如何选择安全的密码并记住它们

本文已更新。最初发表于 2017 年 3 月 27 日。

又一天，又发生了一起重大数据泄露事件——又有一篇文章建议你加强密码。这些秘密信息是我们所有重要在线账户的钥匙，从社交网络到电子邮件收件箱再到银行账户。

这就是为什么选择强密码并妥善管理它们如此重要。这可能是保护您的身份安全与让您的信息落入黑客手中的区别。您的密码不是您需要考虑的唯一安全措施，但它是最重要的措施之一。

不幸的是，我们中的许多人在选择密码方面相当糟糕。我们倾向于选择容易记住的密码，因此也容易猜到，而且我们倾向于反复使用它们。如果你想加强个人密码的安全性，请继续阅读。

最佳密码实践

为您的在线帐户选择密码与为秘密社团选择密码没有什么不同：它必须让成员难以忘记，并且让任何想闯入的人都无法猜到。

如果您使用“123456”或“password”，那么您将面临风险，因为数百万其他人也在使用这些明显的组合。这些是大多数黑客在尝试“password1”和“passw0rd”之前会首先尝试的选项。

选择不容易从您的公开数据中猜出的字母和数字组合也很重要。例如，快速扫描您的 Facebook 页面就可以让黑客知道您的出生日期，甚至知道您住在哪条路上。因此，将这些信息组合成密码并不会让密码无法猜出。

[相关：Twitter 即将向无密码未来​​迈出一大步]

另一个最佳做法是选择长度至少为 10 个字符的密码。密码越长越好；字母、数字和特殊字符的组合越密集越好；越无意义越好。想想一个四位数的代码，只使用数字而不使用其他任何内容：有 10,000 种可能的组合，但只要再添加一位数字，组合数就会增加到 100,000。添加字母和特殊字符，将密码扩展到 10 个字符甚至更多，您就会发现每个额外的字母都很有用。

那么，您该如何选择这个神秘的组合呢？安全专家 Bruce Schneier 建议将一个随机的句子（不是名言或短语）变成您的密码。例如，“我们喜欢收到奶奶的电子邮件，但她很少写电子邮件。”是一个独特的句子，可以通过取每个单词的首字母变成“Wlge-mfG,bsrw0。”（“e-mail”除外，它会变成“em”，而“o”会变成“0”）。结果是密码由随机字母、数字、符号和大量数字组成，只要记住完整的句子，您就能轻松记住它。

当然，既然我已经在发表的文章中写下了这个潜在的密码，它就不再安全了——但你可以用自己的句子轻松地自己做这个技巧。你也不需要取每个单词的首字母。我本可以将“love”改为“l”，而不是“<3”。Schneier 的其他一些例子包括：

• WIw7,mstmsritt... = 我七岁的时候，姐姐把我的毛绒兔子扔进了马桶。
• 哇...doestcst = 哇，那沙发闻起来很难闻。
• Ltime@go-inag~faaa！= 很久以前，在一个距离并不遥远的星系中。

如果您仍不确定密码是否安全，许多网络服务会在您创建密码时告诉您密码强度。它们还会防范“暴力破解”攻击，即快速连续尝试多个密码。

另一个重大的密码错误是多个账户使用相同的密码。用秘密社团的比喻来说，这意味着黑客只需闯入安全性最弱的俱乐部，就可以同时访问您的所有俱乐部。如果您对主要电子邮件帐户使用不同的密码，那么三年前使用的旧帐户被黑客入侵并不重要。但如果密码相同，您就会遇到问题。

帮助您记住所有帐户密码的一个方法是，在多个服务中使用一组随机或难以猜测的字母和数字，但每次都稍微调整组合。同样，这需要以一种您能记住但其他人无法猜到的方式完成。如果您的 Twitter 密码是“Wlge-mfG,bsrw0.Twitter”，而您的 Gmail 密码是“Wlge-mfG,bsrw0.Gmail”，那么您的安全性就不是特别高。

那么你如何记住哪个密码对应哪个帐户？我们绝对建议不要在任何地方写下你的密码，因为这就像把你所有在线身份的万能钥匙放在一个地方。幸运的是，有更安全的方法来跟踪所有这些密码，并使它们尽可能强大。

管理您的密码

如果您现在认为自己永远都记不住所有需要记住的密码，请不要惊慌——帮助就在眼前。您的网络浏览器包含一些基本的密码管理选项，可以减轻您大脑的负担，您还可以选择升级到独立的密码管理器。

首先，最好为所有账户添加两步验证。这是额外的保护层，使密码不那么重要，因为它只能与附加代码一起使用（通常发送到您经过验证的手机）。这就像需要门票和密码才能进入您的秘密俱乐部，而且大多数在线帐户（从 Google 到 Facebook）都支持它。

大多数浏览器默认包含密码管理选项，因此您可以在 Google Chrome、Mozilla Firefox 和 Microsoft Edge 中找到一个。您可能已经通过弹出框询问您是否希望浏览器记住密码来遇到它们。这些密码通常可以在不同的计算机之间同步，这样您就不必每次都记住登录详细信息。

[相关：你应该开始使用密码管理器]

只要您的浏览器访问是安全的，这些功能就足够安全。否则，任何加载您的网络浏览器的人只需点击几下鼠标就可以进入您的帐户。实际上，这意味着确保您在 Windows 和 macOS 上设置了自己的受密码保护的用户帐户，这可以有效防止其他人访问您的密码缓存。

为了更全面地整理密码，请设置专用的密码管理器程序。这些应用程序（有很多可供选择）会将您的密码存储在多台计算机和移动设备上，并且通常还能帮助您选择强密码。与写下的密码列表不同，密码管理器中的所有内容都将加密并受一个主密码保护。

大多数密码管理器都是免费使用的，但高级功能需要付费才能使用。为了获得更多保护，它们通常还会与两步验证服务配合使用。许多密码管理器还会为您存储其他敏感信息，包括 Wi-Fi 代码、信用卡号等。

您无需在网上寻找密码管理器的评论和小组测试，但 LastPass 是规模最大、最受尊敬的服务之一。它允许您在多台设备上管理无限数量的密码，并提供额外功能（如更多注册移动设备和优先支持），每月收费 3 美元。

另一个完善的解决方案是 1Password，它不是免费的，但提供免费试用。您每月支付 3 美元即可为一个人在所有设备上无限存储密码，家庭计划每月 5 美元。我们还建议您在寻找适合您的密码管理器时查看 Dashlane 和 Keeper。