快停止使用簡單的密碼吧！下面的內(nèi)容將為您展示如何創(chuàng)建無數(shù)的、易牢記的強(qiáng)大而簡單的密碼。

即使有了智能卡、生物識別技術(shù)和其它多因素身份驗(yàn)證解決方案，但是基本的賬戶/密碼登陸的組合依然必不可少。安全專家總是建議使用“高強(qiáng)度密碼”。但是，什么樣的密碼才算是高強(qiáng)度密碼呢？應(yīng)當(dāng)具備什么條件呢？你如何避免因密碼過于復(fù)雜而忘記呢？

依據(jù)NIST（美國國家標(biāo)準(zhǔn)與技術(shù)研究所）的標(biāo)準(zhǔn)，一個高強(qiáng)度密碼所包含的字符應(yīng)該不少于12個，這是由美國政府在2007年所通過的標(biāo)準(zhǔn)，并進(jìn)一步明確了美國政府密碼配置的基線。管理員的密碼應(yīng)該是15個字符。讀者肯能會對這個長度嘆口氣，但這已經(jīng)是五年來被推薦的長度中最短的了。任何比這個標(biāo)準(zhǔn)短的密碼都被認(rèn)為是不安全的。

當(dāng)然，很多人都在使用更短的密碼。但是，你應(yīng)該知道，隨著時間的推移，增加長度的密碼可以為你提供更多的保障。一個8個字符的密碼可能為你提供幾天的保護(hù)，而一個12個字符的密碼普遍認(rèn)為能夠提供最多90天的保護(hù)。15個字符的密碼通常被認(rèn)為能夠提供一年的良好保護(hù)。

復(fù)雜性只是個神話

大多數(shù)安全準(zhǔn)則依然堅(jiān)持字符復(fù)雜化的方針，這通常意味著密碼必須包含多個字符集，如大寫字母、數(shù)字、符號鍵盤等等。而正如我之前所說，復(fù)雜性并沒有長度重要。若密碼擁有了足夠的長度則可以戰(zhàn)勝密碼破解器或解密高手，而復(fù)雜性的大量增加只是體現(xiàn)了隨機(jī)或者接近隨機(jī)的價值。

通常情況下，當(dāng)用戶被迫增加密碼的復(fù)雜性時，他們會使用相同類型的字符在同樣的地方。例如，當(dāng)人們需要設(shè)置某個常見的8字符復(fù)雜密碼時，大多數(shù)人會選擇自己國家語言的詞根，第一個字母會用大寫（通常是個輔音），其次會是一個小寫元音字母。如果他們使用數(shù)字，通常會是一個“1”或者“2”，并放置在密碼的最后。如果他們使用符號，極有可能會是一個極少數(shù)的字符放置在中間某個地方，經(jīng)常更換一個字母相似的形狀：@或零更換“O”，“i”替換成“！”等等。

密碼破解者很清楚這些用戶習(xí)慣，他們對密碼破解工具進(jìn)行了優(yōu)化，添加這些規(guī)則進(jìn)行密碼猜測。一些安全專家，包括我在內(nèi)，通過對大型轉(zhuǎn)儲捕獲密碼的分析，可以發(fā)現(xiàn)上述復(fù)雜密碼的規(guī)律，而且非常之多。

若是讓增加的復(fù)雜性顯示出真正的價值，密碼必須是獨(dú)特的、隨機(jī)的——類似%TV4$H@<P。但是，如果它們太過有難度，人們就會將它們寫下來或是忘記。遺憾的是，安全審計(jì)人員和相關(guān)規(guī)定（包括PCI DSS）要求密碼具備一定的復(fù)雜性。例如，我使用的金融網(wǎng)站最長的密碼長度為6個字符，但卻被迫要求使其更加復(fù)雜。這讓我想尖叫！我覺得Dogdogdogdog或Iforeverlovedogs這樣的密碼比那強(qiáng)多了！

設(shè)置密碼的竅門

有些人喜歡使用特殊的密碼保存方案，但我喜歡其它的方法，這對我來說是更快的。在我所有的密碼當(dāng)中，會使用一個相同的根密碼（比如：TadPole），但每個密碼要具有不同的開頭和結(jié)尾。一個網(wǎng)站是44TadPole44，另一個可能是TadPole32，而還有一個可能是AmazTadpole32On。此外，根據(jù)不同的網(wǎng)站你可以在根密碼上添加不同的前綴和后綴，方便記憶。

由于具有共同的根密碼，我可以輕松記住數(shù)百個不同網(wǎng)站的密碼。因?yàn)槊總€密碼是不同的，如果有攻擊者破解了我某個網(wǎng)站的密碼，雖然我的密碼具有共通性，但針對其它賬戶而言，那些密碼仍然是未知的。即使他們能夠得到我的通用根密碼，但他們也很難弄清楚我其它賬戶的那些密碼前綴和后綴。目前沒有一個密碼工具可以處理這類型的復(fù)雜密碼組合。

密碼重置問題的設(shè)置

一個良好的強(qiáng)有力的密碼重置問題也同樣非常重要。這類型的事件有很多（是否還記得薩拉·佩林電子郵件攻擊事件？），那些人并非是真正的黑客，他們只是做了一些研究，動了動腦筋，就能夠正確地猜測一個人的密碼重置問題。在一般情況下，努力破解一個重置問題的數(shù)量級要遠(yuǎn)遠(yuǎn)小于猜測一個密碼的數(shù)量級。因此，這是一個非常薄弱的環(huán)節(jié)。

所以，在某些時候你需考慮是否該如實(shí)填寫一些問題。比如當(dāng)他們問你母親氏族的姓氏時，你的第一輛車的品牌，或者你的出生地，你是不是有義務(wù)提供真正的答案。相反，對每個賬戶使用一個通用的密碼重置問題，并記住我所使用的根密碼策略，改變相關(guān)的單詞或詞組，這樣你就可以記住每個賬戶或網(wǎng)站的密碼重置問題的答案了，并且安全系數(shù)也很高。

現(xiàn)在，任何人都可以拋棄那些不安全的密碼了。如果你采納了我的建議，那么就可以減少黑客破解密碼的風(fēng)險(xiǎn)了。相信我，現(xiàn)在就開始行動吧。