說出來你可能不信，無密碼登錄賬號，有時候真的比密碼登錄安全。

每年都會有人細數微信的罪狀，其中一條必被提及的就是 PC 端永遠只能掃碼登錄，對比其他軟件賬號可以用密碼登錄并不方便。

畢竟很多時候，我登錄 PC 端微信的原因，就是因為我現在不方便用手機。。。

但是最近有一幫人干了一件賊賽博的事兒，讓感覺我們可能錯怪微信了。

網絡安全公司 Hive Systems 近日發布了其 2025 年密碼表，年表顯示，如果黑客擁有一張前段時間剛發布的 RTX 5090 的話，他們破解一個8位純數字的密碼只需要 3個小時。

而如果黑客們恰好財力雄厚的擁有 12 張 5090 的話，破解的時間能縮短到 15 分鐘。

也就是說，如果你還在使用8位純數字當密碼的話，理論上黑客只要花不到 20w 人民幣就可以在15分鐘內拿下你的賬號。

雖然好像也不會有人這么閑這么有錢，會拿 12 張 5090 來破解我價值不足 100 塊的賬號（bushi

但是表格里的另一個趨勢，還是引起了托尼的擔憂 —— 同樣是8位純數字的密碼，用4090 破解還需要 4 個小時，而用 5090 的話就能快一個小時？

我也順帶去查了下去年 Hive Systems 發布的年表，發現這些年來，用顯卡破解密碼的速度，可以說越來越快了。

在驚訝老黃這卡算力恐怖如斯的同時，托尼也忍不住在想 ——

你說現在的顯卡啊、處理器啊，一個個算力都這么猛了，是不是我們的賬號密碼是不是越來越不安全了？

像微信這樣跟我們的錢袋子息息相關的軟件，是不是出于這樣的考量，所以才這么執著于用掃碼登錄呢？

這還不只是托尼自己有過這樣的想法，1976 年，惠特菲爾德?迪菲（Whitfield Diffie）和馬丁?赫爾曼（Martin Hellman）在提出公鑰加密理論時指出：“密碼學的安全性依賴于計算復雜性，而算力的指數級增長可能顛覆這一基礎”。

惠特菲爾德?迪菲（Whitfield Diffie）和馬丁?赫爾曼（Martin Hellman）

不過回到 Hive Systems 這個實驗本身，我們可能還要了解一下，所謂的用顯卡暴力破解賬號密碼，到底是怎么一個過程。

其實 Hive Systems ，已經在他們的官網上講的非常清楚了。

首先各大平臺拿到我們的密碼之后，并不會以明文的形式存在服務器里。

就好比說，你的密碼是 “ password ” ，服務器并不會直接存儲這一串字母，而是用一個哈希值計算軟件，先加密一遍，變成 5f4dcc3b5aa765d61d8327deb882cf99，然后再存儲。

也就是說平臺保存的密碼不是密碼本身，而是密碼對應的是以哈希值，這樣做主要是防止有黑客攻破了服務器的安全防線之后，直接就能拿到用戶的賬號密碼。

圖片來源：天翼云-《實現數據列的加解密》

而且哈希值是不可逆的，因為用不同哈希值計算軟件得到的哈希值也有可能不一樣，所以即使黑客真的攻破了服務器，拿到了哈希值，也沒法直接知道密碼。除非黑客能同時破解哈希值的加密算法。

相信有這么厲害的黑客，還不如信我是秦始皇。

圖片來源：天翼云-《實現數據列的加解密》

所以，黑客想要進一步的話，也沒有更好的法子，只能嘗試去列出你鍵盤上所有字符的組合，然后對它們進行哈希運算，直到找到跟服務器偷來的哈希值一樣的組合。

這個組合很有可能就是正確的密碼，黑客這時候才會拿著試出來的這個密碼到登陸界面去嘗試登錄你的賬號。

說是黑客，手法好像也沒比咱一個個試行李箱密碼高明到哪里去啊。

而顯卡在整個過程中發揮的作用，更多的還是加快不同字母和數字組合的哈希值計算，讓黑客能夠盡快得出哈希值跟正確密碼匹配的字符組合。

畢竟我們都知道，顯卡干別的不行，最擅長的就是進行并行計算，一次性計算多個組合可以說是手拿把掐。

來源：NVIDIA-《在 GPU 上使用大規模并行哈希圖實現性能最大化》

聰明的差友們應該就要問了，既然是這樣，我多整幾個字符組合，既有大寫又有小寫還帶個標點符號不就得了，這樣黑客就得多試幾個組合。

這的確是不錯的提高賬號密碼安全的方式。

當然啦，光靠這樣的方式也還是不夠的，因為理論上，即使加了更多的字母和符號密碼，本質上都只是一堆字符組合，依舊能被暴力算出來，只是時間和算力的問題而已。

所以各大平臺，無一例外都在密碼的基礎上，引入了額外的安驗證機制，業內統稱為多因素認證（MFA）。

圖片來源：代碼講故事 - 《項目實戰詳細講解帶有條件響應的 SQL 盲注、MFA繞過技術、MFA繞過技術、2FA繞過和技巧、CSRF繞過、如何尋找NFT市場中的XSS漏洞》

