每個人和他們的母親都有一個密碼安全策略，有些比其他更好。選擇一個正確的方法意味著權衡安全和方便，這樣你就可以在不失去理智的情況下保持安全。但最好的平衡是什麼？每個人都一樣嗎？在一位安全專家的幫助下，我決定查明真相。

多年來，我們釋出了一些密碼安全提示、技巧和技巧，從簡單的令人難忘到完全偏執。儘管我一直使用強大的密碼，但我的許多同事不遺餘力地提高了他們的安全性，遠遠超過了我的。我知道我的密碼需要審核，但我的同事們提出的安全措施似乎令人沮喪和不便。我想要安全，但不需要麻煩。為了找出安全性和便利性的最佳組合，我決定在安全和調查專家brandongregg的幫助下，對我們推薦的所有方法進行審核。然而，在開始之前，我們需要知道是什麼使我們的密碼易受攻擊。

導致弱密碼的三個變數

布蘭登解釋說，弱密碼有三個變數，每個變數都會使它們更容易受到攻擊：

1. 一個容易猜到/破解的密碼：布蘭登說，“有了AmazonEC2、GPU*，以及Accessdata的分散式網路攻擊（DNA）這樣的軟體，每秒猜測50億密碼是很容易的。我個人記錄是每秒3.7億次猜測並不瘋狂，但比大多數執法機構都要好。似乎有些網站，比如Twitter，只要每次嘗試的“密碼猜測”都來自隨機IP地址，就允許對使用者帳戶進行這種暴力攻擊，“每秒可能有這麼多猜測，您不需要容易破解的密碼。”。在後面的文章中，我們將討論哪些方法產生最安全和可靠的密碼。
2. 一個容易忘記的密碼：如果你記不起來，你的密碼就幫不了你了。布蘭登說，“總是重置你難以記住的密碼，只會導致更多的錯誤和暴露在未來。”
3. 一個密碼提供了對許多站點的訪問：對所有的站點使用相同的密碼意味著如果駭客破解了你的一個帳戶，他們已經破解了所有的帳戶。

*GPU或圖形卡用於暴力破解密碼，因為它們處理平行計算的方式不同。一個GPU或一組GPU的**成本相當低，而且猜密碼的速度比它們的CPU兄弟快數倍。

消除這三個變數中的一個或兩個並不需要太多的努力，但是消除這三個變數會給我和許多人帶來更大的不便。雖然沒有安全策略缺乏漏洞，但在本文中，我們將審核幾種型別的密碼，從弱密碼和強密碼以及管理它們的方法，以找出什麼最方便，什麼最安全。

密碼安全的四個級別

最不安全：簡單字母數字密碼

最薄弱的密碼型別包括數字和字母的組合，或者只有一個密碼。記住一個單詞、你的電話號碼或者兩者都很容易，但是這些密碼很容易破解。現有的軟體在猜猜字典單詞、電話號碼甚至兩者的組合時都沒有困難，特別是當密碼在8個字元以下時。

也就是說，你不會忘記一個簡單的密碼。如果你把它用於你擁有的每一個賬戶，你就不必記得太多了。當然，這是非常不安全的。如果使用一個簡單而簡短的密碼，尤其是在許多帳戶中，你就離完全不使用密碼不遠了。有關為什麼弱密碼容易破解的更多資訊，請閱讀本文。

例如：查理，辣妹，8675309，瑪麗212

有點安全：複雜的8個以上字元的密碼

複雜的密碼需要更多的努力來鍵入，但它們也需要更多的努力來破解。複雜密碼至少由八個字元組成。應包括大寫和小寫字母、至少一個數字和至少一個符號（例如！、？、@、，等等）。你也應該避免在字典裡使用一個詞（例如啞劇）→ p@nt0m!我）。用一個短語作為出發點是更好的，但也不是完美的（例如“我愛山羊”）→ iLuVg0@ts).

