上次我們聊了「時光相冊」這款 APP 對個人信息的威脅，而保護個人信息安全是必不可少的手段。

那么今天我們就來談一個嚴肅的話題：如何正確的設置密碼。

我們首先要明白的是，密碼非常重要，它直接關系我們的個人隱私和財產安全。這可不是無病呻吟，因為密碼泄露導致的悲劇每天都在我們身邊上演著：

• 你是否曾因好友QQ或微信被盜而收到各種垃圾信息和詐騙消息？
• 你是否有親朋好友因密碼管理不善導致支付寶被盜刷？
• 你是否聽說過某iphone用戶被騙子把手機鎖定，不給騙子匯款就用不成手機的故事？

這樣的悲劇不勝枚舉，原本想找一些“密碼泄露”的新聞放在這里引起大家重視的，后來想想還是直接一點好，來給你看幾張圖，告訴你“社工庫”有多強大，告訴你黑客手里有什么，重點已經用紅色框出來了：

主流的互聯網公司基本都在里面了，然而這還只是一個低級的社工庫的部分信息截圖，你還覺得安全離你很遙遠么？猜猜你的信息和密碼在不在里面？我猜有。

所以，我們每個人都應當學會正確的設置密碼，這是保障我們自身利益的最起碼要求。當然，如果你愿意選擇去過遠離互聯網的“田園生活”，那就當我啥都沒說…

不就是設置個密碼么，有什么難的？這個看似不難的問題，其實還是挺講究的。接下來我們會針對這個問題展開探討，為了照顧那些不愿讀“長文”的小伙伴，我們會首先給出正確設置密碼的方法和建議，而后列出設置密碼的常見錯誤認識，最后對“為什么這么做才安全”給出詳細的解釋。你可以根據自己的喜好，自行選擇需要的部分來閱讀，事關安全，你看著辦~

1. 一個好密碼該有的樣子

首先要說明的是，安全的密碼不等于好密碼，請看下面的例子：

• 密碼1：U#LNPg!ZB]8MbHNLtD3d6zVf
• 密碼2：123321

密碼1很安全，但是估計沒人會去用，因為很難記得住，密碼2雖然好記，但卻毫無安全性可言，所以說：真正的好密碼，是既安全還好記的密碼。

單從安全性的角度講，請參照下面的標準設置密碼：

• 秘鑰長度不低于12位（至于為什么，后面我們會給出答案）。
• 同時包含大寫字母、小寫字母、數字以及特殊符號。
• 盡量避免使用姓名拼音、縮寫、生日、證件號碼、手機號碼等與個人信息相關的內容作為密碼的一部分。
• 對于不同的賬號，盡可能依照1-3的建議設置不同的密碼。
• 如果你做不到4中的要求，覺得這樣太麻煩，也至少要設置幾個不同等級的密碼，分別用于不同安全需求的賬號。例如：涉及理財及金錢交易APP的用密碼A，社交APP賬號用密碼B，相對次要的賬號用密碼C，更次要的用密碼D，總之，在你能夠接受的范圍內，盡可能多分幾級，越是重要的賬號，越要避免密碼重用。
• 對于你在注冊賬號時所填寫的用于找回密碼的郵箱賬號，務必使用高強度的獨立密碼。
• 每半年到一年將密碼更換一次，更換時，避免使用在過去一年內曾經使用過的密碼。

