如果你的密码像 123 一样简单，我们需要谈谈。

我记得我开始担任系统管理员时使用的第一个密码是“.redruM”（不带引号）。它绝对是当时最有技巧、最不可能被猜到的密码。可悲的是，仅仅 17 年后（哇，时间真长！），这个密码可能在十分钟内就被暴力破解——用一部手机。

由于视网膜扫描主要还是在电影中用于设置偷眼珠的血腥场景，所以在可预见的未来（双关语），我们仍然要使用密码。在本文中，我想花一些时间讨论最佳实践，并就旨在帮助您保护个人隐私的酷炫软件提出一些想法。在进入操作指南部分之前，让我公开讨论一下如何不去做。

将密码写在便利贴上并贴在显示器上是一个坏主意。

是的，这听起来像个笑话，但这种情况每天都在发生——几乎每个企业都是如此。事实上，有时技术人员也会犯这种大忌，因为他们为用户更改了密码，需要让他们知道新密码。看到你的密码被写出来或打出来应该会让你感到身体上的痛苦和不安。把它显示在你的显示器上是绝对错误的。

使用以下任何一项作为你的密码，或者至少作为你的整个密码，都是一个坏主意

• 你宠物的名字，无论是现在的还是过去的。

• 你孩子的名字或昵称。

• 你汽车的名字、型号或你想要的汽车。

• 你认识的任何人的出生日期。

• 你的大学/高中吉祥物的名字。

• 任何与你的爱好相关的东西。

• 你的任何形式的地址。

• 你的电话号码，无论是过去的还是现在的。

• 你母亲的娘家姓（这比 .redruM 还要不安全）。

• 以下任何一项：password、123456、abc123、letmein、love、iloveyou、sex、god、trustno1、master、asdfjkl;、qwerty、password123、secret、jesus 或 ninja。

如果我刚才描述了你的密码，或者，天哪，实际上在最后一个要点中列出了它（一些最常见的密码），你需要继续阅读。虽然先不要更改你的密码，因为接下来我要讨论最佳实践，但即使你不再读一个字，你也绝对不能让你的密码保持原样——真的。

说到密码，越长越复杂越好。不幸的是，密码的质量与一个人记住密码的能力之间存在反比关系。从逻辑上讲，人们会在易于记忆和足够复杂之间找到平衡，但由于有些人甚至忘记如何拼写自己的名字，因此有必要使用一些行业技巧——最好是将这些技巧结合起来。

如果我告诉你我的密码是“sipmnwnoilbinetb”，并且我每次都能记住它，你可能会印象深刻。看，我不回头再打一遍：sipmnwnoilbinetb。

我真的是一个拥有超强记忆力的半机械人吗？也许吧，但在这种情况下，我只是使用了句子助记法来记住我的密码。实际上，当我输入密码时，我会在脑海中说：“有时我会挖鼻孔，但没人看见，而且我从不吃鼻屎。”

这个特别的助记词有几个优点。第一，它很容易记住。第二，这是一个可怕的谎言，所以没人会猜到我输入的是什么。第三，因为它很尴尬，所以我不太可能在打字时大声说出来。对于大多数人来说，仅仅使用这种方法来设置密码就比他们目前的做法有所改进。然而，为了获得最佳安全性，添加其他复杂性非常重要。

任何在 20 世纪 90 年代成为极客的人都知道，所有酷孩子都会在他们的用户名中使用数字。无论是 l33th@ck3r 还是 z3r0c00l（或者 shawnp0wers），用数字和字符代替字母确实增加了一层复杂性。当然，这本身是不够的——不要认为巧妙地使用 @ 符号或用几个“3”代替“e”就能保证你的安全——但如果你将其添加到助记法中，肯定会有所帮助。“sIpmnwn1il,bInetb”在视觉上看起来与我上面的密码相似，但它更能抵抗暴力破解。

除了上述增加复杂性的方法外，使你的密码更安全的一个好方法基本上是使用两个密码，中间用一串数字或字符分隔。继续使用我们上面挖鼻屎的例子，如果我不是用逗号来分隔短语，而是用一小串数字呢？就其本身而言，像 6229 这样的数字是非常不安全的，但如果你做一些像“sIpmnwn1il6229bInetb”这样的事情，它就会变成一个非常令人印象深刻的密码，而且很容易记住。因为我谈论的是字符字符串的中间部分，所以在这里使用一个容易记住的数字是可以接受的。

