每个人和他们的母亲都有一个密码安全策略，有些比其他更好。选择一个正确的方法意味着权衡安全和方便，这样你就可以在不失去理智的情况下保持安全。但最好的平衡是什么？每个人都一样吗？在一位安全专家的帮助下，我决定查明真相。

多年来，我们发布了一些密码安全提示、技巧和技巧，从简单的令人难忘到完全偏执。尽管我一直使用强大的密码，但我的许多同事不遗余力地提高了他们的安全性，远远超过了我的。我知道我的密码需要审核，但我的同事们提出的安全措施似乎令人沮丧和不便。我想要安全，但不需要麻烦。为了找出安全性和便利性的最佳组合，我决定在安全和调查专家brandongregg的帮助下，对我们推荐的所有方法进行审核。然而，在开始之前，我们需要知道是什么使我们的密码易受攻击。

导致弱密码的三个变量

布兰登解释说，弱密码有三个变量，每个变量都会使它们更容易受到攻击：

1. 一个容易猜到/破解的密码：布兰登说，“有了AmazonEC2、GPU*，以及Accessdata的分布式网络攻击（DNA）这样的软件，每秒猜测50亿密码是很容易的。我个人记录是每秒3.7亿次猜测并不疯狂，但比大多数执法机构都要好。似乎有些网站，比如Twitter，只要每次尝试的“密码猜测”都来自随机IP地址，就允许对用户帐户进行这种暴力攻击，“每秒可能有这么多猜测，您不需要容易破解的密码。”。在后面的文章中，我们将讨论哪些方法产生最安全和可靠的密码。
2. 一个容易忘记的密码：如果你记不起来，你的密码就帮不了你了。布兰登说，“总是重置你难以记住的密码，只会导致更多的错误和暴露在未来。”
3. 一个密码提供了对许多站点的访问：对所有的站点使用相同的密码意味着如果黑客破解了你的一个帐户，他们已经破解了所有的帐户。

*GPU或图形卡用于暴力破解密码，因为它们处理并行计算的方式不同。一个GPU或一组GPU的**成本相当低，而且猜密码的速度比它们的CPU兄弟快数倍。

消除这三个变量中的一个或两个并不需要太多的努力，但是消除这三个变量会给我和许多人带来更大的不便。虽然没有安全策略缺乏漏洞，但在本文中，我们将审核几种类型的密码，从弱密码和强密码以及管理它们的方法，以找出什么最方便，什么最安全。

密码安全的四个级别

最不安全：简单字母数字密码

最薄弱的密码类型包括数字和字母的组合，或者只有一个密码。记住一个单词、你的电话号码或者两者都很容易，但是这些密码很容易破解。现有的软件在猜猜字典单词、电话号码甚至两者的组合时都没有困难，特别是当密码在8个字符以下时。

也就是说，你不会忘记一个简单的密码。如果你把它用于你拥有的每一个账户，你就不必记得太多了。当然，这是非常不安全的。如果使用一个简单而简短的密码，尤其是在许多帐户中，你就离完全不使用密码不远了。有关为什么弱密码容易破解的更多信息，请阅读本文。

例如：查理，辣妹，8675309，玛丽212

有点安全：复杂的8个以上字符的密码

复杂的密码需要更多的努力来键入，但它们也需要更多的努力来破解。复杂密码至少由八个字符组成。应包括大写和小写字母、至少一个数字和至少一个符号（例如！、？、@、，等等）。你也应该避免在字典里使用一个词（例如哑剧）→ p@nt0m!我）。用一个短语作为出发点是更好的，但也不是完美的（例如“我爱山羊”）→ iLuVg0@ts).

当您为每个站点使用唯一的密码时，此方法将失败，因为您必须记住许多复杂的字母、数字和符号字符串。

示例：t@lk4Ev3r!, iLuVg0@ts有没有过？！

非常安全：具有唯一标识符的公共复杂基本密码

你不容易记住一个冗长、复杂的密码，所以为每个帐户使用不同的密码是行不通的（除非你也使用密码管理器，但我们稍后会讨论这个问题）。然而，只要记住一个，事情就容易多了。它也会降低密码的安全性，除非您添加一个唯一的标识符。唯一标识符可以与站点相关，这样您就不会忘记它。例如，如果您使用iLuVg0@ts 作为您的通用基本密码，并且您希望为Gmail创建密码，您可以使用iLuVg0@ts-gmail. 布兰登更喜欢这种方法：

使用公共基本密码加上站点名称实际上会删除所有三个变量。由于长度原因，它不会被字典或暴力攻击破解。如果Linkedin被泄露，你的Gmail将保持安全，最后你不会忘记你的密码。这是最好的选择。

示例：iLuVg0@ts-gmail, iLuVg0@ts-linkedin, iLuVg0@ts-facebook

当然，如果一个精明的黑客破解了一个密码，他们可能会找出其他密码。布兰登建议：

在我自己的密码中，我把“站点”密码与GMAIL或LinkedIn的直接标签混淆了，而是与GMAIL的电子邮件或LinkedIn的简历混淆了。如果你的账户被泄露了，很容易记住，但是很难猜测。

示例：iLuVg0@ts-email, iLuVg0@ts-resume, iLuVg0@ts-friends

对于通用的basename密码，您还有另一个安全的选择：使用带空格的三个单词短语（例如“山羊爱gmail”）。这种方法可能看起来不太安全，因为它包含简单的字典单词，但它的工作原理是使用空格(您可以在这里阅读更多关于三字法的内容。）Brandon指出，由于网站和应用程序如何限制您的密码选项，这种方法有时会失败：

