下次你被迫输入密码时，特别是当网站要求你使用大写字母和小写字母、数字或符号的疯狂组合时，不要假设这些试图混淆的尝试会自动地意味着密码是不可思议的和安全的。

Webroot的高级安全分析师randyabrams进行了一些简单的测试。他计算了你可以在一个8个字符的密码中创建的所有可能的密码，包括数字、大小写字母和符号(这是95^8个可能的组合，结果是6634204312890625，或者说是6.6万亿。）

让我们假设有人试图通过典型的暴力攻击找出你的密码。假设他们每秒可以测试大约310亿个密码。破解你相当复杂的8个字符的密码最多需要212903秒。那是3548分钟，大概两天半。

现在，让我们讨论一下约束。假设您使用的服务要求您拥有一个8个字符的密码。艾布拉姆斯指出，这使得70.6万亿密码的混合，因为每个密码从一个字符长到七个字符长现在是无效的。这为破解工具节省了2277秒，也就是近38分钟。还不错。

如果以安全的名义，你使用一个8个字符的密码（用于记忆），而一个服务强迫你使用大小写字母以及符号呢。这样更安全，对吧？这是一个更复杂的密码，这使得攻击者更难破译？不完全是。正如艾布拉姆斯所指出的，你刚刚将潜在的密码池削减了18.5%，例如删除了所有小写密码之类的项目。最多两天，系统在我们的场景中嗅出你的密码。

如果服务还要求您在密码中有一个数字，并且您接受它的建议，只需这样做，将您的“复杂”密码保持在仅8个字符，您就可以将潜在密码剪切为一个暴力工具需要猜测的大约41%。在我们的场景中，这将最大时间缩短到34小时，或者仅仅是一天半。

Abrams建议，与其担心如何让较短的密码更难猜测或使用暴力，不如选择较长的密码，因为即使服务有密码限制，它们的影响也会小得多：

“您可能已经注意到，对较长的密码几乎没有影响。通常，对长密码施加限制也没有什么价值。这是因为密码中的每个附加字符都会使密码池呈指数级增长。仅使用小写字母的16个字符密码的组合是使用所有4个字符集的8个字符密码的650万倍。这意味着“toodle**ypoodles”比“toodle**ypoodles”更难破解I81B@gle’”

你可能不应该使用三个单词的密码短语，而应该坚持使用大量单词的密码短语，如果你要这样做的话，任何长度都可以。

更好的方法是，为您的密码管理应用程序使用一个长的密码短语（这不仅仅是一个著名的引语或相当常见的短语），使用双因素身份验证添加第二层安全性（从应用程序或其他硬件设备生成的令牌，而不是通过文本消息接收的登录代码），然后使用密码管理器为所有其他服务生成16个以上字符的密码，其中包含大小写字母、数字和符号。疯狂吧。

如果你想注册一个只允许你有限制的短密码的东西，特别是如果你只需要使用一个数字，那就紧张起来。如果你幸运的话，也许你也可以在那里设置2FA，以提高安全性。