顧名思義，多因素認證的意思，就是在賬號密碼的基礎上，引入別的認證機制實現登錄，大家比較熟悉的指紋識別登錄和面部登錄，還有掃碼驗證這些都屬于多因素認證。

除此之外還有短信驗證碼、硬件令牌等等。

短信驗證碼的技術原理大家應該比我還清楚了，實際上就是服務器給用戶發一個臨時性的密鑰，等用戶輸入之后再拿來跟剛剛發出去的對比，對上了就說明 “ 他是對的人 ”。

圖片來源：bboyzqh-《簡析發送手機驗證碼原理》

我們開頭提的掃碼實現思路也有相似之處，細究起來，實際上是將用戶的手機賬號當成了開鎖鑰匙，默認用戶能夠進入手機拿到驗證碼，能夠掃碼，就說明用戶已經通過了PIN、指紋或面部識別驗證，基本就可以確保是在機主本人操作。

相比之下，指紋識別跟面部識別的這種生物特征認證方式會更加復雜一點，大家感興趣的話以后有機會可以單開一篇帶大家的復習一下這兩種認證方式，是怎么保證安全登錄的。

圖片來源：成都有范-《蘋果測試帶有屏幕指紋傳感器的iPhone，或與面部識別共存》

不管是哪一種多因素認證方式，他們的核心邏輯都大差不差，那就是給賬號再上一道鎖，讓用戶在登錄時除了輸密碼這種 “ 知道的東西 ” 之外，還得再驗證 “ 擁有的東西 ” 。

這樣就大大地提高了黑客破解的門檻，手機號接收驗證碼、面部還有指紋這些，可不像一串密碼一樣，光靠幾張顯卡硬算就能算出來的。

早在2020年，微軟的工程師RSA安全會議上提到過，多因素認證可以抵擋掉絕大多數的自動化賬戶攻擊，他們每個月追蹤的被攻擊賬戶中，99.9% 都沒有使用多因素身份驗證。

圖片來源：站長之家-《微軟：99.9％的被黑賬戶沒有使用多因素身份認證》

不用四舍五入都可以說是被攻擊全因為用戶依舊執著只用密碼認證，沒用多因素認證。

而在企業應用領域，多因素認證的作用就更大了。

一家名叫 JumpCloud 的公司，在它的《2024年IT趨勢報告》聲稱，83%的組織對某些IT資源采用基于密碼的身份驗證方式的同時，還要求使用多因素身份驗證，另外超過三分之二（66%）的組織要求使用生物識別技術。

來源：jumpcloud- < 2025 Multi-Factor Authentication (MFA) Statistics & Trends to Know >

然而這并不代表著，多因素驗證就是牢不可破的。

一個叫 Beyond Identity 的網站就列舉了十大繞過多因素身份驗證的經典案例，眾多多因素認證方案翻車的平臺里，不乏有微軟、Uber 這樣的全球性大平臺。

但不管怎么說，多因素認證都是是要比純密碼認證更加安全的。

所以以后登錄賬號，不管是啥平臺，建議大家能掃碼就掃碼，能指紋就指紋，總之別再盲目相信純密碼的安全性啦。

不過話又說回來，以咱現在這個記憶力，即使不是出于安全考慮，我估計也沒法用密碼登錄。

畢竟那么多賬號，誰記得住哪個賬號的密碼是哪個（狗頭

撰文： 施昂

編輯： 面線&米羅

美編： 煥妍

圖片、資料來源：

Corey Neskey - < Are Your Passwords in the Green? >站長之家- 《微軟：99.9％的被黑賬戶沒有使用多因素身份認證》

The Top 10 MFA Bypass Hacks 十大多因素身份驗證繞過技巧

成都有范-《蘋果測試帶有屏幕指紋傳感器的iPhone，或與面部識別共存》

代碼講故事 - 《項目實戰詳細講解帶有條件響應的 SQL 盲注、MFA繞過技術、MFA繞過技術、2FA繞過和技巧、CSRF繞過、如何尋找NFT市場中的XSS漏洞》

jumpcloud- < 2025 Multi-Factor Authentication (MFA) Statistics & Trends to Know >

NVIDIA-《在 GPU 上使用大規模并行哈希圖實現性能最大化》

天翼云-《實現數據列的加解密》

Corey Neskey- < Are Your Passwords in the Green in 2024? >