德勤预测，2013年，超过90%的密码都不再安全。密码的保护不足可能会导致数十亿美元的损失、消费者对互联网交易信心的下降、受到攻击的公司声誉受损。用户的密码设置习惯和多个账户共用相同的密码等因素使得黑客破解密码的难度大大下降。手机等移动设备上的密码将更容易被破解。

2013年开始，更多公司将开始采取多重信息认证的方式来保障用户的信息安全。企业应当尽最大可能保护密码，比如通过随机加密，密码筛选系统和多重信息验证等方式，建立更加完备的密码安全政策。

密码不再安全

随着受密码保护的信息价值不断增加，它们会吸引更多黑客。一些网站很可能会采取额外的信息认证来保障用户的信息安全。

长久以来，一个8位数的，包括大小写字母，至少一个数字，和一个符号的密码被认为是很安全的。虽然不是绝对的安全，但是即便对于一些价值较高的交易，比如银行和电子商务，这样的密码都足够安全了。

这种密码究竟有多安全？这八个字符是标准键盘上的94个字符组合而来，也就是说，每个密码被随机猜中的概率是6100万亿分之一。一台2011年版的比较快的电脑需要大约一年的时间才能尝试完每种组合，即便是破解信用卡也不值得花费这么长的时间。

然而，受人们行为习惯和技术进化的综合影响，曾经安全的密码开始变得脆弱：7位以上的数对于人们的短期记忆来说已经极具挑战。长期记忆来说，普通人只能记住5位数，如果加上字母、大小写、和不常用的符号，记住包含多个字符的密码会更具挑战。

因此，大家开始用各种办法来确保能够更容易的记住密码。例如，用户的密码基本都会和常用的单词或者名字有关。

最近一项对600万个用户实际使用的密码的调查显示，10000个最常用的密码可以进入其中98.1%的账户。非随机密码使得黑客能够创建一个“常用密码字典”，里面包含常见密码词汇、短语、及衍生词，这样会使得破解密码的难度下降百万倍。

但非随机密码的存在还不是最大的问题，最大的问题在于密码的重复使用。据调查，每个互联网用户平均有26个账户，但只有5个不同密码。由于密码的重复使用，在一些安全度比较低的游戏或者社交网站上的密码就足以暴露个人银行密码。这样的事情在过去的两年频频发生，以至于现在互联网各种网站上成千上万的密码都可以被破解。

以上描述的这些破解方法是比较高明的，但暴力破解同样有效。目前，市场用于暴力破解密码的硬件在不断改进。密码破解专用机器装有虚拟化软件和高性能的图形处理器，可以在5.5小时内破解一个8位数的密码。

既然存在如此多的潜在威胁，我们期待用户能够采用更长更强的密码。但实际上却很难做到，因为在移动设备上输入较长密码非常困难。普遍而言，移动设备上的密码比个人电脑上密码弱。在标准键盘上，94个字符很容易就能被输出，但在移动设备上，仅仅是找“#”这个字符也许就需要翻阅好几个页面。用户在电脑上输入一个较强的十位数密码需要4~5秒，但是在键盘手机上需要7~10秒，在触屏手机上则要7~30秒。四分之一的用户表示为了节省时间，他们宁愿选择安全系数较低的密码。

中国密码安全隐患令人堪忧

中国密码泄露的威胁近年来开始不断升级。2011年12月，CSDN的安全系统遭到黑客攻击，成为中国互联网最大规模的用户信息泄漏事件。首先是600多万用户的登录名、密码及邮箱遭到泄露；继而，中国最大的社区论坛天涯网站4000万用户隐私遭到黑客泄露；随后，支付宝和一些银行的用户信息也被曝已经泄露。本次事件为中国密码安全敲响警钟。

CSDN事件凸显出中国用户对密码安全的防护意识极为薄弱。此次CSDN泄露的642万个数据中，“123456789”是用户最常用的密码，用户数达到了23.5万，占所有用户的3.66%；“12345678”是第二常用密码，用户数达21.2万位,占3.31%；“11111111”排名第三，用户数达7.6万，占1.19%。也就是说，即便是没有任何经验的菜鸟型黑客，用这三个常用密码进行三次简单的尝试，就能进入8%的账户。