什么是好密碼？幾乎每一個(gè)網(wǎng)站都給出了差不多一樣的標(biāo)準(zhǔn)：

只要你的密碼滿足了這些標(biāo)準(zhǔn)，基本上網(wǎng)站都會(huì)獎(jiǎng)勵(lì)你一個(gè)綠色的強(qiáng)密碼標(biāo)示—好密碼。但是實(shí)際上你和網(wǎng)站都錯(cuò)了。為什么？原因首先要從密碼是如何被破解講起。

黑客如何破解密碼

網(wǎng)站是通過比對(duì)輸入的密碼與數(shù)據(jù)庫中的密碼來驗(yàn)證用戶的。但是一般這些密碼都不是以明文的方式存放，而是用哈希算法對(duì)保存的密碼進(jìn)行單向加密，輸出的結(jié)果是無法逆向工程出來的。比方說“123456”經(jīng)過SHA-1哈希算法得出的結(jié)果是7110eda4d09e062aa5e4a390b0a572ac0d2c0220，通過這個(gè)結(jié)果是無法知道原始密碼的。

然后用戶登錄時(shí)輸入的密碼也會(huì)被利用同樣的哈希算法計(jì)算出哈希值，再與存放在數(shù)據(jù)庫中的正確密碼哈希值比對(duì)，一致則說明輸入密碼正確。

拿到哈希密碼文件的黑客可利用暴力破解法比對(duì)哪個(gè)賬號(hào)與哪個(gè)密碼相關(guān)。他們可以從簡(jiǎn)單一點(diǎn)的密碼開始，這些密碼可以從之前的攻擊字典庫查找，也可以從一般的字典上查找，然后進(jìn)行單詞組合。

如果密碼長度較短，采用的字符集僅僅是大小寫的話，破解的速度會(huì)快很多。黑客可以用彩虹表（預(yù)先計(jì)算的哈希值）來加速暴力破解的速度。按理來說上述采用復(fù)雜不常見的密碼應(yīng)該是不錯(cuò)的選擇（比方說像Spooning1!，因?yàn)樯В茈y被列入彩虹表）。但實(shí)際上并非如此。

因?yàn)楝F(xiàn)在的計(jì)算能力已經(jīng)非常強(qiáng)大，用普通計(jì)算機(jī)結(jié)合顯卡陣列的GPU能力，暴力破解法每秒鐘可處理10億到千億用SHA-1算法加密的密碼。不過盡管如此，如果密碼有11、12位或以上，并且完全是在所有可能的字符中隨機(jī)生成出來的話，哪怕有這么強(qiáng)大的計(jì)算能力暴力破解法也是很難破解的。

講故事，設(shè)密碼

但問題是大部分人都不是用隨機(jī)生成的密碼的。當(dāng)然，大家不用隨機(jī)密碼也是有原因的，因?yàn)殡S機(jī)密碼難記（大腦機(jī)制就這樣，很難記住隨機(jī)字母數(shù)字符號(hào)組合）?？陕闊┚吐闊┰谶@里，因?yàn)槟切昂妹艽a”規(guī)則已經(jīng)被黑客熟知。Markus Jakobsson指出，其實(shí)這就是密碼設(shè)置的安全性與可用性的矛盾。

在研究中Jakobsson發(fā)現(xiàn)，有人因?yàn)橄矚g蘋果，所以密碼就用了“apples”，但是網(wǎng)站要求有大寫字母，所以他就把第一個(gè)字母改成了A，可能網(wǎng)站說這樣不安全，還必須有數(shù)字和字母，通常用戶就會(huì)選擇滿足規(guī)則的最簡(jiǎn)單方式，在后面加個(gè)1再加個(gè)！—“Apples1!”。按照前面密碼的設(shè)定規(guī)則，“Apples1!”無疑是一個(gè)好密碼（至少跟那些糟糕的密碼相比）。

但是黑客在破解時(shí)往往也會(huì)如法炮制，利用字典加上個(gè)別字母替換，以及上述常見的數(shù)字、符號(hào)擴(kuò)展來縮短破解時(shí)間（如利用馬爾可夫鏈技術(shù)來預(yù)測(cè)）。2013年中三位安全專家就利用了某一泄露的數(shù)據(jù)庫進(jìn)行過測(cè)試，其1小時(shí)成功率為60%，而20小時(shí)成功率更是達(dá)到了90%。

作為替代，Jakobsson建議用戶采用所謂的“

快速寫詞

”法來設(shè)置密碼，即用幾個(gè)單詞來組織成一個(gè)故事，從而構(gòu)成密碼組合。比方說，跑步時(shí)踩到一只松鼠，可以快速記憶為“running forest squirrel”。這種辦法因?yàn)橛泄适虑楣?jié)所以方便記憶，但是由于所用字符數(shù)通常超過了10到12個(gè)，暴力破解法是很難破解的，除非破解者采用單詞組合等其他技術(shù)。但是單詞組合的可能性近乎無限，對(duì)于暴力破解來說差不多是無解的。

話雖如此，在設(shè)置密碼時(shí)故事也不能亂講。研究者發(fā)現(xiàn)，用“快速密碼”法設(shè)置的密碼的安全性取決于所用組合在語料庫中出現(xiàn)的概率。比方說，常見的“I love you honey”在微軟的語料庫Web N-gram Services中的出現(xiàn)頻率為2/100000000，相對(duì)而言這屬于很糟糕的密碼。而講述工作路上不小心踩扁了一只青蛙的“frog work flat”的出現(xiàn)幾率卻只有百萬的3次方份之一，強(qiáng)度非常之高。所以，要想取好密碼，關(guān)鍵得講好你的故事。

不過密碼專家認(rèn)為，相對(duì)于僅僅在密碼設(shè)置上下功夫，更好的辦法是廣泛采用雙因子認(rèn)證的方式來確保安全，這樣不安全的密碼就不會(huì)成為抵御攻擊的唯一屏障了。

[本文編譯自：wired.com]