返回首页

如何创建既强大又容易记住的密码

本文解释了如何利用NIST支持的密码短语策略创建既强大又容易记住的密码。涵盖了密码破解现实、基础加站点唯一性公式、密码管理器集成以及双因素认证最佳实践。

你真正能记住的牢不可破的密码
Advertisement 728x90

创建既安全又好记的牢不可破密码

几十年来,网络安全行业一直给我们一个令人抓狂的悖论:要安全,你需要为每个账户设置长、随机且唯一的密码——但人脑进化是为了记住模式、故事和地点,而不是像xQ9#mP2$vL这样的乱码字符串。这种不匹配迫使数百万人采用危险的做法:在多个网站重复使用同一密码,或将密码写在便利贴上。但如果问题不在于你的记忆力,而在于你一直遵循的过时建议呢?你可以创建既在密码学上强大又非常直观易记的密码,而且这样做不需要计算机科学学位。

你将学到什么

你将准确理解密码破解在实际中是如何工作的,为什么长度胜过复杂性,并掌握一种逐步方法,为每个账户生成独特、高熵且能轻松回忆的密码短语。采用此系统后,你再也无需写下或重置密码。

为什么你当前的密码策略正在失败

大多数密码建议都侧重于复杂性:添加数字、符号、大写字母。这种方法是20世纪90年代的遗留产物,当时计算能力有限。如今,一个普通的消费级GPU每秒可以尝试数十亿种组合。根据美国国家标准与技术研究院(NIST)的说法,强制用户包含特殊字符的传统公式实际上适得其反——它导致像P@ssw0rd!这样可预测的模式,机器很容易猜到。NIST的最新指南(SP 800-63-3)明确优先考虑长度而非复杂性,并鼓励使用长且易记的密码短语。

Google AdInline article slot

残酷的现实是:一个包含大小写字母、数字和符号的典型8字符密码大约有95^8(约6.6千万亿)种可能组合。这听起来很庞大。然而,一个使用hashcat的现代破解设备在单个高端GPU上可以在不到一小时内穷举整个密钥空间。加上僵尸网络或云计算,时间会缩短到几分钟。

解决方案不是让密码对你的大脑更难,而是让它们对机器更难。长度增加了指数级的难度。一个仅由小写字母组成的15字符密码短语有26^15(超过1.6亿亿亿)种组合——一个用当前技术需要几个世纪才能破解的搜索空间。基于NIST的熵计算和摩尔定律预测,合理的结论是:一个16字符的随机密码短语提供大约2^100比特的熵,稳稳地属于“对国家级行为体几十年内安全”的类别。

第一步:放弃键盘乱敲,拥抱句子

创建既强大又易记的密码最有效的方法是放弃单个单词,使用密码短语——一系列随机单词或一个完整的句子,只对你有意义。经典的XKCD漫画("correct horse battery staple")精彩地说明了这一点:四个随机常见单词的熵远远超过一个复杂的8字符密码,而且输入和回忆起来要容易得多。

Google AdInline article slot

如何生成你的基础密码短语

  1. 想一个个人、非公开的记忆。 例如:你参加的第一场音乐会,你童年宠物的名字加上你长大的街道,或者你喜爱的一本书中的一句话。
  2. 把它变成一句话。 "My first concert was in Madison Square Garden in 2008." 这有48个字符。
  3. 取每个单词的首字母。 得到MfcwiMSGin2008。这是一个14字符密码,包含大写、小写和数字。
  4. 然而,句子更好。 不要缩写,保留完整短语但加入个人风格:FirstConcert@MSG!2008

专业提示: 避免使用名言、歌词或常见谚语。攻击者拥有包含这些内容的词典。你的短语必须是独特的。

第二步:基础+网站唯一性公式

对你数字生活最大的威胁不是对单个密码的暴力破解,而是凭证填充。当LinkedIn或Equifax等网站被入侵时,黑客会拿这些邮箱和密码尝试登录PayPal、Gmail和你的银行。根据Verizon数据泄露调查报告2022年的报告,超过80%与黑客相关的泄露涉及被盗或弱凭证。即使重复使用一次密码也是灾难性的风险。

为了解决这个问题,你需要为每个网站添加一个唯一的后缀或变换,而无需记住数千个不同的字符串。

Google AdInline article slot

方法: 以你的基础密码短语(例如FirstConcert@MSG!2008)为基础,添加一个确定性的网站特定元素。

  • 选项A(前缀/后缀): 添加网站名称的首字母和尾字母。
    • 对于Amazon:AMFirstConcert@MSG!2008NZ
    • 对于Gmail:GLFirstConcert@MSG!2008IL
  • 选项B(模式插入): 插入网站名称长度或与网站相关的特殊字符。
    • 对于Amazon(6个字母):FirstConcert@MSG!2008AA
    • 对于Gmail(5个字母):FirstConcert@MSG!2008GM

