如何创建强密码

新手强密码创建指南

发表于2023年10月27日，作者：Kelly Damon

我们都记得那些话：你的密码必须至少包含八个字符，一个数字，一个符号，还有一只梨树上的鹧鸪。如果你和我一样，最终会忘记自己选择的密码，只能羞愧地点击“忘记密码”链接。

强密码可能让人觉得麻烦，但它们节省下来的那额外两分钟时间，可能会成为安全账户和黑客攻击之间的关键。在当今这个人际生活几乎完全在线的世界里你不能承受后者的代价。

“12345”和“密码”的时代已经一去不复返，那么，如何才能跟上时代呢？这将是你关于密码的全面指南如何创建有效的密码，为什么它们是不可妥协的，以及我们为什么会陷入这样的局面。

密码到底是什么？

虽然我们不常思考密码，但它并不是什么新概念。大多数资料将其起源追溯到古罗马，当时哨兵使用口令来区分敌人和同伴。

在历史上，密码也一直占据着显著位置，从禁酒令时期识别走私者， 到二战期间将盟友与德军分开。再加上娱乐方面密码在《阿里巴巴与四十大盗》、《哈利波特》甚至《指环王》等故事中发挥了重要作用。

我们今天所知的密码是在1960年出现在麻省理工学院。人员需要一种方法来在共享设备上区分他们的会话和文件，于是计算机科学家Fernando J Corbat开始着手开发现代密码。

这被认为是解决麻省理工学院问题最简单有效的方法，因此，其他机构也纷纷采用尤其是军方和研究机构，因为个人电脑尚未普及到家庭。

我们可以宽恕Corbat博士这一点，但他的原始密码系统有一个重大安全漏洞。用户可以简单地打印出所有存储的密码，从而访问他们想要的任何会话。有些账号会声称用户这样做是为了在分配的时间内溜进更多的时间，而其他用户则留下对他们不喜欢的同事的恶意留言。

随着个人电脑的兴起，密码不仅仅是解决麻省理工学院时间共享问题的工具。它们演变成了一种必要的安全措施，网络上没有人可以做到没有它们。它们不仅保护军事机密和机密信息，更重要的是：保护我们的隐私。

密码被黑的类型

暴力破解攻击

简单暴力破解攻击 黑客通过系统地尝试可能的组合来获取你的密码，直到成功为止。字典攻击 类似于简单暴力破解攻击，黑客通过一个常用词汇表寻找匹配。凭证填充 由于许多人在多个账户上使用相同密码，如果黑客获得了你的密码，他们会尝试在其他网站上使用你的凭据，看看能否成功登入。密码喷射 黑客获取大量用户名，使用单一密码尝试登录，直到找到匹配。如果该密码失败，他们就会换一个。爬虫攻击 有时候，黑客通过观察破解密码。在爬虫攻击中，网络犯罪分子研究你的账户，编制一个可能的单词列表，并以此猜测你的密码。彩虹表 一些公司通过哈希过程来保护你的密码这是将你的密码替换成加密序列的过程。彩虹表是网络犯罪分子用来破解这种加密的工具。

社交工程

网络钓鱼 钓鱼是指诈骗者伪装成合法品牌，与您联系并请求您的个人信息或凭证。通常，这些诈骗者充当技术支持，谎称存在账户问题，或试图通过假赠品和奖品的消息引诱你。鱼叉式钓鱼 骗子可能假装成你认识的人如好朋友、亲戚或同事希望你更愿意透露你的凭证或私人信息。鲸鱼攻击 如果钓鱼攻击已经够糟糕了，鲸鱼攻击是指诈骗者假冒你的老板或工作中的任何高级人员，向你索要凭证。大多数人都不会反应。

窃听

中间人攻击 黑客在你与正在访问的网站之间悄悄设置自己，从而拦截你的数据或通信。有时他们会窃取数据，其他时候会将你重定向到可疑网站，完成他们的工作。键盘记录 键盘记录器记录你在计算机上输入的所有内容。有时它们是合法使用，但更多的是间谍软件，网络犯罪分子用它们来弄清你的凭证。窥视 如果你不小心，网络犯罪分子无须费劲，就能突破你的账户。一些黑客只是观察你登录，并记住你的密码。

