盘点近年来，与我们生活息息相关，而且能引起大众的巨大注意和高度警惕的网络安全问题，笔者认为，非密码泄露莫属。

2016年6月初，代号为“peace”的黑客称拿到了全球第二大的社交网站 MySpace 的3.6亿用户账号以及4.27亿密码；同年8月，美国国安局遭黑客组织“影子中间人”入侵，盗取大量美国国家安全局网络“武器库”，泄露其中部分黑客工具和数据；到了10月，网易过亿邮箱数据惨遭泄露，泄露信息包括用户名、密码、密码密保信息、登录ip以及用户生日……如此触目惊心的事实，让人不寒而栗，今天我们就来聊聊密码的那些事儿。

“密码”验证三兄弟和他们的组合技

狭义的“密码”指的是我们需要记忆的文字密码，而从广义上讲，“密码”作为身份认证的一种方式，除了“思想记忆密码”，还包括“持有物密码”以及“独有特征密码”。

“我所拥有的东西”就是“持有物密码”，比如说我们的ID卡，工牌，只有拥有它们，才能证明我是公司员工，可以自由进出公司；

“我的生命体特征”就是“独有特征密码”，比如说我们手机上的的指纹锁，微信登陆的声音锁以及各种电影里面出现的虹膜锁，甚至是脑电波、生物电流、指静脉构造等都可以作为唯一标示一个人的独有特征信息；

“我所知道的”就是“思想记忆密码”，也就是我们常人所理解的要想尽一切办法背诵下来的文字密码。

然而以上三种密码认证方式都有弊端，持有物密码可能会丢失，就像你家里钥匙丢了，就会有被人捡到入户盗窃的风险；独有特征密码存在使用困难问题，包括依赖专用传感器设备和识别准确度问题；思想记忆密码存在被遗忘甚至无限复制的可能，假设你某天说梦话，把自己的银行卡账号和密码说出来了，那所有听到的人都有盗取银行存款的能力。为此，出于更高安全性的考虑，就提出了“多因数认证”的方案，也就是结合两种或者两种以上的密码认证方式进行身份识别。

比如保险箱，需要输入正确密码的同时，还需要凭借钥匙开启，即同时保持了思想记忆密码和持有物密码。类似的，我们经常在项目中经常接触的账号密码+短信验证码，即需要我们的思想记忆密码——帐号密号，也需要我们的持有物密码——发到手机的验证码。由此可见，多重因素的密码验证，多了一份保障。

密码验证这三兄弟中，就数“思想记忆密码”用处最为广泛，问题也最为突出，下面我们就对他进行进一步的讨论。

我的密码相当安全，随你爆破，若能成功，算我输！

我们都知道要尽量设置一个足够复杂的密码，来防止密码被轻松破译，众所周知的设置复杂密码的方式是要融合大小写字母、数字以及符号，那么如何验证密码强度呢，我们可以通过“How secure is my password”这个网站进行试验，当我们输入密码时，系统会展示出以现有的计算机运算速率，想要破解该密码需要的时间。比如，笔者输入的密码是“1qaz@WSX>>123”，系统显示需要4千7百万年才能够破译出来。小小的网站，告诉小白用户，你的密码是否安全达标。当然安全起见，真实的密码还是不宜输入到类似的网站中。

密码设置超级复杂，不光计算机爆破不了，我都没记住

我们要让我们的密码变得有意义，这样才方便记忆！曾经听过一个“他改了密码，姑娘说了Yes，I do”的故事，故事主要讲述了主人公从最开始厌烦公司每隔30天就要换一次组合了大小写字母、数字以及符号的密码的规定，到后来开始将自己近期的目标精简为密码，升职加薪最后成功追到心仪姑娘的历程，可以说密码策略改变了他的生活。同样的，我们也可以向榜样学习，比如说设置自己的密码为“Sleep@before12”（12点前睡觉）、“Quit@smoking4eve”（永远戒烟）等等，把你的目标融入你的密码，既能够深刻的记忆，同时也可以时刻提醒自己的近期目标，一举多得。此外，还有人告诉过我，他的密码是自己近一段时间记不住的英语单词，搭配上一些简单的符号，强迫自己每次登录系统之前背一边单词，久而久之，自然记住了。将生活融入密码，让密码提醒自己，既有趣又好记，岂不妙哉。

CAS、CSDN、GitHub、WeChat……根本记不住这么多密码

显然，将各个密码记录在一个本子上，显得笨拙且麻烦，安全性很成问题；此外，众多平台设置相同的密码，则更是孤注一掷的愚蠢做法。那么，如何管理用来登录众多系统的各不相同的密码呢？我们需要密码管家。

事实上，有不少软件可以提供密码管理的服务，比如“1Password”目前在 Mac和iOS 上享誉最棒的密码管理软件，只是单一平台单一版本需要差不多百元的费用；而LastPass目前跨平台做的软件最棒，它采取密码保管有两种方式：上传服务端和本地端保管（笔者认为从安全性角度应该是本地的，因为开放式的服务端被攻破的概率很高，尤其是这种密码管理服务，更是黑客们的众矢之的；目前LastPass服务端被攻破的新闻报道）；KeePass则是一款开源免费跨平台的软件，可以随意用，随意开发，扩展性强，唯一的缺点是UI有些丑。大家可以根据需求和自己可承受的能力对上面三款软件进行选择。

以上便是我要分享的关于密码的分类、逸闻趣事以及相关设置和管理技巧，不要厌烦修改密码，也不要恐惧丢失密码，让密码设置变得安全，有趣，有意义。