快停止使用簡(jiǎn)單的密碼吧！下面的內(nèi)容將為您展示如何創(chuàng)建無(wú)數(shù)的、易牢記的強(qiáng)大而簡(jiǎn)單的密碼。

即使有了智能卡、生物識(shí)別技術(shù)和其它多因素身份驗(yàn)證解決方案，但是基本的賬戶/密碼登陸的組合依然必不可少。安全專家總是建議使用“高強(qiáng)度密碼”。但是，什么樣的密碼才算是高強(qiáng)度密碼呢？應(yīng)當(dāng)具備什么條件呢？你如何避免因密碼過(guò)于復(fù)雜而忘記呢？

依據(jù)NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所）的標(biāo)準(zhǔn)，一個(gè)高強(qiáng)度密碼所包含的字符應(yīng)該不少于12個(gè)，這是由美國(guó)政府在2007年所通過(guò)的標(biāo)準(zhǔn)，并進(jìn)一步明確了美國(guó)政府密碼配置的基線。管理員的密碼應(yīng)該是15個(gè)字符。讀者肯能會(huì)對(duì)這個(gè)長(zhǎng)度嘆口氣，但這已經(jīng)是五年來(lái)被推薦的長(zhǎng)度中最短的了。任何比這個(gè)標(biāo)準(zhǔn)短的密碼都被認(rèn)為是不安全的。

當(dāng)然，很多人都在使用更短的密碼。但是，你應(yīng)該知道，隨著時(shí)間的推移，增加長(zhǎng)度的密碼可以為你提供更多的保障。一個(gè)8個(gè)字符的密碼可能為你提供幾天的保護(hù)，而一個(gè)12個(gè)字符的密碼普遍認(rèn)為能夠提供最多90天的保護(hù)。15個(gè)字符的密碼通常被認(rèn)為能夠提供一年的良好保護(hù)。

復(fù)雜性只是個(gè)神話

大多數(shù)安全準(zhǔn)則依然堅(jiān)持字符復(fù)雜化的方針，這通常意味著密碼必須包含多個(gè)字符集，如大寫字母、數(shù)字、符號(hào)鍵盤等等。而正如我之前所說(shuō)，復(fù)雜性并沒(méi)有長(zhǎng)度重要。若密碼擁有了足夠的長(zhǎng)度則可以戰(zhàn)勝密碼破解器或解密高手，而復(fù)雜性的大量增加只是體現(xiàn)了隨機(jī)或者接近隨機(jī)的價(jià)值。

通常情況下，當(dāng)用戶被迫增加密碼的復(fù)雜性時(shí)，他們會(huì)使用相同類型的字符在同樣的地方。例如，當(dāng)人們需要設(shè)置某個(gè)常見(jiàn)的8字符復(fù)雜密碼時(shí)，大多數(shù)人會(huì)選擇自己國(guó)家語(yǔ)言的詞根，第一個(gè)字母會(huì)用大寫（通常是個(gè)輔音），其次會(huì)是一個(gè)小寫元音字母。如果他們使用數(shù)字，通常會(huì)是一個(gè)“1”或者“2”，并放置在密碼的最后。如果他們使用符號(hào)，極有可能會(huì)是一個(gè)極少數(shù)的字符放置在中間某個(gè)地方，經(jīng)常更換一個(gè)字母相似的形狀：@或零更換“O”，“i”替換成“！”等等。

密碼破解者很清楚這些用戶習(xí)慣，他們對(duì)密碼破解工具進(jìn)行了優(yōu)化，添加這些規(guī)則進(jìn)行密碼猜測(cè)。一些安全專家，包括我在內(nèi)，通過(guò)對(duì)大型轉(zhuǎn)儲(chǔ)捕獲密碼的分析，可以發(fā)現(xiàn)上述復(fù)雜密碼的規(guī)律，而且非常之多。

若是讓增加的復(fù)雜性顯示出真正的價(jià)值，密碼必須是獨(dú)特的、隨機(jī)的——類似%TV4$H@<P。但是，如果它們太過(guò)有難度，人們就會(huì)將它們寫下來(lái)或是忘記。遺憾的是，安全審計(jì)人員和相關(guān)規(guī)定（包括PCI DSS）要求密碼具備一定的復(fù)雜性。例如，我使用的金融網(wǎng)站最長(zhǎng)的密碼長(zhǎng)度為6個(gè)字符，但卻被迫要求使其更加復(fù)雜。這讓我想尖叫！我覺(jué)得Dogdogdogdog或Iforeverlovedogs這樣的密碼比那強(qiáng)多了！

設(shè)置密碼的竅門

有些人喜歡使用特殊的密碼保存方案，但我喜歡其它的方法，這對(duì)我來(lái)說(shuō)是更快的。在我所有的密碼當(dāng)中，會(huì)使用一個(gè)相同的根密碼（比如：TadPole），但每個(gè)密碼要具有不同的開(kāi)頭和結(jié)尾。一個(gè)網(wǎng)站是44TadPole44，另一個(gè)可能是TadPole32，而還有一個(gè)可能是AmazTadpole32On。此外，根據(jù)不同的網(wǎng)站你可以在根密碼上添加不同的前綴和后綴，方便記憶。

由于具有共同的根密碼，我可以輕松記住數(shù)百個(gè)不同網(wǎng)站的密碼。因?yàn)槊總€(gè)密碼是不同的，如果有攻擊者破解了我某個(gè)網(wǎng)站的密碼，雖然我的密碼具有共通性，但針對(duì)其它賬戶而言，那些密碼仍然是未知的。即使他們能夠得到我的通用根密碼，但他們也很難弄清楚我其它賬戶的那些密碼前綴和后綴。目前沒(méi)有一個(gè)密碼工具可以處理這類型的復(fù)雜密碼組合。

密碼重置問(wèn)題的設(shè)置

一個(gè)良好的強(qiáng)有力的密碼重置問(wèn)題也同樣非常重要。這類型的事件有很多（是否還記得薩拉·佩林電子郵件攻擊事件？），那些人并非是真正的黑客，他們只是做了一些研究，動(dòng)了動(dòng)腦筋，就能夠正確地猜測(cè)一個(gè)人的密碼重置問(wèn)題。在一般情況下，努力破解一個(gè)重置問(wèn)題的數(shù)量級(jí)要遠(yuǎn)遠(yuǎn)小于猜測(cè)一個(gè)密碼的數(shù)量級(jí)。因此，這是一個(gè)非常薄弱的環(huán)節(jié)。

所以，在某些時(shí)候你需考慮是否該如實(shí)填寫一些問(wèn)題。比如當(dāng)他們問(wèn)你母親氏族的姓氏時(shí)，你的第一輛車的品牌，或者你的出生地，你是不是有義務(wù)提供真正的答案。相反，對(duì)每個(gè)賬戶使用一個(gè)通用的密碼重置問(wèn)題，并記住我所使用的根密碼策略，改變相關(guān)的單詞或詞組，這樣你就可以記住每個(gè)賬戶或網(wǎng)站的密碼重置問(wèn)題的答案了，并且安全系數(shù)也很高。

現(xiàn)在，任何人都可以拋棄那些不安全的密碼了。如果你采納了我的建議，那么就可以減少黑客破解密碼的風(fēng)險(xiǎn)了。相信我，現(xiàn)在就開(kāi)始行動(dòng)吧。