密码面对的三种威胁

在现实中密码会受到来自以下三个方面的威胁：日常、群体和定向。

“日常威胁”指的是你认识的人。爱管闲事的同事或者亲人可能想要登录你的账号。他们会通过自己对你的了解来猜测你的密码（而不是靠暴力破解软件）。日常的打探者也许会知道你的高中球队是野猫队（Wildcats）然后尝试这个密码，不过wildCatz1很可能足以打败他。

“群体威胁”就像垃圾邮件一样，不针对个人。职业身份窃贼并不是在专门针对你的账号搞破解，他对你的个人情况一无所知，他的目的是汇集一套破解过的账号密码清单，通常是拿去再卖钱。密码窃贼则使用破解工具，会先从安全防护措施较低的网站下手——通常是那些允许你猜很多次的网站。这也许是没有什么经济价值的网站，比如游戏网站。等软件猜对了之后，它再用同样的密码及其变体去猜你的更加安全的账号，比如银行。

“定向威胁”意味着使用软件的私家侦探或警探。假如一个训练有素的人想黑进你的账号，假如金钱、时间（甚至法律）都站在他那边，那他很可能会成功。唯一的反制手段就是使用随机密码，长到足以保证其搜索时间抵得上你的预期寿命，甚至更久。

不要觉得你不会成为这种目标，哪怕是小企业的竞争对手也可能愿意花费资源去偷一台笔记本电脑。离婚案件里身价颇高的另一半也可能这样做。黑客可能会讨厌某个人的企业或者政治立场。推特的全站，就曾经陷落过，注意不是某个用户而是全站，原因只是一位管理员傻乎乎地选择了happiness作为密码。2009年一位黑客在字典攻击中发现了这个密码，把它贴在了Digital Gangster上面，结果是巴拉克•奥巴马，布兰妮•斯皮尔斯，脸书和福克斯新闻等等大账户的推特都被盗用了。

短语记忆法的问题

正如生命里所有别的事情一样，鱼和熊掌不能兼得，你不能同时拥有最高的安全性和最高的易用性。常见的策略里最好的一条之一是，把一个短语或者句子变成密码。你挑选一句话，一个词组或者一句歌词，用它们的首字母来作为密码。比如如果你要用May the force be with you（愿原力与你同在）这句话，密码就是Mtfbwy。

但刚才那句话最好不要用，而这就是问题所在。你肯定会想起某个电影、某首校歌或者南方公园里的众人皆知的句子。你有几个八词以上的短语能原样背下来的？随便一个句子甚至不见得比随便一个词更难猜。而且很少有人费心去重整他们的句子生成的密码——看起来已经很随机了嘛！

一个理想的密码方案即便所有人在用也不会失效。但如果句子变密码这个方案流行开来，那所有的大众文化习语变来的密码都会进入常见密码清单，破解软件会先尝试这些密码。而且习语缩写词一般都是字母，比起同样长度的多种字符混合密码要更危险。

这个办法的有些缺点可以解决。比如，永远不要用名句。一个办法是用私人笑话。还记得科苏梅尔岛上餐厅里侍者对布伦达说的那句超好笑的话吗？你记得，布伦达记得，也许侍者还记得，再没有别人知道了。如果你选择这句话作为你的密码句，那么你很有可能是地球上唯一用这个句子的人。

但密码本身是不是还那么独一无二，就不那么确定了。不同句子的首字母缩写也有可能是相同的，产生同样的缩写密码。有些字母更容易成为一个单词的首字母，而黑客软件可以利用这个特点。

反向短语法

运用密码-句子对应的最佳办法，是把传统的方案颠倒过来。不是找一个句子把它变成密码（这样的密码不会很随机），而是先找一个真正随机的密码，然后把它变成好记的句子。

我以前一直用简单愚蠢的密码。后来我被盗号了，网站给了我一个由随机数字和字母组成的临时密码，我刚准备把它改掉，突然意识到其实我不用改，这种随机的密码我还是记得住的。