仅需一张游戏显卡，即可干掉所有密码

中英文泡椒

卡巴斯基前几天发了一份挺吓人的研究，他们拿 2023 到 2026 年间在暗网泄露出来的 2.31 亿个真实唯一密码做分析，然后用一张RTX 5090显卡去跑破解测试。



结果：

48% 的密码，1 分钟内就能被破解；

60% 的密码，1 小时内就能被破解；

68% 的密码，24 小时内就能被破解。

更要命的是，这还只是一张消费级显卡。



卡巴斯基这次测试用的是 MD5 哈希 ，MD5 是一种很老的密码保护算法，已经不适合保护密码，目前还在用 MD5 算法的网站少之又少，但现实世界最烦人的地方就在这里，总有旧系统

还在用不够安全的做法。到如今2026年，还有推荐使用IE访问的网站。



为什么是 RTX 5090？我的 Ryzen 9950X 16C32T 的旗舰处理器能不能干这个活？

【能，但是慢得多】

CPU 像一个很聪明的总管，擅长处理复杂任务；GPU 则像一整排计算工厂，适合把同一种简单计算同时做几万遍。



破解密码这件事，很多时候就是这样。猜一个密码，算一次哈希，对比一下结果。再猜一个，再算一次。它需要的不是聪明，是吞吐量。所以 hashcat 这类工具天然喜欢 GPU。把成千

上万个候选密码扔给显卡，显卡里面一堆核心同时干活。CPU 当然也能算，但核心数量不是一个量级。

回到密码本身，这件事最值得警惕的地方，不是密码破解门槛变得有多低，而是人类设置密码的习惯太稳定了。我们太喜欢用生日、纪念日、手机号后几位、姓名拼音，再加一个123

或者感叹号，很多人还会觉得，加了大写字母和符号，应该就安全了吧。

答案是，稍微好一点，但没有你想象中那么好。

因为攻击者不是从 aaaaaa 开始傻乎乎地穷举到 zzzzzz。他们会先跑最像人类会用的东西。比如常见单词加年份，拼音加生日，键盘顺序，a 变成 @，o 变成 0。我们以为自己很有创

意。算法觉得我们很好猜。



更麻烦的是密码复用。一个密码用在微博、邮箱、Steam、网盘、购物网站上，看起来省事，实际上是在把所有门都配成同一把钥匙。只要其中一个小网站被拖库，攻击者拿到已经破

解出来的密码，直接去别的平台批量登录就行。这就是撞库。

不是黑客坐在屏幕前看着你的头像说，今天就挑这个人下手。更多时候是机器拿着几千万组邮箱和密码，像扫街一样，一个个网站试过去。你不是目标，你只是批量数据里的一行。

那怎么设置密码安全？

我自己觉得，第一，密码要长，要唯一，要尽量随机。

这里反而不建议大家迷信那种八位密码，必须包含大小写、数字、符号的老套路。很多人最后会变成 Password@2026 这种东西，看着复杂，实际上非常像人类。更好的方式是用长密码，

或者用一串对你有记忆点、但对别人没有规律的短语。长度上去之后，破解难度会陡然上升。特别重要的账号，比如邮箱、Apple ID、Google 账号、微信、支付宝，别抠门，直接上 16

到 20 位以上的随机密码。

第二，不要把密码存在浏览器里。



我知道这句话可能会惹人烦，因为浏览器真的太方便了。点一下保存，下次自动填，跨设备同步，丝滑得不行。但方便的另一面，是它也成了恶意软件特别爱盯的地方。很多信息窃取木

马，就是专门去浏览器里翻保存的密码和 Cookie。浏览器自带的密码管理功能，不是完全没用。它比把密码写在桌面上的 txt 文件里强。但如果你认真对待这件事，它不是最好的选择。

第三，用专业密码管理器。



专业密码管理器的价值，恰恰是它能让你不再记 100 个密码。你只需要保护一个主密码，然后让它替你生成每个网站独一无二的随机强密码。



1Password、Bitwarden 都是比较成熟的选择。1Password 的体验和安全设计很完整，有 Secret Key 这一层额外保护。Bitwarden 的优势是开源，免费版够大多数人用，也支持 Argon2id

这类更抗暴力破解的密钥派生方式。

重点是别再靠脑子硬记十几个相似密码了。






@极客果核