當您為每個站點使用唯一的密碼時，此方法將失敗，因為您必須記住許多複雜的字母、數字和符號字串。

示例：t@lk4Ev3r!, iLuVg0@ts有沒有過？！

非常安全：具有唯一識別符號的公共複雜基本密碼

你不容易記住一個冗長、複雜的密碼，所以為每個帳戶使用不同的密碼是行不通的（除非你也使用密碼管理器，但我們稍後會討論這個問題）。然而，只要記住一個，事情就容易多了。它也會降低密碼的安全性，除非您新增一個唯一的識別符號。唯一識別符號可以與站點相關，這樣您就不會忘記它。例如，如果您使用iLuVg0@ts 作為您的通用基本密碼，並且您希望為Gmail建立密碼，您可以使用iLuVg0@ts-gmail. 布蘭登更喜歡這種方法：

使用公共基本密碼加上站點名稱實際上會刪除所有三個變數。由於長度原因，它不會被字典或暴力攻擊破解。如果Linkedin被洩露，你的Gmail將保持安全，最後你不會忘記你的密碼。這是最好的選擇。

示例：iLuVg0@ts-gmail, iLuVg0@ts-linkedin, iLuVg0@ts-facebook

當然，如果一個精明的駭客破解了一個密碼，他們可能會找出其他密碼。布蘭登建議：

在我自己的密碼中，我把“站點”密碼與GMAIL或LinkedIn的直接標簽混淆了，而是與GMAIL的電子郵件或LinkedIn的簡歷混淆了。如果你的賬戶被洩露了，很容易記住，但是很難猜測。

示例：iLuVg0@ts-email, iLuVg0@ts-resume, iLuVg0@ts-friends

對於通用的basename密碼，您還有另一個安全的選擇：使用帶空格的三個單詞短語（例如“山羊愛gmail”）。這種方法可能看起來不太安全，因為它包含簡單的字典單詞，但它的工作原理是使用空格(您可以在這裡閱讀更多關於三字法的內容。）Brandon指出，由於網站和應用程式如何限制您的密碼選項，這種方法有時會失敗：

三個單詞的方法是個好主意，但受到許多網站和應用程式的限制。它解決了難以破解的問題和容易妥協的問題，但不容易記住。為什麼，你問？大多數網站不允許空格作為特殊字元，所以你只能使用“goats@love@gmail.“有些網站甚至阻止使用特殊字元的數量，因此您可能有一個應用程式允許密碼，而另一個不允許。下一件事你知道你有五種不同的密碼樣式，你不記得哪個樣式屬於哪個登入。

例如：山羊喜歡gmail，goats@love@facebook，山羊！愛！品脫家

如前所述，兩種解決方案都沒有漏洞。如果您的所有站點都允許空格或不限制特殊字元，那麼三字方法提供了更大的簡單性。無論哪種方式，公共基本密碼和唯一識別符號都提供了安全性和方便性。

非常安全：雙因素認證和密碼，即使你不知道

沒有哪個密碼比一個冗長的、複雜的、無人知曉的字串更安全。明顯的問題？你不能輸入你不知道的密碼。像LastPass這樣的密碼管理器透過將所有密碼儲存在一個資料庫中來解決這個問題，由您選擇的唯一密碼解鎖。當然，正如布蘭登指出的，這有一個主要缺陷：

就我個人而言，我擔心任何密碼管理器都會集中我的帳戶。作為一個“監視”許多系統的人，我可以親自告訴你，如果我捕獲了你的最後一個密碼，那就像開啟一個包裝精美的禮物。我本來只想瞄準你的Twitter帳戶，但你只給我一站式的商店，讓你的所有賬戶，甚至我不知道你有銀行賬戶。謝謝你的最後一次透過和懶惰的使用者。

使用密碼管理器與為每個站點使用相同的密碼存在類似的漏洞：你破解一個，你破解所有站點。尤其是LastPass，它非常努力地保護您的密碼安全，但使用一個密碼來管理所有密碼會讓您處於危險之中。解決方案是什麼？雙因素認證，你最近可能聽說過。布蘭登解釋了它的工作原理：

