一項研究表明，1%的密碼可以在4次之內猜中。

怎么可能？簡單！嘗試四個最常見密碼。password，123456，12345678，和qwerty，這就打開了1%的大門。

好吧，你是那99%的人之一，但你還要考慮到而今黑客軟件的速度。John the Ripper是一款免費的黑客軟件，每秒鐘能測試數百萬密碼。還有一款商業軟件本來是用在刑偵領域里（在查封的電腦中尋找兒童色情或者恐怖分子的信息），號稱每秒能測試28億密碼。

一開始，破解軟件會運行一套窮舉式的、時常更新的流行密碼表，然后再是整個字典，包括所有的常見人名，昵稱和寵物名。而今我們這些用戶，在反復羞辱和威脅之下，大多學會了往我們的密碼里加數字、標點和奇怪的大小寫，這叫“重整”（mangling）。理論上，這能讓密碼變得難猜許多——實際上，效果遠沒有那么好。幾乎所有人的思維都會遵循那些早已被踏平的熟門熟路。如果網站要求你的密碼里必須有數字，那password變成password1或者 password123的頻率會讓你吃驚的。而要求你必須大小寫同時出現的密碼就會產生Password或PaSsWoRd。必須有特殊符號的結果則是 password!和p@ssword。你以為$pider_Man1這種密碼真的有看起來那么安全？每個人都覺得自己很機智，最后都機智到一塊去了。

而且我們還有理由擔心，因為網站強制采取重整，會逼迫用戶去使用那些簡單好記的密碼作為重整的“底子”——因為重整本身很難記。它帶來的安全感是虛假的。

RockYou事件

之所以我們對這些愚蠢密碼有所了解，很大程度上來自于2009年12月4日的RockYou.com安全漏洞事件，他們是一個Facebook游戲發行商。一位黑客公布了這個網站32603388位用戶的賬號名和明文密碼。此前和此后都有很多安全漏洞，但是這一起事件的超大規模使得它成為密碼研究的關鍵數據組——無論是對好人還是對壞人而言。

“123456”和“password”是非常受歡迎的密碼。

在RockYou.com里最受歡迎的密碼是“123456”，使用者人數高達290731人。不同年齡段和性別的人愛用的密碼有很多差異，對于30歲以下的男性，許多受歡迎的密碼來自性和穢語： pussy，fuck，fucking，696969，asshole，fucker，horny，hooters，bigdick，tits，boobs 等詞匯位居前列。年紀大的人（不分男女）更傾向于使用昔日流行文化里的老梗。“Epsilon793”本來不是一個很糟的密碼——假如它不是《星際迷航：下一代》里Picard艦長的密碼的話。七位數字“8675309”常見到不可思議的程度，因為它是當年一首流行歌曲里面的電話號碼。

只有記不住的才是安全的？

密碼安全領域的每一項新方案最后不可避免都要招致冷眼旁觀的專家的評論——在他們看來，任何常見的密碼管理行為都是沒用的。許多專家奉行“寫下來”的原則， “很簡單，足以抵御住字典式攻擊的長密碼已經長到人們記不住的程度了，如果人們選取一個又長又復雜、完全記不住的密碼然后寫在紙上，那才算安全。”這是咨詢家布魯斯•歇奈爾（Bruce Schneier）在2005年寫下的，在數字時代這簡直是上古先知了。“我們都很擅長保管小紙片，我建議人們把密碼寫在紙上，然后把那張紙和其他有價值的紙放在一起——錢包里。”

即便可以將密碼記在紙上，但敲出一個長而難記的密碼也是煩人的事。移動設備的虛擬鍵盤？祝你好運。專家建議和現實場景的鴻溝在我爸的方法上體現得再明顯不過——他把密碼寫在即時貼上，再把即時貼貼在電腦旁。密碼并不復雜，只是一個兩字短語，沒有數字或者奇怪的標點符號。現實中的人不光會選擇不安全的密碼，他們連這樣的密碼都不大記得住。

而在網上漫游中，許多用戶像蝸牛一樣留下一串又一串都差不多的密碼軌跡。他們會給每個網站都使用一樣的密碼，風險？見鬼去吧。有些網站會手把手地帶用戶，強迫他們遵循一些無厘頭的密碼規則，用戶不得不修改自己的常用密碼——然后他們下次登錄的時候又不記得是怎么修改的了。

那怎樣的密碼才算安全？

創造一個安全密碼簡直是世界上最簡單的事情：一串完全隨機的字符就是了。靠自己的腦子是無法達成完美隨機的，但你也不需要這樣苛求自己：許多網站和應用可以拿環境噪聲的數據給你提供完全隨機的密碼。這里是我在random.org上獲得的一些密碼例子：

