密码重复使用
密码重复使用 是什么?
密码重复使用在多个账户或服务中使用相同密码的习惯,会让单次数据泄露牵连大量其他账户。
密码重复使用是指用户为个人邮箱、工作系统、网银和其他众多服务使用相同或仅做小幅改动的密码。一旦任何一项服务发生泄露并且密码被破解或公开,攻击者就能通过凭据填充把该密码在其他站点上一一试用,接管更多账户。各类研究与事件报告都表明,密码重复使用是放大密码相关泄露后果的主要因素。常见对策包括使用密码管理器为每个站点生成唯一密码、强制对照已泄露密码黑名单进行检查、启用多因素认证,以及逐步迁移到 passkey 等不依赖共享秘密的无密码方案。
● 示例
- 01
某论坛泄露的密码后来被用来登录同一用户的邮箱和云存储。
- 02
员工把个人密码沿用到公司 SSO 账户上。
● 常见问题
密码重复使用 是什么?
在多个账户或服务中使用相同密码的习惯,会让单次数据泄露牵连大量其他账户。 它属于网络安全的 身份与访问 分类。
密码重复使用 是什么意思?
在多个账户或服务中使用相同密码的习惯,会让单次数据泄露牵连大量其他账户。
密码重复使用 是如何工作的?
密码重复使用是指用户为个人邮箱、工作系统、网银和其他众多服务使用相同或仅做小幅改动的密码。一旦任何一项服务发生泄露并且密码被破解或公开,攻击者就能通过凭据填充把该密码在其他站点上一一试用,接管更多账户。各类研究与事件报告都表明,密码重复使用是放大密码相关泄露后果的主要因素。常见对策包括使用密码管理器为每个站点生成唯一密码、强制对照已泄露密码黑名单进行检查、启用多因素认证,以及逐步迁移到 passkey 等不依赖共享秘密的无密码方案。
如何防御 密码重复使用?
针对 密码重复使用 的防御通常结合技术控制与运营实践,详见上方完整定义。
密码重复使用 还有哪些其他名称?
常见的别称包括: 重复密码, 多账户共用密码。
● 相关术语
- attacks№ 232
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
- identity-access№ 230
凭据收集
大规模收集用户名、密码、令牌等身份验证机密的行为,通常用于后续账户接管或在黑市出售。
- attacks№ 800
密码喷洒攻击
低速广撒网式攻击:用少量常见密码尝试大量账户,以避开账户锁定和速率限制阈值。
- identity-access№ 793
通行密钥 (Passkey)
一种抗钓鱼的 FIDO2/WebAuthn 凭据,使用绑定设备或可同步的非对称密钥对,以加密挑战-响应取代密码。
- identity-access№ 797
密码管理器
用于生成、存储并自动填充强壮且唯一凭据的应用程序,通常以主口令短语保护,并越来越多地结合 passkey。