快停止使用簡單的密碼吧！下面的內容將為您展示如何創建無數的、易牢記的強大而簡單的密碼。

即使有了智能卡、生物識別技術和其它多因素身份驗證解決方案，但是基本的賬戶/密碼登陸的組合依然必不可少。安全專家總是建議使用“高強度密碼”。但是，什么樣的密碼才算是高強度密碼呢？應當具備什么條件呢？你如何避免因密碼過于復雜而忘記呢？

依據NIST（美國國家標準與技術研究所）的標準，一個高強度密碼所包含的字符應該不少于12個，這是由美國政府在2007年所通過的標準，并進一步明確了美國政府密碼配置的基線。管理員的密碼應該是15個字符。讀者肯能會對這個長度嘆口氣，但這已經是五年來被推薦的長度中最短的了。任何比這個標準短的密碼都被認為是不安全的。

當然，很多人都在使用更短的密碼。但是，你應該知道，隨著時間的推移，增加長度的密碼可以為你提供更多的保障。一個8個字符的密碼可能為你提供幾天的保護，而一個12個字符的密碼普遍認為能夠提供最多90天的保護。15個字符的密碼通常被認為能夠提供一年的良好保護。

復雜性只是個神話

大多數安全準則依然堅持字符復雜化的方針，這通常意味著密碼必須包含多個字符集，如大寫字母、數字、符號鍵盤等等。而正如我之前所說，復雜性并沒有長度重要。若密碼擁有了足夠的長度則可以戰勝密碼破解器或解密高手，而復雜性的大量增加只是體現了隨機或者接近隨機的價值。

通常情況下，當用戶被迫增加密碼的復雜性時，他們會使用相同類型的字符在同樣的地方。例如，當人們需要設置某個常見的8字符復雜密碼時，大多數人會選擇自己國家語言的詞根，第一個字母會用大寫（通常是個輔音），其次會是一個小寫元音字母。如果他們使用數字，通常會是一個“1”或者“2”，并放置在密碼的最后。如果他們使用符號，極有可能會是一個極少數的字符放置在中間某個地方，經常更換一個字母相似的形狀：@或零更換“O”，“i”替換成“！”等等。

密碼破解者很清楚這些用戶習慣，他們對密碼破解工具進行了優化，添加這些規則進行密碼猜測。一些安全專家，包括我在內，通過對大型轉儲捕獲密碼的分析，可以發現上述復雜密碼的規律，而且非常之多。

若是讓增加的復雜性顯示出真正的價值，密碼必須是獨特的、隨機的——類似%TV4$H@<P。但是，如果它們太過有難度，人們就會將它們寫下來或是忘記。遺憾的是，安全審計人員和相關規定（包括PCI DSS）要求密碼具備一定的復雜性。例如，我使用的金融網站最長的密碼長度為6個字符，但卻被迫要求使其更加復雜。這讓我想尖叫！我覺得Dogdogdogdog或Iforeverlovedogs這樣的密碼比那強多了！

設置密碼的竅門

有些人喜歡使用特殊的密碼保存方案，但我喜歡其它的方法，這對我來說是更快的。在我所有的密碼當中，會使用一個相同的根密碼（比如：TadPole），但每個密碼要具有不同的開頭和結尾。一個網站是44TadPole44，另一個可能是TadPole32，而還有一個可能是AmazTadpole32On。此外，根據不同的網站你可以在根密碼上添加不同的前綴和后綴，方便記憶。

由于具有共同的根密碼，我可以輕松記住數百個不同網站的密碼。因為每個密碼是不同的，如果有攻擊者破解了我某個網站的密碼，雖然我的密碼具有共通性，但針對其它賬戶而言，那些密碼仍然是未知的。即使他們能夠得到我的通用根密碼，但他們也很難弄清楚我其它賬戶的那些密碼前綴和后綴。目前沒有一個密碼工具可以處理這類型的復雜密碼組合。

密碼重置問題的設置

一個良好的強有力的密碼重置問題也同樣非常重要。這類型的事件有很多（是否還記得薩拉·佩林電子郵件攻擊事件？），那些人并非是真正的黑客，他們只是做了一些研究，動了動腦筋，就能夠正確地猜測一個人的密碼重置問題。在一般情況下，努力破解一個重置問題的數量級要遠遠小于猜測一個密碼的數量級。因此，這是一個非常薄弱的環節。

所以，在某些時候你需考慮是否該如實填寫一些問題。比如當他們問你母親氏族的姓氏時，你的第一輛車的品牌，或者你的出生地，你是不是有義務提供真正的答案。相反，對每個賬戶使用一個通用的密碼重置問題，并記住我所使用的根密碼策略，改變相關的單詞或詞組，這樣你就可以記住每個賬戶或網站的密碼重置問題的答案了，并且安全系數也很高。

現在，任何人都可以拋棄那些不安全的密碼了。如果你采納了我的建議，那么就可以減少黑客破解密碼的風險了。相信我，現在就開始行動吧。