短語記憶法的問題

正如生命里所有別的事情一樣，魚和熊掌不能兼得，你不能同時擁有最高的安全性和最高的易用性。常見的策略里最好的一條之一是，把一個短語或者句子變成密碼。你挑選一句話，一個詞組或者一句歌詞，用它們的首字母來作為密碼。比如如果你要用May the force be with you（愿原力與你同在）這句話，密碼就是Mtfbwy。

但剛才那句話最好不要用，而這就是問題所在。你肯定會想起某個電影、某首校歌或者南方公園里的眾人皆知的句子。你有幾個八詞以上的短語能原樣背下來的？隨便一個句子甚至不見得比隨便一個詞更難猜。而且很少有人費心去重整他們的句子生成的密碼——看起來已經很隨機了嘛！

一個理想的密碼方案即便所有人在用也不會失效。但如果句子變密碼這個方案流行開來，那所有的大眾文化習語變來的密碼都會進入常見密碼清單，破解軟件會先嘗試這些密碼。而且習語縮寫詞一般都是字母，比起同樣長度的多種字符混合密碼要更危險。

這個辦法的有些缺點可以解決。比如，永遠不要用名句。一個辦法是用私人笑話。還記得科蘇梅爾島上餐廳里侍者對布倫達說的那句超好笑的話嗎？你記得，布倫達記得，也許侍者還記得，再沒有別人知道了。如果你選擇這句話作為你的密碼句，那么你很有可能是地球上唯一用這個句子的人。

但密碼本身是不是還那么獨一無二，就不那么確定了。不同句子的首字母縮寫也有可能是相同的，產生同樣的縮寫密碼。有些字母更容易成為一個單詞的首字母，而黑客軟件可以利用這個特點。

　反向短語法

運用密碼-句子對應的最佳辦法，是把傳統的方案顛倒過來。不是找一個句子把它變成密碼（這樣的密碼不會很隨機），而是先找一個真正隨機的密碼，然后把它變成好記的句子。

我以前一直用簡單愚蠢的密碼。后來我被盜號了，網站給了我一個由隨機數字和字母組成的臨時密碼，我剛準備把它改掉，突然意識到其實我不用改，這種隨機的密碼我還是記得住的。

我們的大腦非常擅長在隨機的數據中尋找規則，這也是我們記住電話號碼和身份證號的辦法，這也同樣可以用于記憶像RPM8t4ka這種隨機密碼，這是我剛在random.org上得到的。盡管這個密碼確實是隨機的，但我們的眼睛和大腦卻可以立即從中找到記憶的規則。比如這個密碼的前三個字母都是大寫，后三個字母都是小寫，數字8是兩倍的4。

你也可以輕易地用一個無意義的短語來記住這個密碼，比如RPM8t4ka就變成了revolutions per minute，8 track for Kathy（每分鐘轉速，給凱西8軌）。我不知道這句話有什么意思，但我知道我可以相當容易地記住這句話。

一個強密碼

我使用的是“一個強密碼”的原則。考慮到密碼在我們的生活中的重要性，記住一個隨機字符串還是很值得的。你能記住你的電話號碼，為什么不再記一個密碼？

一旦你找到了你的強密碼，“拼你的老命保護它，”用安全專家尼克•貝里（Nick Berry）的話說。盡一切力量讓你的電腦遠離惡意軟件，只在值得信任和重要的網站用這個密碼。至于游戲網站和其他不重要的網站，我會用和這個密碼完全不同的一個簡單密碼。

偷走密碼的辦法實在太多，這有理由讓我們在不同的網站使用不同的密碼。一種定制方案是，取網站名字的最后一個字母，然后把這個字母放在你的密碼的開頭。比如在Facebook，你就把k放在密碼的開頭，這樣就變成了kRPM8t4ka。盡管這種辦法不是絕對的安全，但也不錯了。這樣即便別人看見你在登陸Facebook時輸入的是kRPM8t4ka，他也對如何獲得你的銀行密碼一無所知。群體攻擊者會收集成千上萬的密碼，只要其中有一部分原樣也能在別的網站用就成了，剩下那些他很可能不會在乎。

我的強密碼里并沒有標點符號或者非ASCII的字符。萬一有網站要求這樣字符的，我就在末尾加個好記的符號。