三个单词的方法是个好主意，但受到许多网站和应用程序的限制。它解决了难以破解的问题和容易妥协的问题，但不容易记住。为什么，你问？大多数网站不允许空格作为特殊字符，所以你只能使用“goats@love@gmail.“有些网站甚至阻止使用特殊字符的数量，因此您可能有一个应用程序允许密码，而另一个不允许。下一件事你知道你有五种不同的密码样式，你不记得哪个样式属于哪个登录。

例如：山羊喜欢gmail，goats@love@facebook，山羊！爱！品脱家

如前所述，两种解决方案都没有漏洞。如果您的所有站点都允许空格或不限制特殊字符，那么三字方法提供了更大的简单性。无论哪种方式，公共基本密码和唯一标识符都提供了安全性和方便性。

非常安全：双因素认证和密码，即使你不知道

没有哪个密码比一个冗长的、复杂的、无人知晓的字符串更安全。明显的问题？你不能输入你不知道的密码。像LastPass这样的密码管理器通过将所有密码存储在一个数据库中来解决这个问题，由您选择的唯一密码解锁。当然，正如布兰登指出的，这有一个主要缺陷：

就我个人而言，我担心任何密码管理器都会集中我的帐户。作为一个“监视”许多系统的人，我可以亲自告诉你，如果我捕获了你的最后一个密码，那就像打开一个包装精美的礼物。我本来只想瞄准你的Twitter帐户，但你只给我一站式的商店，让你的所有账户，甚至我不知道你有银行账户。谢谢你的最后一次通过和懒惰的用户。

使用密码管理器与为每个站点使用相同的密码存在类似的漏洞：你破解一个，你破解所有站点。尤其是LastPass，它非常努力地保护您的密码安全，但使用一个密码来管理所有密码会让您处于危险之中。解决方案是什么？双因素认证，你最近可能听说过。布兰登解释了它的工作原理：

双因素认证增加了一层几乎不可能绕过的安全性。使用了上面的密码选项后，Google（和其他网站）会向**发送一条短信。黑客们不仅很难明显地监视你的**（除非安装了FlexiSPY或其他**监控工具），它还让你有了被攻击的头脑。如果你在凌晨2点突然收到一条授权代码的短信，那可能是你前女友试图进入你的帐户的一个信号。

当使用LastPass这样的密码管理器时，您应该启用两因素身份验证，或者，正如Brandon所说，您可能会提供您的密码，作为一个包装良好的礼物。虽然我们经常认为这种方法比任何方法都能更好地保护您的帐户，但它也会给您带来最大的不便。你需要决定这是否对你有影响。

我如何选择我最好的密码安全？

保护您的帐户意味着在方便和保护之间选择一个平衡点。如果你愿意忍受定期的安全检查，并使用随机生成的密码，你不知道，你可以把你的妄想症休息。大多数tl80的作者和编辑使用这种级别的密码安全，因为他们不想承担风险，也不想在额外的努力中发现什么不便。事实上，许多人已经适应了新的方法，并没有发现双因素认证是不方便的。你可能也有同感。

就我个人而言，我觉得这种方法过分，负担太重。因此，我选择了上面描述的第三级安全（“非常安全”）有两个原因。首先，使用需要密码管理器的方法需要信任其他人来管理您的数据。当你把你的数据给别人时，你会冒着他们可能丢失或共享数据的风险（不管是有意还是无意）。如果你告诉过朋友一个秘密，你就知道潜在的风险。唯一保守得好的秘密就是你自己。虽然你不能完全避免分享你的信息，因为那样会导致可怕的隔离生活，但我相信你应该把分享信息的数量控制在最低限度。第二，我希望能够很容易地访问我的数据，我可以承担一些风险。作为一个经历过艰难困苦的人，我不相信尝试过没有风险的生活。坏事发生了。我们应该采取合理的措施来预防，但有时还是会发生。对我来说，一点点额外的安全性是不值得的不便。

你应该选择什么？布兰登很好地总结了决策过程：

安全并不总是关于谁有最好的警报器、最高的围栏或最新的技术。在安全性中有许多经常被人们忽视的变量，包括成本和便利性。我们可以通过完全加密、生物阅读器和多级授权锁定我们的计算机、电话和互联网，但如果你不评估自己的实际风险，你很容易被高成本和缓慢访问所拖累。虽然双因素身份验证目前是保护数据的最佳方法之一，但为第二级授权增加的时间可能会成为一种麻烦，甚至可能会造成过度杀伤力。你害怕中国窥探你的Gmail吗？如果不是，则不需要双因素身份验证。你真的担心你的储蓄账户会被黑客入侵吗？在所有提供双重身份验证的银行网站上使用双重身份验证。更好地了解您的风险，以便更好地选择所需的安全级别。

你想承担的风险程度取决于你的个人需要和你愿意承担的风险程度。只要记住，虽然你可以实现极端的安全协议，没有什么可以阻止黑客的可能性。一切都是脆弱的。备份数据。密切关注你的账户。安全不仅仅是用好的密码锁定所有东西。你应该做好最坏的打算。然而，与此同时，锁定你的账户，这样对你来说就足够安全，也能很好地融入你的生活。

特别感谢布兰登·格雷格的专家建议。布兰登在过去的12年中为众多财富500强公司从事调查工作，调查盗窃、欺诈、有组织犯罪、企业间谍活动和许多引人注目的案件，同时也是一名教育工作者、出版作家，并在监视、计算机取证、复杂调查和道德黑客方面担任特邀发言人。你可以在这里找到更多关于他的信息。

edel（Shutterstock）和Stock Elements（Shutterstock）的照片。