如何让保障你的密码安全？

想要保障密码的安全，不被破解，我们就需要使用复杂密码来防止洗库。为了防止撞库，我们就要对密码进行分级，在不同网站使用不同的密码。

一，使用复杂密码。

密码的强度与密码长度、字符范围、随机性相关。密码长度自然是越长强度越高，8位是基本的要求。字符范围是指是否包括大写字母、小写字母、数字和特殊字符，每增加一种字符，密码强度就会成几何倍数增加。随机性指的是密码不具有明显的特征，比如 123456，password，iloveyou 这类密码。

在网站 HowSecureIsMyPassword 中测试 123456asd 、123456asdF、123456asdF! 的暴力破解难度分别为 42分钟、8个月和400年。

二，密码分级，在不同网站使用不同的密码。

对密码进行分级，在不同网站使用不同的密码最大的好处是，即使 A 网站发生了密码泄漏，我们在 B 网站上的密码也不受影响。根据密码的使用场景，我们可以把密码分为三个级别：财产级密码、重要级密码、一般性密码。

财产级密码：

与财产相关的密码。通常只能用数字做为密码，比如银行卡密码、支付密码、手机PIN码、保险箱密码等。

重要级密码：

与重要隐私相关的密码。比如邮箱、门户网站、社交网站、购物网站、密码管理工具主密码、加密文件密码等。

一般性密码：

财产级和重要级密码之外的密码都可以归为这类。包括小众网站、小众论坛，临时帐号、共享帐号、宽带WIFI等。

如何让你的密码安全又好记？

为了保障密码的安全，人们通常会使用更长更复杂的密码，其结果是导致经常记不往密码，每次登录都要使用“找回密码”功能，这时人们又会开始转向于使用简单的密码，又会在多个网站上使用同样的密码，密码的安全性和易记性往往很难兼得。所以，密码管理，首先是策略的选择问题。

财产级密码，通常只有 6-8 位数字密码，简单不容易忘记，我们完全可以用大脑去记，即使忘记了也可以用身份证找回。只要别使用生日/电话做为密码就行，而且这类密码都有很强的防范机制，输入错误几次后就会锁定，还有短信提醒之类的。

一般性密码，通常是不怎么重要，即使丢失被盗也没啥大不了的密码。这就解释了为什么“最差密码排行榜”第 13 名会是"welcome"，像是在和隔空喊话，说你快来盗我的密码吧，因为这类密码没什么重要的。还有这类密码的防范措施通常较弱，是能轻易破解的。

所以，对于这类一般性密码，我们完全可以使用一个通用的密码，比如 123456asdF。

而我们真正需要管理的密码是重要级密码。

重要级密码，通常是那些可以信任的大公司，这些大公司网站会有较强的密码保护机制，比如验证码登录，异地IP登录提醒，手机短信验证等。我们要做的就是，确保在这些网站上使用的是复杂密码，而且每个网站都不一样。而为了能轻松记住这些密码，我们可以设计一套密码规则：「基础密码 + 变化规则」。

1、选定一个基础密码。

选择一句对自己有意义又能容易记住的话，它可以是一句古诗，一段歌词，一句名人名言，又或者是你生编硬造的话，只要你能记住就行，然后取这句话的拼音或者英文单词首字母做为基本密码。比如“Nothing Gonna Change My Love For You”缩短为"ngcmlfy"，又比如“人帅也要多读书”缩短为“rsyydds”。

我们以“高效方法论2019”转换为基础密码“gxffl2019”来举例。

2、变形这个基础密码。

密码的复杂度很重要，密码是否包含有大小写字母、数字、特殊符号的差别是巨大的。特殊符号因为没有意义，加入到密码中来会提高记忆难度，一个好的应对方法是：对原有密码里的字母进行变形，使用相似的特殊字符来替代部分字母。比如

字母变为特殊符号：把a变成 @，b变成 &，c 变成 (，h 变成' # '，s 变成 $，l 变成 !，x 变成 * 等。

如果密码中有数字序列，也会导致密码有明显的特征，比如 2019 代表的就是年份，应对方法是：对原有密码里的数字进行变形，使用字母来替代部分数字。比如

数字变为字母：把 2 变成 z，3 变成 e，4 变成 a，5 变成 s，7 变成 t，9 变成 g 等。（3，4，7 与大写字母 E，A，T 相似）。            

基础密码转换过程：高效方法论2019 --> gxffl2019 --> gff!2019--> gff!z01g

3、基础密码加入网站标识。

取网站域名的第1、2位字母和第3、4位字母，分别加入到基础密码的开头和结尾。

比如 baidu.com 就是 bagff!z01gid，google.com 就是 gogff!z01gog。

接着使用驼峰式大小写，把密码的第 2 位字母和倒数第 2 位字母变成大写字母，

也就是 bAgff!z01gId 和 gOgff!z01gOg。

基础密码转换过程：

高效方法论2019 --> gxffl2019 --> gff!2019 --> gff!z01g --> bagff!z01g9id --> bAgff!z01gId

密码基础转换过程

到目前为止，我们就得到了一份可以应用于多个网站，看似乱码，但极为安全且容易记的密码清单了。

三、密码管理工具可以取代人工管理吗？

现在开始流行一种使用工具来做密码管理的方法，思路是将所有密码交由工具管理，我们只需要记住一个主密码，而且生成密码、记忆密码和填写密码都由工具来自动完成。比如有 Lastpass、KeePass 和 1PassWord。就安全性而言，这些密码管理工具鼓励使用随机密码，也有多个网站使用同样密码的测试提醒，配合 AES-256 的加密算法，完全没有破解的可能。

LastPass 是一款将密码保存在云端的密码管理工具，KeePass 则是将密码保存在本地，开源免费，但上手难度较大，1PassWord 可以说是前两者的结合体，综合了两者的优点，但价格较贵，价格大约需要20元一个月。总的来说，免费且易用的密码管理工具，LastPass 是目前更好的选择。

那把密码放在 LastPass 的服务器上安全吗？

答案是安全的。LastPass 的加密方法是把帐号和主密码通过算法得到一个值，然后再用个值去加密用户的各个密码，然后储存在服务器上。所以不用担心，即使攻破了 LastPass 的服务器（有过被攻破的记录），因为无法破解数据库，除了把你的密码数据库删除外，其他什么都做不了，况且 LastPass 加密解密的过程都是在本地进行。

那密码管理工具能完全取代人工管理密码吗？

答案是不能的。首先，密码管理工具都是要收费的，这类工具目前还不是一种基础性的工具。1PassWord 需要大约 20元一个月，KeePass 虽然免费，但上手难度高。LastPass 虽然也免费，但要在多个设备上同步就需要付费了，LastPass 的这种免费策略可以理解为一种变相的收费策略。

还有一个问题就是，在一些安全性要求高的网站，密码工具的自动填写功能会失效，也无法直接复制粘贴密码，这时你需要手动输入一长串随机的复杂字符，想必你一定会抓狂吧。

所以，使用基础密码变形为主，密码管理工具为辅的密码管理方法更为明智。

原文地址 https://www.runningcheese.com/password#read