Vk54z6XG
Px7YZrm3
NfdeKYsY
FryVMwMk
BVfqbRQb

問題解決？對于那些有迫害妄想的記憶狂人，或者那些用指紋識別來保障密碼管理軟件安全的人來說，確實如此。剩下所有人都甭指望能記住這堆字母湯。他們還說每個賬戶要有不同的密碼！

比起專家來說，大多數用戶都更在乎密碼的方便好記，而不那么在乎安全性。我不知道哪一方更正確。你家里有緊急避難室嗎？十有八九是沒有吧，但那些裝了避難室的人肯定會告訴你這玩意兒有多重要。但在你飛奔向避難室之前，也許確保自己始終鎖好前門是更佳的選擇。

密碼面對的三種威脅

在現實中密碼會受到來自以下三個方面的威脅：日常、群體和定向。

“日常威脅”指的是你認識的人。愛管閑事的同事或者親人可能想要登錄你的賬號。他們會通過自己對你的了解來猜測你的密碼（而不是靠暴力破解軟件）。日常的打探者也許會知道你的高中球隊是野貓隊（Wildcats）然后嘗試這個密碼，不過wildCatz1很可能足以打敗他。

“群體威脅”就像垃圾郵件一樣，不針對個人。職業身份竊賊并不是在專門針對你的賬號搞破解，他對你的個人情況一無所知，他的目的是匯集一套破解過的賬號密碼清單，通常是拿去再賣錢。密碼竊賊則使用破解工具，會先從安全防護措施較低的網站下手——通常是那些允許你猜很多次的網站。這也許是沒有什么經濟價值的網站，比如游戲網站。等軟件猜對了之后，它再用同樣的密碼及其變體去猜你的更加安全的賬號，比如銀行。

“定向威脅”意味著使用軟件的私家偵探或警探。假如一個訓練有素的人想黑進你的賬號，假如金錢、時間（甚至法律）都站在他那邊，那他很可能會成功。唯一的反制手段就是使用隨機密碼，長到足以保證其搜索時間抵得上你的預期壽命，甚至更久。

不要覺得你不會成為這種目標，哪怕是小企業的競爭對手也可能愿意花費資源去偷一臺筆記本電腦。離婚案件里身價頗高的另一半也可能這樣做。黑客可能會討厭某個人的企業或者政治立場。推特的全站，就曾經陷落過，注意不是某個用戶而是全站，原因只是一位管理員傻乎乎地選擇了happiness作為密碼。2009年一位黑客在字典攻擊中發現了這個密碼，把它貼在了Digital Gangster上面，結果是巴拉克•奧巴馬，布蘭妮•斯皮爾斯，臉書和福克斯新聞等等大賬戶的推特都被盜用了。

短語記憶法的問題

正如生命里所有別的事情一樣，魚和熊掌不能兼得，你不能同時擁有最高的安全性和最高的易用性。常見的策略里最好的一條之一是，把一個短語或者句子變成密碼。你挑選一句話，一個詞組或者一句歌詞，用它們的首字母來作為密碼。比如如果你要用May the force be with you（愿原力與你同在）這句話，密碼就是Mtfbwy。

但剛才那句話最好不要用，而這就是問題所在。你肯定會想起某個電影、某首校歌或者南方公園里的眾人皆知的句子。你有幾個八詞以上的短語能原樣背下來的？隨便一個句子甚至不見得比隨便一個詞更難猜。而且很少有人費心去重整他們的句子生成的密碼——看起來已經很隨機了嘛！

一個理想的密碼方案即便所有人在用也不會失效。但如果句子變密碼這個方案流行開來，那所有的大眾文化習語變來的密碼都會進入常見密碼清單，破解軟件會先嘗試這些密碼。而且習語縮寫詞一般都是字母，比起同樣長度的多種字符混合密碼要更危險。

這個辦法的有些缺點可以解決。比如，永遠不要用名句。一個辦法是用私人笑話。還記得科蘇梅爾島上餐廳里侍者對布倫達說的那句超好笑的話嗎？你記得，布倫達記得，也許侍者還記得，再沒有別人知道了。如果你選擇這句話作為你的密碼句，那么你很有可能是地球上唯一用這個句子的人。

但密碼本身是不是還那么獨一無二，就不那么確定了。不同句子的首字母縮寫也有可能是相同的，產生同樣的縮寫密碼。有些字母更容易成為一個單詞的首字母，而黑客軟件可以利用這個特點。