目标是创建一个确定性的公式。你不需要写下密码,而是写下公式。当你登录Amazon时,你的大脑运行公式:“基础短语 + 末尾的A和M。”

⚠️ 重要警告: 虽然这个公式解决了“唯一性”问题,但如果攻击者同时攻破了你的基础密码并从泄露中推断出你的公式,它就会变得脆弱。这种方法介于完美安全性和实用性之间。对于关键账户(邮箱、银行、密码管理器),不要仅依赖此公式。对这些账户使用专门的密码管理器。

第三步:对“大脑”账户使用密码管理器

即使有出色的公式,人脑也无法100%准确地跟踪100种不同的变体。这就是密码管理器发挥作用的地方。密码管理器是一个数字加密的保险库,存储你所有的密码。你只需要记住一个超强的主密码。

为什么这是权威的: 美国国家网络安全卓越中心(NCCoE)明确推荐密码管理器作为消费者和企业的主要解决方案。通过使用Bitwarden、1Password或Keepass等管理器,你无需为99%的账户记住复杂的字符串。

混合策略:

  1. 密码管理器: 为每个网站生成完全随机、20个字符以上的密码(例如9sKd#FpQ2!zXvLmNpQ8@)。管理器自动填充。
  2. 记忆: 你只需要记住一件事——保险库的主密码。
  3. 备份: 仅对主邮箱和银行登录使用第二步中的公式。这样,如果你无法访问密码管理器,就有了后备方案。

第四步:双因素认证(2FA)保险单

无论密码多么强大,都不是牢不可破的。钓鱼攻击可以诱骗你在虚假网站上输入密码。根据微软的数据,2FA阻止了超过99.9%的自动账户入侵攻击。将2FA视为你的备用降落伞。

2FA最佳实践:

  • 尽可能避免短信: SIM卡交换攻击是真实存在的。使用认证器应用(Google Authenticator、Authy)或硬件密钥(YubiKey)。
  • 备份代码: 启用2FA时,你会收到一次性备份代码。打印出来并保存在物理保险箱中。不要以数字形式存储。

密码策略对比:风险矩阵

策略 安全级别 可记忆性 风险因素 最佳用途
8字符复杂(如P@ssw0rd) 低(几小时破解) 高(可预测模式) 绝不使用
15字符随机(如9sKd#FpQ) 高(几个世纪) 非常低 中(会被写下) 密码管理器自动填充
20+单词密码短语(如BlueHorse...) 非常高(数千年) 低(长度防止破解) 主密码
基础+网站公式 中-高 中-高 中(公式暴露) 次要账户

根据密码哈希竞赛的数据和摩尔定律预测,一个仅包含小写字母和空格的20字符密码短语(约27^20熵)在理论上通过暴力破解是不可攻破的,直到具有功能性Shor算法的量子计算出现,而这估计还需要十年以上。

如何更新和维护你的系统

  1. 从关键开始: 立即使用长(20+字符)随机密码短语更改你的邮箱和银行密码。
  2. 迁移到管理器: 下载一个密码管理器,每天更改5-10个账户,为每个账户生成随机密码。
  3. 审计: 使用管理器中的“密码健康”检查来识别重复使用或弱密码。
  4. 物理备份: 写下你的主密码和2FA恢复代码。密封在信封中。这可以防止你记忆失败。

常见问题解答

问:我记忆力很差。怎么可能记住一个20字符的密码短语? 答:想一个故事。不要用“Blue Horse Staple Battery”,而是创建一个场景:“MyBlueHorseAteTheBattery!”这是26个字符,利用了大脑的视觉记忆。将图像与特定的情感或地点关联起来,这个短语就几乎不可能忘记。

问:把所有密码放在一个地方(密码管理器)安全吗? 答:是的,前提是你使用强主密码并启用2FA。保险库使用AES-256加密,与美国政府使用的标准相同。对你的加密保险库进行针对性攻击的风险远低于你在50个网站上重复使用密码的风险。

问:如果需要在公共或不信任的电脑(如图书馆)上登录怎么办? 答:绝不要在不受信任的机器上输入主密码。相反,如果你的管理器支持,使用“一次性密码”或临时登录选项,或者重置该服务的密码并在之后改回来。完全避免在公共电脑上输入关键密码。

问:我应该多久更改一次密码? 答:NIST SP 800-63b明确建议不要定期更改密码,除非有证据表明发生了泄露。强制用户频繁更改密码往往导致更弱的密码(例如Summer2023!、Fall2023!)。只有在收到泄露通知或怀疑未经授权访问时才更改密码。

问:生物识别(指纹/面部识别)比密码更好吗? 答:生物识别在便利性和本地认证(解锁手机)方面非常出色,但它们不是私密的。你的指纹不是秘密;你到处留下它。如果被盗,你无法更改。生物识别应作为第二因素(2FA)或强主密码之上的便利层使用,绝不能作为唯一的认证方法。

— Editorial Team

Advertisement 728x90

继续阅读