仅仅基于几个技巧，我就设法想出了一个很棒的密码，它易于记忆，而且打字并不太难。耶！我完成了！嗯，是的，也不是。

问题是，大多数人登录的不止一个计算机系统或网站。一些网站设计师已经开始采用 OpenID 类型的身份验证系统，该系统允许在不实际使用单独密码的情况下进行身份验证，但并非所有地方都是如此。至少在不久的将来，我们将仍然要为多个网站使用登录名和密码。在一个完美的世界里，网站只存储良好加密的密码，坏人永远不会窃取密码数据库，那么一个精心制作的密码就足够了。但我们生活的世界并非如此。

似乎每天都有一家公司的网站被入侵，密码被泄露。诚然，看到其他人使用什么样的密码通常很有趣，但是当你在泄露的列表中找到自己的密码时，会有一种沮丧的感觉——尤其是如果这是你在所有地方都使用的同一个密码。问题是，为每个网站想出一个新密码很难管理。

如果你足够坚持和狡猾，你也许能够拥有一个只有你自己知道的“模式”。例如

• wIvljdc_Iapmn = 当我访问 Linux Journal 点 com 时，我总是挖鼻孔。

• wIvadc_Iapmn = 当我访问 Apple 点 com 时，我总是挖鼻孔。

• wIvwpdo_Iapmn = 当我访问 Wikipedia 点 org 时，我总是挖鼻孔。

是的，并排查看它们，很容易看出模式是什么，但如果只有一个被泄露，则不太清楚。此外，在上面的例子中，我使用了对我来说有意义的字母，但它们与音节不对齐，而是与单词在我的脑海中分离的方式对齐。

对于许多注重安全的读者，甚至可能包括你，这些关于良好密码实践的课程可能会让你生气。对于你来说，如果一个密码不是 128 个字符长，并且结合了字母、符号、数字和仙女咒语，那就不够好。我理解——真的，我理解。可悲的是，我也明白，世界上大多数人仍然认为“abc123”是一个完全合格的密码。对于你，我的半机械人朋友，有密码管理工具。

当每个网站都有像“af&6fw^faew^@f88*hlDSLjfe8wlsfyy&&8s0##~”这样的密码时，就超出了简单的助记符的范围。值得庆幸的是，有一些工具，例如 KeePassX，它是一个出色的 Linux 密码管理器，Anthony Dean 在 2010 年 5 月刊中对此进行了详细讨论 (https://linuxjournal.cn/content/keepassx-keeping-your-passwords-safe)。

像 KeePassX 这样的程序或流行的基于浏览器的 LastPass 背后的想法是，你可以让你的密码尽可能复杂，甚至尽可能随机。这些程序对你的密码进行加密，并需要一个主密码才能解锁。（在创建主密码时，遵循某种复杂性策略非常重要，就像我在本文前面概述的那样。）

使用密码管理器，你可以让你的大脑记住一个密码，知道你可以随时检索到你需要的任何超安全密码，用于网站或计算机。诚然，这意味着依赖程序来跟踪你的信息，所以你必须使用该程序来检索它，但是对于像 LastPass 这样的程序，几乎每个操作系统、浏览器和智能手机都有应用程序。这通常是保持真正随机密码有序的唯一可行方法。如果你能训练自己使用程序或服务来管理密码，它可以改变你对安全的看法。如果某个特定帐户被黑客入侵，它也可以保护你的安全。然而，系统安全与否仅取决于主密码，所以请确保这是一个好密码！

值得庆幸的是，一些公司正在认真审视用户，并意识到密码安全不是他们可以强加的东西。无论有没有像这样的文章，人们仍然会使用他们狗的名字来保护他们的银行账户。一些公司已经开始使用两步验证，这在密码挑战中增加了一个物理响应。

当然有人可以窃取你的密码，但是如果为了登录你的电子邮件帐户，你不仅要正确输入密码，还要回复发送到你手机的短信呢？这肯定会消除远程黑客攻击，因为黑客甚至不太可能知道你的手机号码，更不用说回复发送到该号码的短信了。

两步或双因素身份验证目前还不是很流行，但这个概念很强大。如果我们能继续想出复杂而又方便的身份验证方法，我们将使世界变得越来越安全。但这并不意味着我们可以放松对密码创建的要求。因为至少在不久的将来，安全的密码是保护我们数据隐私的唯一途径。

你们都学到了肖恩显然会挖鼻孔——在他访问的每个网站上。说真的，希望这篇文章能帮助你找到你自己的密码创建方法。请不要使用我的确切方法，而是用它来想出你自己的方法。在我们可以在每台笔记本电脑上安装视网膜扫描仪之前，我们将不得不像野蛮人一样，用老式的方法来保护我们的密码。所以请记住，“Sdrphn,iwoae！”（肖恩并没有真的挖鼻孔，这只是一个例子。）

密码图片来自 Shutterstock.com。