全世界最常用的密码是什么？

根据 NordPass 的年度调查，"123456" 已经连续十多年占据榜首。主要原因是键盘数字键从左到右排列，而且它是许多服务"最少 6 个字符"要求的最短答案。

"P@ssw0rd" 这样的字符替换安全吗？

不安全。将 a 替换为 @、o 替换为 0 的 leet speak 转换已内置在标准攻击工具中。"password" 的所有变体在几分钟内就会被尝试，破解时间几乎不会增加。请使用随机字符串或密码短语。

什么是密码短语？

密码短语是由四个或更多随机单词组合而成的密码，例如 "correct horse battery staple"。它比随机 8 位密码更强大，而且更容易记忆。非常适合用作密码管理器的主密码。

最差密码名人堂 - 为什么「123456」永远是第一名

本文约需 12 分钟阅读

每年安全公司都会公布最常用密码排行榜 - 而每年 "123456" 都稳坐榜首。本文将带你走进全球最糟糕密码的"耻辱殿堂"，探索人类为何反复犯同样的错误，揭示各国有趣的密码偏好，并教你如何创建真正有效的密码。

结论 - 如果你还在用 "123456"，请立刻更改

最糟糕的密码都有三个共同特征：短、可预测、到处重复使用。"123456" 不到一秒就能破解，"password" 是任何字典攻击的首选。而随机的 16 位以上密码，用现在的计算机破解需要数亿年。只需使用密码管理器为每个账户设置唯一的长密码，你的安全性就会大幅提升。

为什么 "123456" 十多年来一直是第一名

在 NordPass 每年发布的"最常用密码"排行榜中，"123456" 从 2013 年到 2025 年几乎每年都占据榜首。为什么它如此顽固？原因有三。第一，键盘上的数字键从左到右排列，"123456" 是手指最自然的移动轨迹。第二，许多服务要求"至少 6 个字符"，而 "123456" 是最短的答案。第三，人们在快速注册时设置"临时"密码 - 然后永远不会更改。

第二名以下的面孔每年也几乎相同："password"、"123456789"、"qwerty"、"abc123" - 全都是键盘排列或纯英文单词。这些密码是字典攻击的首要目标。

各国密码趣闻 - 国民性格一览无余

NordPass 的数据揭示了各国有趣的密码趋势。在德国，"hallo"（你好）和 "passwort"（密码的德语）排名靠前。在意大利，"juventus"（足球俱乐部）是常年热门。日本常见 "sakura" 和 "takahiro" 等名字，法国默认使用 "azerty"（法语键盘布局），美国则偏爱 "baseball"、"football" 等体育相关词汇。

这意味着攻击者会准备针对每个国家和语言的字典。"sakura" 对日本用户来说可能觉得很私人，但它绝对在每个攻击者的字典中。你所在国家的热门词汇是最糟糕的密码选择。

把密码改成 "P@ssw0rd" 也没用的原因

"把 password 改成 P@ssw0rd 就安全了吧？" 很遗憾，完全不安全。这种字符替换叫做 "leet speak" - 把 a 换成 @、o 换成 0、e 换成 3。问题是攻击者完全掌握这些模式。现代的暴力破解工具内置了 leet speak 转换规则，"password" 的所有变体在几秒内就会被全部尝试。

安全研究人员发现，leet speak 几乎不会增加破解时间。"password" 不到一秒就能破解，而 "P@ssw0rd" 只需几分钟 - 差距并不大。真正强大的密码需要不可预测的随机性。详情请参阅密码熵值。

暴力破解所需时间 - 令人震惊的对比

为了直观感受密码强度，让我们比较一下暴力破解的预估时间。"123456" 不到 1 秒。"password" 也不到 1 秒。"P@ssw0rd" 大约 5 分钟。像 "MyDog$Name2024" 这样基于个人信息的密码需要数小时到数天。而随机生成的 16 位密码（大小写字母、数字、符号混合），即使用当今最快的计算机也需要数亿年。

这种差异来自可能的组合数（熵）。6 位数字只有 100 万种可能，但 16 位混合字母数字符号大约有 10 的 30 次方种组合 - 这种差异超越了宇宙的年龄。

名人密码翻车事件

密码失误不只是普通人的问题。2016 年，Facebook CEO 马克·扎克伯格的 LinkedIn 密码泄露，结果是 "dadada"。更糟的是，他在 Twitter 和 Pinterest 上也使用了同一密码，导致两个账户都被劫持。运营全球最大社交网络的人竟然成了密码重复使用的受害者。

另一个著名案例是 2020 年的前总统唐纳德·特朗普。荷兰安全研究员 Victor Gevers 声称特朗普的 Twitter 密码是 "maga2020!"，他在第五次尝试时成功登录。据报道还没有启用两步验证。全世界最受关注的账户之一竟然用一个可猜测的竞选口号来保护。

这些故事证明没有人能免于糟糕的密码习惯。解决方案对每个人都一样：使用密码管理器，生成随机密码，并在每个账户上启用两步验证。

创建好密码的有趣方法 - 密码短语推荐

随机字符串确实强大但难以记忆。这就是密码短语的用武之地 - 将四个或更多随机单词组合成一个密码。例如，"correct horse battery staple" 比随机 8 位密码强大得多，而且更容易记住。

关键是单词必须是随机的。像 "I love my dog" 这样有意义的句子容易受到字典攻击，但 "紫色吸尘器木星纳豆" 这样毫无关联的组合非常强大。对于必须自己记住的密码（如密码管理器的主密码），密码短语方式是最佳选择。要从数学角度理解密码强度，请参阅安全密码创建指南。

想更多地了解安全基础知识，安全相关书籍 (Amazon)也是不错的参考。

常见问题

全世界最常用的密码是什么？: 根据 NordPass 的年度调查，"123456" 已经连续十多年占据榜首。主要原因是键盘数字键从左到右排列，而且它是许多服务"最少 6 个字符"要求的最短答案。
"P@ssw0rd" 这样的字符替换安全吗？: 不安全。将 a 替换为 @、o 替换为 0 的 leet speak 转换已内置在标准攻击工具中。"password" 的所有变体在几分钟内就会被尝试，破解时间几乎不会增加。请使用随机字符串或密码短语。
什么是密码短语？: 密码短语是由四个或更多随机单词组合而成的密码，例如 "correct horse battery staple"。它比随机 8 位密码更强大，而且更容易记忆。非常适合用作密码管理器的主密码。

生成密码 →