如何设置强密码？

当你要注册一个新的网络帐户时，必须要想一个密码，所以你想到了一个你能记住的单词，首字母大写，加一些数字，最后用感叹号结束。密码有12个字符长，包括数字、符号、大写和小写字母。这可能是一个强密码，对吧?

一项新的研究表明，人们用来加强密码的某些措施实际上让他们更容易受到攻击，是时候重新考虑密码的标准建议了。

我们从科学、密码政策、可用性和安全性方面考虑，给出以下三条建议。

为什么常识会使密码变弱

根据SplashData的数据，将近4％的人使用“123456”作为密码，而且还有更多的人同样粗心大意。但即使是那些重视网络安全的人，也可能在无意中让他们的密码更容易破解。

卡耐基梅隆大学（CMU）一组密码研究人员的一篇文章说过，看起来好的密码建议并不一定是科学的。一些人普遍认为，什么是强大的密码——比如在最后添加数字——都是不准确的。弱密码可能在技术上符合密码组合策略，给用户一种错误的安全感。

很多人都会创建一个相对简单的密码，而且利用字典里的第一个字母来减缓攻击者的速度并不会有太大的作用。但是人类的攻击者并不是真正的威胁，计算机才是。乱码密码需要很多猜测才能破解，但是一个计算机程序可能会在几个小时内进行数百万甚至数十亿次的猜测。

文章警告说：“如果所有这些计算能力被用于破解密码，那么用户需要选择难以让人猜测的密码：密码对于计算机来说是很难猜到的。”

密码安全的科学方法

CMU研究人员做过一个密码实验，超过5万人参与，实验要求每个人根据常用方法创建密码，例如要求最少12个字符，并要求混合使用数字，符号和大小写字母。 研究分析了几个因素，包括密码强度和参与者几天后回忆密码的能力。

最终，研究表明，创建12个字符或更长的密码比使密码复杂化更重要。研究人员还发现，用户可以通过收到关于密码选择的即时反馈而受益。但是，许多其他的在线反馈“提供不准确的分数，有时甚至是有问题的建议”。

从安全知识到实践应用

说说改变行为，简单地告诉用户如何创建具有科学性的强密码，和让他们实际去创建和使用，是两码事。使用强密码让用户和信息专家遇到了各种障碍。要求一个人为他的每个账户创建独特的、难以忘记的密码是很重要的。

密码管理是信息安全专业人士的一个有趣的难题。在今年的”网络钓鱼“报告中，我们再次看到用户那让人熟悉的密码策略操作。各大“用户风险报告”显示，许多人任然在多个账户之间使用相同的密码。

为什么用户的理解和行为之间存在这么大的差距呢？可能是用户认为去实践强密码太难了(或不方便)吧。

为了用户更愿意去使用强密码，为了给用户减负，专家建议用户使用密码管理器，它可以为每个帐户生成并存储不同的、科学性的强密码。

密码管理器虽然不是万能的，但是对于大多数用户来说，它兼具安全性和便利性，没有比这组合更好的了， 每个人都应该使用。

同样，密码管理器是一回事，而安全知识是另一回事。

创建强密码的3个小提示

密码至少12个字符，至少有两三种不同的字符，如数字，标点，大小写字母。不要把大写字母放在开头，或者把数字或符号放在最后。

避免个人信息，如出生日期或人的名字，宠物或乐队。还要避免歌词，伴侣和常用词组，特别是与任何语言中与”爱“有关的东西。

尝试新事物：创造一个以前没人说过的句子，用每个单词的第一个字母或第二个字母作为你的密码，混合其他类型的字符。

建议用户最好不要使用重复密码，并实施双重身份验证。