反向短語法

運用密碼-句子對應的最佳辦法，是把傳統的方案顛倒過來。不是找一個句子把它變成密碼（這樣的密碼不會很隨機），而是先找一個真正隨機的密碼，然后把它變成好記的句子。

我以前一直用簡單愚蠢的密碼。后來我被盜號了，網站給了我一個由隨機數字和字母組成的臨時密碼，我剛準備把它改掉，突然意識到其實我不用改，這種隨機的密碼我還是記得住的。

我們的大腦非常擅長在隨機的數據中尋找規則，這也是我們記住電話號碼和身份證號的辦法，這也同樣可以用于記憶像RPM8t4ka這種隨機密碼，這是我剛在 random.org上得到的。盡管這個密碼確實是隨機的，但我們的眼睛和大腦卻可以立即從中找到記憶的規則。比如這個密碼的前三個字母都是大寫，后三個字母都是小寫，數字8是兩倍的4。

你也可以輕易地用一個無意義的短語來記住這個密碼，比如RPM8t4ka就變成了revolutions per minute，8 track for Kathy（每分鐘轉速，給凱西8軌）。我不知道這句話有什么意思，但我知道我可以相當容易地記住這句話。

一個強密碼

我使用的是“一個強密碼”的原則。考慮到密碼在我們的生活中的重要性，記住一個隨機字符串還是很值得的。你能記住你的電話號碼，為什么不再記一個密碼？

一旦你找到了你的強密碼，“拼你的老命保護它，”用安全專家尼克•貝里（Nick Berry）的話說。盡一切力量讓你的電腦遠離惡意軟件，只在值得信任和重要的網站用這個密碼。至于游戲網站和其他不重要的網站，我會用和這個密碼完全不同的一個簡單密碼。

偷走密碼的辦法實在太多，這有理由讓我們在不同的網站使用不同的密碼。一種定制方案是，取網站名字的最后一個字母，然后把這個字母放在你的密碼的開頭。比如在Facebook，你就把k放在密碼的開頭，這樣就變成了kRPM8t4ka。盡管這種辦法不是絕對的安全，但也不錯了。這樣即便別人看見你在登陸Facebook時輸入的是kRPM8t4ka，他也對如何獲得你的銀行密碼一無所知。群體攻擊者會收集成千上萬的密碼，只要其中有一部分原樣也能在別的網站用就成了，剩下那些他很可能不會在乎。

我的強密碼里并沒有標點符號或者非ASCII的字符。萬一有網站要求這樣字符的，我就在末尾加個好記的符號。

“找回密碼”

有些身份竊賊會直接跳過密碼這一環節，他們假裝自己是忘記密碼的用戶，然后回答安全問題。如果他們猜對了，他們就可以把密碼改成他們想要的，合法用戶的信息不僅被出售，他們自己也無法登錄賬號了。

2008 年有人通過猜測薩拉•帕林（Sarah Palin，美國政治家）初次遇見她丈夫的地點而黑進了她的郵箱，四年后有人猜中米特•羅姆尼（Mitt Romney，也是美國政治家）最喜歡的寵物而黑進了他的賬號，并不是只有名人需要擔心這些問題，任何與你熟悉的人都可能猜出你的很多安全問題，而不認識你的黑客們則有針對安全問題的流行答案表——最常見的寵物名、舊車等等。

最近，新聞報道常常吹捧一個應對策略：用毫無意義的答案。比如你用兒童黑話來回答每一個問題，或者用同一個無意義的答案回答所有問題。你母親在結婚前叫Jimbob，你高中的吉祥物也叫Jimbob。

這個方法可能暫時有效，但如果有一天有很多人都使用這種方法，那它也可能失效——你選取的“無意義的答案”很可能和任何其他答案都一樣刻板。

我總是誠實回答安全問題。你并不經常遭遇安全問題，過了好多年之后，當你想要證明你是誰時，你不會希望自己忘記答案的。許多網站會讓你選擇安全問題，我會選擇真實答案并不那么普遍或者不容易被猜中的答案。

個人識別碼（PIN）

個人識別碼就是我們銀行卡使用的那種密碼。好像沒有人費勁去發明一個安全的PIN碼，反正世界上大部分自動柜員機也只接受4位阿拉伯數字。（譯注：中國自動柜員機一般使用6位阿拉伯數字，但原理相同。）我相信你能猜到最常見的PIN碼是什么，但你能猜到有多少人在用嗎？