雙因素認證增加了一層幾乎不可能繞過的安全性。使用了上面的密碼選項後，Google（和其他網站）會向**傳送一條簡訊。駭客們不僅很難明顯地監視你的**（除非安裝了FlexiSPY或其他**監控工具），它還讓你有了被攻擊的頭腦。如果你在凌晨2點突然收到一條授權程式碼的簡訊，那可能是你前女友試圖進入你的帳戶的一個訊號。

當使用LastPass這樣的密碼管理器時，您應該啟用兩因素身份驗證，或者，正如Brandon所說，您可能會提供您的密碼，作為一個包裝良好的禮物。雖然我們經常認為這種方法比任何方法都能更好地保護您的帳戶，但它也會給您帶來最大的不便。你需要決定這是否對你有影響。

我如何選擇我最好的密碼安全？

保護您的帳戶意味著在方便和保護之間選擇一個平衡點。如果你願意忍受定期的安全檢查，並使用隨機生成的密碼，你不知道，你可以把你的妄想症休息。大多數tl80的作者和編輯使用這種級別的密碼安全，因為他們不想承擔風險，也不想在額外的努力中發現什麼不便。事實上，許多人已經適應了新的方法，並沒有發現雙因素認證是不方便的。你可能也有同感。

就我個人而言，我覺得這種方法過分，負擔太重。因此，我選擇了上面描述的第三級安全（“非常安全”）有兩個原因。首先，使用需要密碼管理器的方法需要信任其他人來管理您的資料。當你把你的資料給別人時，你會冒著他們可能丟失或共享資料的風險（不管是有意還是無意）。如果你告訴過朋友一個祕密，你就知道潛在的風險。唯一保守得好的祕密就是你自己。雖然你不能完全避免分享你的資訊，因為那樣會導致可怕的隔離生活，但我相信你應該把分享資訊的數量控制在最低限度。第二，我希望能夠很容易地訪問我的資料，我可以承擔一些風險。作為一個經歷過艱難困苦的人，我不相信嘗試過沒有風險的生活。壞事發生了。我們應該採取合理的措施來預防，但有時還是會發生。對我來說，一點點額外的安全性是不值得的不便。

你應該選擇什麼？布蘭登很好地總結了決策過程：

安全並不總是關於誰有最好的警報器、最高的圍欄或最新的技術。在安全性中有許多經常被人們忽視的變數，包括成本和便利性。我們可以透過完全加密、生物閱讀器和多級授權鎖定我們的計算機、電話和網際網路，但如果你不評估自己的實際風險，你很容易被高成本和緩慢訪問所拖累。雖然雙因素身份驗證目前是保護資料的最佳方法之一，但為第二級授權增加的時間可能會成為一種麻煩，甚至可能會造成過度殺傷力。你害怕中國窺探你的Gmail嗎？如果不是，則不需要雙因素身份驗證。你真的擔心你的儲蓄賬戶會被駭客入侵嗎？在所有提供雙重身份驗證的銀行網站上使用雙重身份驗證。更好地瞭解您的風險，以便更好地選擇所需的安全級別。

你想承擔的風險程度取決於你的個人需要和你願意承擔的風險程度。只要記住，雖然你可以實現極端的安全協議，沒有什麼可以阻止駭客的可能性。一切都是脆弱的。備份資料。密切關註你的賬戶。安全不僅僅是用好的密碼鎖定所有東西。你應該做好最壞的打算。然而，與此同時，鎖定你的賬戶，這樣對你來說就足夠安全，也能很好地融入你的生活。

特別感謝布蘭登·格雷格的專家建議。布蘭登在過去的12年中為眾多財富500強公司從事調查工作，調查盜竊、欺詐、有組織犯罪、企業間諜活動和許多引人註目的案件，同時也是一名教育工作者、出版作家，併在監視、計算機取證、複雜調查和道德駭客方面擔任特邀發言人。你可以在這裡找到更多關於他的資訊。

edel（Shutterstock）和Stock Elements（Shutterstock）的照片。