简单密码如何危及你的隐私

快速测验：如果你获得了一笔巨额金钱，你想把它放在哪里？

共享冰箱根本不安全想想那些偷午餐的人。他们只是查看谁的午餐可以拿，然后就拿走。一个保险箱可能还行，但它也有一些问题，它显然放着值钱的东西，任何有决心的小偷都可能会窃取整个保险箱，然后找到方法打开它。选项C是最好的选择，因为虽然破坏银行并非不可能，但远没有那么简单。

同样的逻辑适用于密码。网络犯罪分子真的很想要你的数据，傻乎乎的、情感化的或简单的密码无法阻止他们。黑客依赖于你的粗心大意来实现他们的目的，并专门针对那些对技术不熟悉或不小心的人。

就像银行一样，你可以肯定网络犯罪分子会尝试，因此你能做的就是让他们成功的难度大到极致。

如何创建最强的密码

1 注重长度

密码的字符越多，网络犯罪分子解码的难度就越大，原因有两个。

首先，较长的密码更难猜测，因此减少了成功暴力攻击的可能性。其次，大多数黑客软件会尝试所有可能的字符组合，直到找到匹配。因此，在这种情况下，更多的字符意味着指数级的可能排列更多。

2 正确实施复杂性

长度不是密码安全的唯一要素，有时候你注册的站点会有字符限制，因此不能仅依赖于长度。你还需要加入一两个变数。

当你设置新密码时，几乎总会提示你包含字母、数字和特殊字符。这是为了增加复杂性与上述理由相同。这会增加网络犯罪分子破坏你账户的难度。

问题在于，你可能从未被教会如何有效地增加复杂性。

每个单词首字母大写，替换元音为@，尾随加1，并以感叹号或问号结束，就是最古老的，也是最可预测的套路。

M@ryHadlittlelamb1!与admin123一样无效，因为这太明显。另一方面，M#rhd1l!tTleL@mB)并不是这么简单。

如果你想要更加创造性，你可以加入一些外文字符。例如，如果你说英语，可以尝试汉字、变音符号或西里尔字母。但需要注意，你的设备或所注册的网站可能会有限制。

上述只是个例子。请不要使用任何与玛丽及其宠物相关的内容作为密码。这种方式十分过时，已经成为了“不要这么做”的模范。

3 不要使用个人信息

大多数人选择情感化的密码是因为记忆简单，但如果你在网上有任何存在感，可能无意中就在传达你的凭证。

想想你分享的所有个人细节从你的名字、生日和对家乡的美好记忆，到你最喜欢的运动队、明星崇拜者或度蜜月的地方。绝不要将这些细节添加到密码中，你永远不知道谁在观察你。

TaylorSwiftStan1993也许已经深埋在你的脑海中，但方便的记忆与安全风险相比根本不值得。

4 不要重复使用密码

如果你将Facebook的密码设置为JohnDoeFacebook，而黑客猜到了这密码，你认为他们接下来会怎么做？他们会尝试JohnDoeInstagram、JohnDoeYouTube、JohnDoeTikTok，等等。同样的道理适用于更新后的密码。如果你的密码是JohnDoe1，绝不要改为JohnDoe2。

变换密码看似是个好主意，但事实正好相反。我们是有习惯的生物，网络犯罪分子对此十分了解。这又是一种他们学会的默认策略，并加以利用。

5 使用密码生成器

在创建登录时，你应该尽量生成一个混乱的密码。如果网络犯罪分子试图进行暴力破解攻击，随机性将降低他们正确猜测密码的几率。

它在一定程度上也能对抗黑客软件。大多数黑客工具使用特定的系统算法。你的密码越不一致，计算机破解它的时间就越长。

问题是，我们在创造真正随机的内容方面很糟糕，因为有一种叫做模式识别patternicity的情况我们天然倾向于在万物中寻找模式。更重要的是，创造一个长度、复杂性和不可预测性都很高的密码，比听起来难得多，你该怎么办？

虽然你可以尽力自己构造密码，但最好还是依靠密码生成器来帮你完成。计算机无法创造真正的熵，但这是我们能够做到的最接近的地方。随机生成的密码通常是可定制的起码在长度上，并且完全剔除了个性特点。黑客无法从中获得线索，你的凭证将比你自己想出的密码更安全。

