新的一年即将来临，数百万人仍在使用绝对糟糕的密码。不一定要这样。你将使今年成为优秀密码年，我们将向你展示如何。

你怎么知道我的密码很糟糕？

我们知道你个人的密码很糟糕吗？不，你可能是少数了解良好密码卫生重要性的人之一，并且实际实现了一个系统来达到这个目的（对你有好处）。我们知道吗，总的来说，普通人使用可怕的密码？是的，是的。

我们怎么知道的？因为有些公司会收集每年（相当不幸）发生的所有数据泄露的所有密码转储并分析密码。这些密码转储通常包括几十万到数百万个密码，很容易了解人们使用的密码类型（以及他们对密码安全的重视程度）。

SplashData（SplashData个人密码管理器和TeamID企业密码管理系统的**商）是一家特殊的公司，自2011年以来，该公司一直在编制和发布人们最常用的密码列表。以下是2011年、2012年、2013年、2014年和2015年的名单。虽然您可以自己去查看所有列表，但我们还是冒昧地为您列出了每年的前十名：

没错：过去五年最流行的密码是“password”和“123456”。这个列表上没有一个条目是尝试使用好的密码，它们只是纯粹的懒惰。更糟糕的是，随着时间的推移，几乎没有什么变化。（有趣的是，在过去的五年里，龙已经超过了猴子。）

考虑到自2011年以来发生了多少引人注目的数据泄露事件，您可能会认为，您至少会看到一个向更好的密码蔓延的边缘。但显然，数百万人仍在使用密码，这些密码非常微不足道，你甚至不需要使用高级工具来破解它们；你只需猜测它们，就像你在90年代一个写得不好的电视节目中是一个过于聪明的黑客一样。

你可能在看列表，拍自己的背，因为你不使用如此荒谬简单的密码，但你的密码真的更好吗？在任何人开始过于热烈地祝贺自己之前，让我们回顾一下什么是好密码。

什么是好密码？

良好的密码卫生规则并不复杂，而且随着时间的推移也不会有太大的变化。尽管如此，很少有人真正忠实地追随他们。下面是一个好的密码：

长度。好的密码很长。一般来说，密码越长，使用暴力破解和字典破解就越困难（当然也更难猜测）。您应该始终努力超出最小密码长度。如果网站上说你需要一个至少六个字符的密码，就把它改长一点。

复杂性。一般来说，你应该避免使用简单的词语。避免使用字典中的单词、地名和专有名词。你的中间名，你的狗的名字，一个州的名字，一个流行的音乐家，都是可怕的密码组件，因为它们可能已经在密码破解者使用的表格和文件中了。如果你在密码中使用“狗”、“房子”或“蓝色”这样的词，你应该在同一个密码中使用至少四个这样的词，并且以一种减少被暴力攻击的可能性的方式，比如“MyDog$house！“蓝色”。

独特性。这是最大的一个，也是大多数人会被绊倒的一个。比简单地拥有一个好的密码更重要的是为你访问的每个站点使用不同的密码。你可以拥有世界上最好的密码，一个如此神奇的密码，一台超级计算***它需要几十年的时间，但如果一家公司的整个系统遭到破坏，黑客发现了它，他们就知道了，他们可以访问你使用它的任何帐户。

相关：如何创建强密码（并记住它）

我们再怎么强调这一部分也不为过。如果您在多个站点上使用相同的密码，并且其中一个站点被泄露，那么ne'er-do-well可以像您一样登录这些站点中的任何一个。如果你在多个网站上使用了相同的密码，并且该密码也是你的电子邮件地址所使用的密码，那么你就会受到伤害。不仅可以（而且很可能会）你的个人电子邮件被泄露，而且攻击者可以在你拥有的任何帐户上重置密码。在这一点上，你几乎给了攻击者你房子的钥匙。

现在，您可能会嘲笑这样一种想法，即您甚至可以满足我们上面概述的基本要求。您访问的每个站点都有一个长的、复杂的、唯一的密码？但是有这么多的网站！你怎么可能把100个不同的密码都整理好呢？这使我们进入了密码卫生改造的下一步：使用密码管理器。

你需要一个密码管理器

曾几何时，你的大脑中可能有一些密码需要处理。你在家里和工作中都会记录你的电脑登录信息，也许在网上购物的早期亚马逊和eBay，当然还有你的银行登录信息。因为只有不到一把的密码，回忆起来很容易记住一些强密码。

然而，那些日子早已一去不复返了。从账单支付到购物，再到产品注册和软件更新，各种各样的在线服务层出不穷，这确保了即使是临时用户也有几十个登录名和密码来保持畅通。在某些情况下，它甚至在数百（我目前有超过300登录/密码在我的个人收藏）。在地球上没有任何人可以跟踪数以百计的唯一密码。见鬼，我知道有几个人只有一对，但偶尔还是会忘记他们。（“我看看，是猴子！还是monkey1？还是猴子身上有大写字母M？呃，我再重新设置一遍。”）

相关：为什么你应该使用密码管理器，以及如何开始

在这个时代，一个好的密码管理器是至关重要的。密码管理器很快就解决了困扰现代密码使用的所有问题。使用像LastPass这样的密码管理器可以确保您可以轻松地为您使用的每个服务创建、使用和调用长的、强的和唯一的密码。事实上，一个好的密码管理器可以在你的电脑和**上工作，并且可以在你不动手指的情况下自动让你登录所有的东西，这样你就不用再输入密码了。既方便又安全。

考虑到我们都需要跟踪的登录次数、数据传输频率以及重复使用相同密码（尤其是敏感站点）所产生的问题数量，没有理由不使用密码管理器生成和存储安全密码。如果您不熟悉密码管理器的概念，或者您担心使用完全基于云的系统，请查看您的指南为什么应该使用密码管理器以及如何开始。

你需要双重认证

因此，您已经安装了密码管理器，并为您使用的每个站点生成了唯一、复杂的密码。你是摇滚明星。但是，在新的一年里，你应该优先考虑密码安全难题的最后一块：双因素身份验证。

相关：什么是双因素认证，为什么我需要它？

双因素身份验证很简单：它只意味着您需要两种不同类型的身份验证才能登录到一个站点。具有密码的帐户具有单因素身份验证：您只需要密码即可获得访问权限。具有双因素身份验证的帐户需要两件事：您的密码，以及输入公司发送到您**的6位PIN。这使得人们更难侵入你的帐户。即使你的密码被泄露，他们也无法登录你的帐户，因为他们没有你的**。

双因素身份验证在银行网站、大型零售商（如Amazon）以及面向安全的网站和服务（如LastPass）中越来越普遍。如果您使用的服务提供双因素身份验证，通常没有理由不利用它。在最低限度上，您需要使用双因素身份验证的任何服务的妥协（如您的银行或您的密码管理器）会造成严重的困难或身份盗窃的风险。查看我们的双因素身份验证指南，了解有关如何设置它的更多信息。这是你能做的最好的事情之一，以保持你的帐户安全。

好的密码实践并不迷人，但它们是非常必要的。不要再让一年过去了，你发现自己在电子邮件登录和银行都输入了完全相同的密码，同时又在想“伙计，我真的应该停止在所有事情上使用相同的密码了。”明年，当又一轮的数据泄露产生另一个最糟糕的密码清单时，你甚至不应该感到痛苦担心。因为你所有的密码都会被平方化：长、复杂、唯一。

图片来源：意大利汽车公司。