(2024 年為 67%)
- 一個月內:74%(2024 年為 73%)
- 一年以上才可破解的密碼:僅 23%
RTX 5090 每秒可執行約 2,200 億次 MD5 雜湊運算,較 RTX 4090 的 1,640 億次加速 34% ,是整體可破解率小幅上升的主要原因。
密碼長度是最關鍵因素
報告顯示 8 個字元以下的密碼幾乎全部可在一天內被破解,但即使是 15 個字元的長密碼,若結構可預測仍有超過 20% 可在一分鐘內被智能演算法破解,Kaspersky 強調密碼的可預測性與長度同樣重要。
逾 53% 的洩露密碼以數字結尾,17% 以數字開頭,12% 包含 1950 至 2030 年間的年份。最常見的數字組合仍是「1234」,鍵盤序列(如 qwerty)出現在 3% 的密碼中。逾半數密碼(54%)在近年洩露中重複出現,顯示大量用戶幾年來從未更改密碼,研究推算密碼平均壽命長達 3 至 5 年。
雲端 GPU 讓攻擊成本極低
RTX 5090 雖售價高昂,但 Kaspersky 指出並不構成實質門檻,攻擊者可透過雲端服務以每小時數美仙至數美元的成本租用同等級 GPU,且破解一整個資料庫的時間與破解單一密碼相差無幾,因為每計算一個雜湊值,系統便同時與整個資料庫比對,資料庫愈大反而更容易逐一命中,報告補充攻擊者亦可同時租用 10 至 100 張 GPU 大幅加速整個破解過程。
密碼習慣幾乎停滯不前
Kaspersky 指出病毒式流行詞彙亦滲入密碼之中,2023 至 2026 年間「Skibidi」一詞出現在密碼中的次數暴增 36 倍,反映用戶依賴情感化或流行詞彙設定密碼,這恰好是智能破解演算法最容易針對的弱點,攻防差距不斷拉大的主要原因在於 GPU 性能每年持續提升,而用戶在密碼習慣上的改進卻幾乎停滯不前。
業界呼籲轉向 Passkey 與零信任架構
科技媒體 The Register 引述多位安全專家觀點普遍認為問題的責任不應只落在用戶身上,受僱 CISO 顧問 Chris Gunner 指出密碼毋需被完全廢棄,但必須納入更廣義的身份安全策略,搭配生物識別等第二驗證因素並配合多因素認證(MFA)、身份治理及端點防護以構建零信任模型。
諾丁漢大學網絡安全教授 Steven Furnell 強調許多網站至今仍未支援 Passkey ,用戶被迫在新舊方案之間切換,而部分服務甚至不執行基本的密碼強度要求,「今個世界密碼日,真正應該收到訊息的,是那些要求用戶使用密碼的網站與服務供應商,而不是用戶本身。」
資料來源:Kaspersky
