那怎樣的密碼才算安全？

創造一個安全密碼簡直是世界上最簡單的事情：一串完全隨機的字符就是了�？孔约旱哪X子是無法達成完美隨機的，但你也不需要這樣苛求自己：許多網站和應用可以拿環境噪聲的數據給你提供完全隨機的密碼。這里是我在random.org上獲得的一些密碼例子：

Vk54z6XG

Px7YZrm3

NfdeKYsY

FryVMwMk

BVfqbRQb

問題解決？對于那些有迫害妄想的記憶狂人，或者那些用指紋識別來保障密碼管理軟件安全的人來說，確實如此。剩下所有人都甭指望能記住這堆字母湯。他們還說每個賬戶要有不同的密碼！

比起專家來說，大多數用戶都更在乎密碼的方便好記，而不那么在乎安全性。我不知道哪一方更正確。你家里有緊急避難室嗎？十有八九是沒有吧，但那些裝了避難室的人肯定會告訴你這玩意兒有多重要。但在你飛奔向避難室之前，也許確保自己始終鎖好前門是更佳的選擇。

　　密碼面對的三種威脅

在現實中密碼會受到來自以下三個方面的威脅：日常、群體和定向。

“日常威脅”指的是你認識的人。愛管閑事的同事或者親人可能想要登錄你的賬號。他們會通過自己對你的了解來猜測你的密碼（而不是靠暴力破解軟件）。日常的打探者也許會知道你的高中球隊是野貓隊（Wildcats）然后嘗試這個密碼，不過wildCatz1很可能足以打敗他。

“群體威脅”就像垃圾郵件一樣，不針對個人。職業身份竊賊并不是在專門針對你的賬號搞破解，他對你的個人情況一無所知，他的目的是匯集一套破解過的賬號密碼清單，通常是拿去再賣錢。密碼竊賊則使用破解工具，會先從安全防護措施較低的網站下手——通常是那些允許你猜很多次的網站。這也許是沒有什么經濟價值的網站，比如游戲網站。等軟件猜對了之后，它再用同樣的密碼及其變體去猜你的更加安全的賬號，比如銀行。

“定向威脅”意味著使用軟件的私家偵探或警探。假如一個訓練有素的人想黑進你的賬號，假如金錢、時間（甚至法律）都站在他那邊，那他很可能會成功。唯一的反制手段就是使用隨機密碼，長到足以保證其搜索時間抵得上你的預期壽命，甚至更久。

不要覺得你不會成為這種目標，哪怕是小企業的競爭對手也可能愿意花費資源去偷一臺筆記本電腦。離婚案件里身價頗高的另一半也可能這樣做。黑客可能會討厭某個人的企業或者政治立場。推特的全站，就曾經陷落過，注意不是某個用戶而是全站，原因只是一位管理員傻乎乎地選擇了happiness作為密碼。2009年一位黑客在字典攻擊中發現了這個密碼，把它貼在了Digital Gangster上面，結果是巴拉克•奧巴馬，布蘭妮•斯皮爾斯，臉書和�？怂剐侣劦鹊却筚~戶的推特都被盜用了。