6位密码2秒被破，8位密码撑了2小时

打开网易新闻 查看精彩图片

南京新开了一个科技安全教育基地，央视记者去现场做了个实验：用名字拼音设6位开机密码，技术人员2秒破解；换成8位大小写+数字的复杂密码，同样设备折腾了2个多小时没破开。

这像极了门锁的进化史。早年用A级锁芯，小偷拿根铁丝就能捅开；换成C级锁芯，技术开锁也得耗上大半天——时间差就是保命差。密码也一样，复杂度的边际收益在这里体现得很直白：多两位字符，攻击成本从"顺手的事"变成"值得放弃"。

打开网易新闻 查看精彩图片

但用户端的真实场景是另一回事。基地公布的案例里，有单位把邮箱密码设成对外公开的办公电话，长期不改；某港口物流公司的摄像头用出厂默认密码，被境外黑客"撞库"登录，监控画面成了别人的实时直播。这些不是技术漏洞，是"懒得想"和"懒得换"叠加出来的敞口。

攻击者的工具箱也在升级。从生日、手机号的字典爆破，到彩虹表哈希碰撞，再到用深度学习分析泄露密码库、生成高命中率的新密码——你的"独创"组合，可能只是统计学上的高频项。

打开网易新闻 查看精彩图片

南京邮电大学的专家给出的建议很务实：8位起步，大小写+数字+特殊字符混用；不同平台别复用密码；定期改，别搞ABAB式的轮换；有空翻翻安全日志，异常登录比密码本身更早暴露问题。

基地讲解员提到一个细节：很多参观者看完破解演示后，当场掏出手机改密码——但改完又问，"复杂密码记不住怎么办？"这大概是安全意识和用户体验之间，最持久的拉锯战。