黑客在針對(duì)遠(yuǎn)程桌面協(xié)議 (RDP)服務(wù)的攻擊中使用的最常見密碼凸顯了許多組織安全態(tài)勢(shì)中的嚴(yán)重漏洞。 

Specops 研究團(tuán)隊(duì)分析了針對(duì) RDP 端口的實(shí)時(shí)攻擊中使用的 1500 萬個(gè)密碼，結(jié)果顯示簡(jiǎn)單、可預(yù)測(cè)的密碼繼續(xù)被針對(duì)遠(yuǎn)程接入點(diǎn)的威脅行為者所利用。

在從 2024 年末到 2025 年 3 月的廣泛分析中，研究人員確定了針對(duì) TCP 端口 3389 的攻擊中使用的最常用密碼，該端口通常用于 RDP 連接。 

RDP 攻擊中最常用的密碼

該研究涉及破解從專門設(shè)計(jì)用于監(jiān)視這些攻擊的蜜罐系統(tǒng)收集的大約 40% 的 NTLMv2 哈希。

圖片

攻擊者使用的十大密碼為：

• 123456（355,088 個(gè)實(shí)例）。
• 1234（309,812 個(gè)實(shí)例）。
• Password1（271,381 個(gè)實(shí)例）。
• 12345（259,222 個(gè)實(shí)例）。
• P@ssw0rd（254,065 個(gè)實(shí)例）。
• 密碼（138,761 個(gè)實(shí)例）。
• Password123（121,998 個(gè)實(shí)例）。
• Welcome1（113,820 個(gè)實(shí)例）。
• 12345678（86,682 個(gè)實(shí)例）。
• Aa123456（69,058 個(gè)實(shí)例）。

調(diào)查結(jié)果揭示了一個(gè)令人不安的趨勢(shì)：這些攻擊中最常用的密碼“123456”在 2025 年密碼泄露報(bào)告中也被確定為最常被惡意軟件竊取的密碼。 

這表明許多用戶仍然依賴簡(jiǎn)單的鍵盤步行作為其主要的身份驗(yàn)證方法。

密碼復(fù)雜性分析

研究團(tuán)隊(duì)對(duì)字符集復(fù)雜度的分析顯示，近一半（45%）用于攻擊的密碼僅由數(shù)字或小寫字母組成。 

只有 7.56% 的密碼包含所有四種字符類型（小寫字母、大寫字母、數(shù)字和特殊字符）。

圖片

研究小組指出： “最終用戶如果選擇了復(fù)雜的密碼，哪怕是一個(gè)簡(jiǎn)短的基本密碼，也能抵御 92% 以上的 RDP 端口攻擊?！?/span>

密碼長(zhǎng)度漏洞

研究發(fā)現(xiàn)，攻擊中使用的密碼中有 26.14% 正好是 8 個(gè)字符長(zhǎng)，符合許多組織設(shè)定的最小長(zhǎng)度要求。 

令人震驚的是，攻擊中使用的密碼中只有 1.35％ 的長(zhǎng)度超過 12 個(gè)字符。

圖片

研究人員總結(jié)道：“如果您的組織強(qiáng)制使用超過 15 個(gè)字符的密碼，那么您的最終用戶將受到保護(hù)，免受 98% 的攻擊密碼的攻擊?！?/span>

保護(hù)RDP連接

安全專家建議采用多種方法來防御這些常見的攻擊媒介：

• 實(shí)施強(qiáng)密碼策略，要求密碼長(zhǎng)度較長(zhǎng)且包含多種字符類型。
• 為所有RDP連接啟用多重身份驗(yàn)證 (MFA) 。
• 確保TCP端口3389使用SSL連接并且不直接暴露給互聯(lián)網(wǎng)。
• 限制授權(quán)使用RDP連接的IP地址范圍。
• 保持Windows服務(wù)器和客戶端完全修補(bǔ)和更新。

該研究恰逢Specops 將來自蜜罐網(wǎng)絡(luò)和威脅情報(bào)行動(dòng)的超過 8500 萬個(gè)泄露密碼添加到其“泄露密碼保護(hù)”服務(wù)中。

這項(xiàng)研究表明，盡管經(jīng)過了多年的安全意識(shí)培訓(xùn)，用戶和組織仍在使用容易被黑客攻擊的弱密碼。隨著遠(yuǎn)程工作仍然盛行，保護(hù) RDP 連接變得越來越重要。 

組織必須認(rèn)識(shí)到簡(jiǎn)單的復(fù)雜性要求是不夠的；密碼長(zhǎng)度與強(qiáng)大的身份驗(yàn)證協(xié)議相結(jié)合，可以最有效地防御持續(xù)不斷的針對(duì) RDP 的攻擊。