密码复杂性与长度

在数字时代，我们在很多事情上使用密码，包括电子邮件帐户、桌面和移动设备、社交媒体平台、零售平台、医疗保健门户等等。

试图记住我们使用哪些帐户的哪些密码可能会让人不知所措。不难理解为什么人们倾向于使用简单的密码，并且对多个帐户使用相同的密码。但众所周知，这不是一个好的做法，因为它让希望访问我们数据的对手的日子变得更容易。

过去，我们可以使用易于猜测的密码，例如“password123”。然而，如今，许多平台强制使用复杂的密码，需要混合使用大写和小写字符以及数字和特殊字符。

直到最近，这还被认为是一种很好的做法。然而，重点已经从短而复杂的密码转向使用更长（尽管更简单）的密码短语。

NIST 建议

根据美国国家标准与技术研究院 (NIST) 提供的指导，密码长度比密码复杂性更重要。这实际上很有意义，因为较长的密码需要更长的时间才能破解，而且它们比一串无意义的字符更容易记住。 NIST 提供了许多可供组织遵循的额外建议，其中包括：

• 密码短语应包含 15 个或更多字符。
• 不需要大写、小写或特殊字符。
• 仅当您认为您的网络已受到威胁时才要求用户更改密码。
• 根据经常泄露的密码列表检查所有新密码。
• 避免在多次登录尝试失败后将用户锁定在其帐户之外，因为黑客通常会故意尝试错误的密码来淹没网络，以将用户锁定在其帐户之外。
• 不允许密码“提示”。 ”

您应该使用密码管理器吗？

使用密码管理器是一把双刃剑。一方面，它们对于我们记住大量复杂的密码非常有帮助。所有密码均保存在安全保险库中，并由单一强密码保护。

当然，如果对手获得了您保管库的密码，他们将可以访问您的所有帐户。尽管如此，大多数安全专业人士仍然认为使用密码管理器的好处大于风险。

基于上下文的密码短语

虽然不是 NIST 建议的一部分，但使用密码管理器的另一种方法是使用基于上下文的密码短语，我们尝试访问的帐户可以为我们提供有关该帐户使用的密码短语的线索。

例如，假设我们想为 eBay 帐户创建密码。我们可以使用一个密码短语，该密码短语使用公司名称的前四个字符作为短语中每个单词的第一个字符，即

（e）dible（b）arometer（a）bsolution（y）诚实。

如果这看起来太容易猜到，您可以颠倒单词的顺序并使用不同的符号，即
y-诚实 a-宽恕 b-arometer e-dible。

当然，有些人可能会认为这仍然太容易猜测，因为黑客会知道您使用的密码。但如果有许多不同的系统可供选择怎么办？为了说明我的观点，让我们尝试一组稍微不同的规则。

• 取公司名称的前五个字符。
• 颠倒短语中单词的顺序。
• 在每个单词的第一个字符后添加句点。
• 将主题标签 (#) 和 @ 符号分别交替并附加到每个单词的末尾。

因此，让我们为 gov.uk 创建一个密码，其中前五个字符是“govuk”。使用上面的规则，我们可以得出类似的结果： k.nowledge# u.tter@ v.ertical# o.pen@ g.oat#

那会不会太长了？嗯，要记住的重要一点是，您可以选择最适合您的助记符系统并坚持使用。只要您记住系统，您就可以轻松找出哪个帐户使用哪个密码。记住该系统应该不难，因为每次输入密码时都会使用它。但它足够安全吗？如果黑客获得一组凭据的访问权限，他们能猜出您使用的是哪个系统吗？有可能，但这会非常困难，因为需要寻找很多潜在的组合（假设您选择了一个足够复杂的系统）。

最终，必须做出权衡。要求某人记住他们使用的每个帐户的一长串不相关的单词是不切实际的，但使用密码管理器也有其自身的风险。不仅如此，如果您想从通常不使用的设备访问帐户，则需要安装相同的密码管理器才能访问您的密码，这在大多数情况下并不方便。