相信我，如果能夠做到以上這7點，你的密碼將會很安全，至于為什么，我們會在第三部分給出詳細的說明（我已盡可能隱去專業術語，相信聰明的你一定看得懂）。

現在，安全密碼的標準有了，可是為了安全要顧及這么多要求，記不住怎么辦呀？下面就是要發揮你腦洞的時候了。

其實復雜的密碼未必就不好記，開動腦筋發揮你的聰明才智，就一定有辦法，下面我拋磚引玉：

機智的文藝青年版：

示例1：FLZX3000cY4yhl9day
這是什么鬼，哪里好記了，答案揭曉：飛流直下三千尺，疑似銀河落九天。現在好記了吧？

示例2：ppnn13%dkst-Feb.1st
又沒看懂嗎，其實還是老套路：娉娉裊裊十三余，豆蔻梢頭二月初。

怎么樣，對你有沒有啟發？如果你是程序員或者有一個程序員男朋友，你還可以采取下面的思路：

心機的IT青年：

示例3：han-shan4.location()!∈[gusucity]
上面這行的意思就是“姑蘇城外寒山寺”，我相信看個5分鐘，你絕對不會忘。

示例4：MZsay#hold?Fish:Palm
至于這一行，是在說：“孟子曰：魚和熊掌不可兼得”。（不是程序員，看不懂也沒關系）

作為反面教材，我們看兩個不好的例子：

• 示例5：ZMM19900908
• 示例6：LoveMSS1314

上面的兩個例子，第一個把姓名縮寫和生日進行了組合，第二個估計是想表白心儀的戀人，雖然看著都挺長，但是我必須很遺憾的告訴你，這樣的密碼在黑客眼里和123456沒啥太大的差別，尤其第二個，你絕對想象不到我大中國使用類似密碼的人會有多少。

綜上，好的密碼就是在遵守安全原則的基礎上，盡可能的大開腦洞，越匪夷所思越好。當然，還有一種更省事的解決方案，不過你需要額外付出人民幣，我們會在文末提到它。

2 常見的認知誤區

誤區一：密碼越長越安全

為了說明這個問題，我們得先來談談，為什么人們會有密碼越長越安全的錯覺。假設你叫做Alice，現在有一個壞蛋Eve想要竊取你的密碼，狡猾的Eve知道你不太懂如何設置正確的密碼，打聽到你的密碼只是由數字組成，并且長度為6位，那么，理論上講，最壞情況下Eve也只需要嘗試：10×10×10×10×10×10=1000000次，就可以破解你的密碼。如果把密碼長度變成7位，Eve就需要嘗試1000萬次，如果是8位，就變成1億次，所以，密碼越長越安全嘛。

上面的情境中，Eve需要遍歷6位數字可能構成的全排列，這樣的攻擊方式稱為“暴力破解”。然而，這個聽起來很有道理的解釋，其實是有問題的，因為絕大部分用戶在選擇數字作為密碼時不會采用完全無意義的數字，而是與自己相關的數字，譬如生日、紀念日等等，在這種情況下，Eve可以預先從網絡上收集與你相關的信息，并從這些信息中提取出所有可能的數字片段，做成一個字典，有針對性的進行嘗試，如果你恰好用8位“年-月-日”格式的數字串做了密碼，那你的密碼是會被“秒破”的。事實上，如果只考慮還活在這個世界上的人，所有人的8位生日加起來也只有3萬7千種不同的情況，根本無需暴力破解1億次。

這種把用戶密碼中可能出現的“片段”作為基本單元進行破解的攻擊，稱為“字典攻擊”。

所以，密碼安全與否不能簡單的用長度來衡量，而要看你密碼的復雜程度。如果別人掌握了你的基本信息，在“字典攻擊”面前，“19920908”這樣所謂8位長度的生日密碼，對計算機而言其實和“1234”是沒有太大差別的。

誤區二：不愿意使用特殊符號

明白了誤區一的問題所在，誤區二就非常好理解了，假設我們的密碼足夠雜亂，攻擊者無法利用“字典”有效的破解，在這種情況下，如果你只用數字，那么N位密碼的暴力破解難度是10^{N，如果你還使用大小寫字母，那么N位密碼的暴力破解難度是62}N，由于是指數增長，所以字母+數字的破解難度就會比純數字的難度大很多，如果再將鍵盤上常用的32個符號加入進來，自然破解難度就更大了。

此外，使用符號還有一個最大的好處，那就是絕大部分密碼中，為了方便記憶人們總會選取有意義的數字組合（紀念日等）和字母組合（單詞，縮寫等），這樣就使得數字與數字，字母與字母之間存在關聯性，從而使制作字典變得可能。但符號與之不同，符號之間是基本無關聯的，在你的密碼中插入幾個符號，可以極大的增加你密碼的強度，何樂而不為呢？

誤區三：好密碼就要用一輩子

上邊的那張密碼泄露的圖，已經很說明問題了，你曾經長期使用的密碼，一定確定以及肯定已經泄露了。

定期更換密碼安全性更高的道理其實所有人都懂，無非是一個懶字作祟，因為怕麻煩，所以懶得折騰，我想這是大多數人的心靈寫照。可是，在安全問題面前，越是“怕麻煩”，越有可能造成更大的麻煩。