尼克•貝里估計世界上足足有11%的人使用1234。PIN碼倒是沒有遭遇過幾次大規模泄露，黑客對它不太感興趣，因為沒有實體卡的話 PIN毫無用途。所以貝里的估計辦法是，把所有已暴露的密碼里的四位數字密碼挑出來，他認為如果有人比方說用1967做密碼，那肯定對這個數字情有獨鐘，輸入PIN的時候也十有八九會用它。
貝里列表上的第二常見PIN是1111（6%的人選擇了它），第三位是0000（將近2%的人）。簡單來看，這意味著如果有個老手騙子撿到了你的銀行卡，他有19%的概率能在三次之內猜中你的PIN值。（三次猜錯之后一般的ATM就吞卡了。）

以下是貝里的20個最常用PIN碼：

1234，1111，0000，1212，7777，1004，2000，4444，2222，6969，9999，3333，5555，6666，1313，8888，4321，2001，1010。

所有的四位一樣的密碼都在里面出現了。別忘了，這不是個隨機實驗，這是個“我怕我忘了這個數所以最好挑個超級超級好記的數”實驗。

貝里還找到了一些不那么明顯的模式：

年份。所有最近的年份，還有幾個歷史上著名的年份（1492，1776等等）都高居前列。

數對。許多人挑一個兩位數，重復一遍就得到了他們的密碼（1212，8787等等）。那個兩位數的十位和個位通常只差1。

2580。有些人大概是想用在小鍵盤上玩井字棋的方式來獲得隨機密碼吧……不幸的是要想得到四位數，唯一的辦法是從中間直著下去，2580。這是貝里列表上第22常見的選擇，這估計要怪小鍵盤的發明者阿方斯•恰怕尼斯（Alphonse Chapanis）。

1004。在韓語里這個數字念起來像“天使”。這引發了一首流行歌曲：“成為我的1004”。顯然太多的韓國人覺得非韓國人不會知道這個，讓它同時成為了流行密碼。

挑選一個不在常見列表上的PIN碼十分重要。最不常見的PIN是8068，但你恐怕也不要去用這個比較好……我會選一個6、7、8、9或者0開頭、沒有明顯模式的。不要使用和個人有關的數字，比如你的生日、身份證或者信用卡號碼。這些數字都在你錢包里，而丟錢包可是丟銀行卡最常見的方式。

干嘛這么費神呢？

普通密碼，短語密碼，記憶法——到底能有多少區別？區別在于隨機字符密碼是安全的金標準。它比任何人類選擇的密碼都更強。就算世界上每個人都選擇這個方案，它依然安全。

一個長度合適的隨機密碼，事實上以今天的科技是猜不到的。它不會出現在常用密碼列表里。群體攻擊者只有蠻力搜索才能猜到隨機密碼。有大小寫字母和數字的情況下，共有62種不同字符（不算特殊符號，因為有些網站不允許）。這意味著一個8位隨機密碼需要猜62^8次才能確保命中。這是要猜22萬億次。

這實際上足以讓你免受互聯網群體攻擊，也會讓定向攻擊進展緩慢。假如承認現在的刑偵級密碼破譯軟件每秒鐘可以給出28億個猜測結果，那么猜這么多次也要22小時，這對大部分人都足夠了——如果你不這么覺得，你可以簡單地多增加幾個字符。

但這并不是說隨機密碼就是無敵的。它不能被猜到，但仍然可能會被偷走。你有沒有浪費時間在一些像 “測測你的克林貢名字”（或者巫師名字、猶太名字、色情電影明星名字之類的）這些會讓你填寫個人信息的網頁小游戲上？其中有一些還會讓你設置一個密碼。這些網站其實是在收集你的密碼，因為對方知道你在這個網站的密碼很可能和你在別的網站的密碼相同或相似。在黑市上，這樣收集到的密碼大約可以賣到20美金一個。哪怕是細心的人也總是會上這種當。有些高科技惡意軟件能記錄你敲下的每一個按鍵，愛管閑事的人會用低科技手段——在你的背后偷看你的密碼。黑客可以通過網站的安保薄弱環節偷走你的密碼，這就跟用戶的密碼復雜程度完全無關了。

密碼就像你家房門的鑰匙，哪怕你家里是防盜門，但如果小偷從你的口袋里偷走了鑰匙，那扇門就跟普通的門一樣不安全。安保，永遠是最弱的一環。

總結：怎樣不被別人猜中你的密碼？

做好準備，記住一個好用的強密碼。絕對值得。

去網站上（比如random.org這種）找真正隨機生成的密碼，列出五到十個備選密碼。

從中挑一個你能轉換成好記短語的密碼，靠那個短語來記憶。

只在事關金錢的重要網站使用它。