创建强密码的最佳实践

一旦你创建了一个强密码，你的工作并没有结束。以下五个建议将进一步确保那些罪恶的网络犯罪分子无法获取你的数据。

1 永远不要留下纸质记录

记下密码并不是犯罪，我敢打赌大多数人在某个时候都这样做过，但如果不受欢迎的人偶然发现，那他们将立即获得你账户的访问权限。如果你需要提醒自己的密码，请确保它是陌生的并藏在不易被发现的地方。你也可以选择使用密码管理器，让你的生活更轻松。

2 从不点击可疑链接

这里是一条经验法则：如果链接或附件看起来可疑，它们就是。无论你做什么，请不要点击或下载它们。十次中有九次，它们都是钓鱼诱饵，旨在通过拦截或恶意软件获取你的凭证。

绝不要与任何人分享你的密码，尤其是在网上。公司绝不会出于任何理由要求你的凭证或敏感信息。如果有人积极试图获得你的登录信息或个人细节，快逃吧。

3 针对不同账户使用不同密码

如果最糟糕的事情发生了，有人盗取了你的凭证，你绝对不希望他们能访问你所有的账户。在各个应用中不要使用相同的密码。只需一次数据泄露，网络犯罪分子就能劫持你整个数字生活。记住数十个密码虽然有些麻烦，但这是为了额外安全付出的微小代价。

4 不要不必要地更改凭证

国家标准与技术研究所NIST建议不要任意更改密码。不仅影响你记忆密码的能力，而且也对数字安全没有重大影响。如果你有一个强密码，就保持不变！

5 使用其他安全工具

多因素认证是你最好的朋友。这要求你在访问任何个人资料之前进行干预，可能是通过你的生物特征、电子邮件确认、一种一次性密码或物理安全令牌。这种方式，即便有人获取了你的凭证，他们仍然无法进入你的账户。

虽然VPN默认情况下不会保护你的密码，但它可以防止网络犯罪分子追踪你或拦截你的连接。下载PIA加强安全防护。你将获得加强隐私所需的所有工具，包括世界级的加密、杀开关、DNS泄漏保护和免费的广告拦截器。

密码管理器安全吗？

好的密码管理器通常是保持密码安全的最佳方式，因为它们是加密的。如果网络犯罪分子拿到你的秘密，他们无法解读，数据将毫无价值也不会被触及。

拥有一个密码管理器比没有要好，但仍需谨慎。它们是优秀的工具，但并非不可渗透。许多曾经历过数据泄露，在某些情况下，敏感用户数据被攻击者成功获取。

离线密码管理器虽然不那么方便，但由于它们将密码保存在你的设备上，而不是云端或远程服务器，攻击面显著较小。

同任何事情一样，在承诺之前要做好研究，并仔细检查你选择的密码管理器的声誉和历史。

不要邀请吸血鬼进来

说到密码让我想起了《GI Joe A Real American Hero》。在我小时候，我对NES游戏情有独钟，但我总是玩得很糟糕，使用Rock ‘n Roll的密码次数之多，直到今天我仍能记住。

说到乔队的团队，记得他们的公益广告吗，知晓是战斗的一半？我们从未被告知另一半是什么，但我们猜测是行动。如果我们不为之付出行动，知识并不能为我们提供太多帮助。

实际上，增强密码强度没有懒惰的办法除非你选择密码管理器。即便如此，仍建议开启多因素认证以确保安全。

更重要的是，你不能只依赖密码来保护自己。你可以创造出世界上最强的密码，但如果你不实践良好的数字卫生习惯，这一切都是毫无意义的。

评论关闭。

2条评论

在当今数字环境中，创建一个强密码至关重要。你的文章提供了实用的技巧和全面的防御构建方法。将密码比作锁和钥匙的类比引人共鸣，强调创造密码时不能忽视的人为因素也很有价值。感谢你的宝贵见解！

同时，检查这个博客：

https//passwordwpcom/improvewordpressloginsecurity/

11个月前

1 Nur Al Halah

谢谢你的好评，Lindsey。我们很高兴你喜欢这篇文章！

9个月前

• • 2024-10-30 13:45:50
  • 23