建議：如果你就是怕麻煩，至少對于密保郵箱和支付寶之類的敏感應用的密碼，應當做到每半年到一年更換一次。

3. 為什么要這么做

（注意：以下內容適合打破砂鍋問到底的朋友們，涉及技術細節，不感興趣可以跳過）

接下來，我們對第一部分提到的7條安全性建議進行分析，闡明其背后的緣由，7條建議中的第2條和第3條已經在上一部分進行了解釋，這里就不再啰嗦了，我們來重點看看其他幾條建議。

(1)為什么偏偏是12位？

這個問題的答案是：為了防止通過“彩虹表”反查。（以下內容雖然有趣，但輕度燒腦）

我們都知道，注冊任何一個賬號時，我們都會相應的指定一個密碼，這個密碼被用于登錄驗證，因此也被稱為登錄秘鑰。

打個比方，對于我們在某個網站注冊賬號，你要想登錄，就必須輸入密碼來進行驗證，這就好比你購買了一套高檔住宅，要想進入房間，就必須要有房間的鑰匙。在這里，“房間的鑰匙”和“賬號的密碼”從本質上講作用是相同的，都是進入的通行證，用來證明你的合法性，房間的鑰匙是通過與鎖的匹配來完成身份驗證，我們的密碼也是類似的道理，當你輸入密碼后，隨著你點擊登錄按鈕的那一刻，“密碼”便被發送到了網站的服務器端，由于你之前已經注冊過，網站的服務器把你發來的“密碼”和數據庫中的“密碼”拿來比較一下，如果相同則放行，如果不同則拒絕。

但是，這個過程存在一個巨大的問題，那就是，如果服務器端也存了你的密碼，那不相當于小區物業也保存了一把你家的鑰匙？萬一小區物業保管不善把你家的鑰匙丟了，那還得了？況且，在登錄時，你需要把密碼發給服務器，這個過程中如果你的密碼被中途截獲，不也相當于丟了鑰匙嗎？所以，這個方案是有問題的。

好在數學上有這么一種神奇的函數，叫做“單向陷門函數”，它有一個神奇的特點，那就是：根據輸入計算輸出非常簡單，而給定輸出想反推輸入卻非常困難，并且，對于不同的輸入，它會給出不同的輸出。利用這樣的函數，我們就可以完美的解決上述問題。

首先，你輸入登錄密碼（用M表示），在點擊登錄按鈕后，瀏覽器并不會將你的密碼M直接發送出去，而是把你的密碼M輸入這個“單向陷門函數”，得到一個輸出值H，并將H發送給服務器，同樣地，服務器端在注冊時也不會保存你的密碼M，而是保存M經過“單向陷門函數”計算得到的H，服務器把你發來的H和它保存的H比較一下，如果一致則登錄成功，否則失敗。

在這個過程中，無論是掌管著服務器的公司還是網絡中的其他攻擊者，他們所能獲取到的信息只有H，而根據“單向陷門函數”的性質，由H想倒推出M是幾乎不可能的，所以誰都無法通過計算反推出你的密碼。補充一句：這樣的單向陷門函數又被稱為Hash函數，與之相關算法稱為Hash算法，密碼學中著名的Hash算法有MD4、MD5、SHA1、SHA2、SHA3等等。

有了數學作保障，一切看起來似乎都沒什么問題了，然而不幸的是，依然有問題。正所謂道高一尺魔高一丈，我們前面提到過，Hash函數的特點是：給定輸入M計算輸出H很容易，但想從H反計算M則幾乎不可能。
由于Hash算法是公開的，全世界都在用，于是“黑客”們想出了這樣的辦法：對于一定長度的所有可能的密碼，都利用Hash函數計算其輸出，這樣就制作了一張非常大的表格，稱之為“彩虹表”，每次拿到一個值H，就在“彩虹表”中查找對應的M，從而獲得你的密碼。

沒錯，就是這么簡答粗暴的辦法，計算一定長度的所有密碼組合，這個工作人不可能完成，哪怕只考慮10位長度的純數字密碼，也有100億種可能，但是計算機不怕這個，黑客們用計算力超強的服務器集群不斷的算啊算，已經算了好多年了，雖然這個笨辦法隨著密碼位數的增加其計算成本會越來越高，但就目前來看，對于MD5算法，12位長度以下的“彩虹表”已經完成了，至于其他算法的彩虹表，雖然查不到公開的數據，但遲早也會有這么一天的。
所以，我們建議你在設置密碼時，要保證長度在12位以上。

（原諒我忍不住再多嘴一句，事實上，如果服務器端采取”Hash+鹽”的方式進行存儲，就可以有效的抵御彩虹表攻擊，但是很多小公司都沒有這么做，所以還是那個原則，能靠自己就靠自己，別總想著依靠別人）

(2)為什么不鼓勵密碼重用？

建議3-6其實本質上都在說一件事，那就是盡量不要在不同的賬號上使用相同的密碼，為什么呢？道理很簡單，因為如果你不同的賬號都使用同樣的密碼，那一旦泄露一個，就等于全泄露了。

當下的中國互聯網圈，許多企業就像頑皮任性的孩子，在為自己的“任性”付出代價之前，是不會認為“太任性”其實容易栽跟頭的。

雖然大家都明白安全的重要性，但從盈利的角度看，解決安全問題并不會為企業帶來直接的經濟效益，相反還要為此投入大量人力物力財力，因此，很多小公司在做大之前都不會給予安全問題太高的重視，他們會優先把資源投向研發、投向產品、投向宣傳、投向銷售，唯獨不會優先投向安全。加之普遍存在的僥幸心理，安全問題的解決總是不可避免的帶有滯后性。

明白了這一點，你就明白“一個密碼走天下”是多么的危險了，因為只要一家公司不靠譜，你便置身危險之中了。
2011年12月，號稱全球最大中文IT社區的CSDN的數據庫遭到黑客攻擊，于是，6428632用戶的密碼被公之于眾，可笑的是，CSDN居然沒有對用戶密碼做任何Hash處理，直接明文保存所有的密碼（沒錯，這就好比一個很不厚道的物業公司在業主不知情的情況下復制了所有業主家的鑰匙，還給一次性弄丟了），于是，那些“一個密碼走天下”的人，其QQ、人人、郵箱、飛信等一系列賬戶也緊跟著被盜了個精光。

當然這次事件也給業界敲響了警鐘，我們很欣喜的看到許多企業在最近幾年開始高度重視安全問題，然而安全問題畢竟積弊太久，非一朝一夕所能解決，所以，為了你自身的安全，請盡可能避免密碼重用。

(3)一個安全的好密碼為什么不可以一直用下去？

這個問題的答案是：雖然你設置了一個安全的好密碼，但是如果企業的防御能力不夠強，被黑客黑掉了服務器，那你的密碼還是會有相當大的風險，如果遇上像當年CSDN一樣明文存儲的，你就可以直接打出GG了。

其實，攻擊服務器的“好戲”每天都在大量上演，只是企業為了自身聲譽和利益著想，往往都不會將這種“丑事”自己曝光，你有見過哪個企業主動宣傳自己被攻擊的新聞嗎？恐怕很少有，而那些能讓普羅大眾看到的曝光事件，其曝光者也都是黑客圈里的人。此外，那些真正的大牛黑客，完全可以做到“不留痕跡”的盜取，然后拿著數據賣給“黑產”悶聲發大財，你又怎會看得到呢？

所以說，再好的密碼，也還是要定期改的。

到這里，關于7條建議背后的理由我們就大體上說清楚了，如果你耐心的看到了這里，那就向你推薦一款神器吧。

有這么一款軟件，名為1password，該軟件相當完美的解決了密碼管理的難題，不過這并不是一款免費軟件，所以用與不用還是要取決于你自己，該軟件有30天的免費試用，如果你信任我的話不妨下載一個感受下，目前Windows和Mac下均可用，Android和ios下也有相應的版本。

1password在提供巨大方便的同時，將最重要的一把鑰匙（私鑰）交到了你的手里，所以你大可放心使用，關于1password背后的原理我們今天就不分析了，下面是其官方宣傳視頻，時間不長只有2分鐘，不妨來看下這款軟件都有哪些功能吧。

（我對天發誓，我不是做廣告，這貨絕對是神器，誰用誰知道）

視頻戳這里：1password 官方宣傳視頻

保護個人信息安全的任務任重道遠，我只希望每個人能夠真正重視起來，企業也能夠重視起來，真正保證我們在互聯網上能夠安心的瀏覽，不再擔心那一天自己被扒個底朝天。還有什么想法，歡迎關注 為爾Vier (Vier111)，也可以加我好友，與我私聊 ，是時候，真正關心自己了^_。