你以為越複雜的密碼越安全？小心那些錯誤認知

【PConline 雜談】如何在網路社會中保護自己的個人隱私， 長久以來都是一個讓人揮之不去的現實問題。 幾十年的積累， 現代人已經完全掌握了密碼的“構造”方法， 自認為從此便可以真的高枕無憂， 然而事實卻遠非如此。

你以為越複雜的密碼越安全?小心那些錯誤認知

一旦我們的頭腦中形成思維定勢， 往往很容易被這種思維“慣性”所左右， 例如當環境或事物發生變化時， 它會妨礙我們積極的去思考， 或是失去辯證看問題的能力而走進那些我們沒有查覺的誤區當中。 例如， 當被問到‘是否越複雜的密碼也就越安全’這一問題時， 相信絕大多數的人會回答是， 然而答案卻是否定的（怎麼會！）。

這樣的誤區你有嗎？

通常我們會認為將帳號密碼設置的越複雜越好， 例如將一個長字元的單詞打散後在將其無規律的重新組合起來， 並深信不疑的認為這樣別人就很難猜到，

然而這麼做除了難為你自己以外， 並不會對那些偷窺者造成‘掉血’式的殺傷力。 但對於那些企圖竊取別人隱私的人來說， 他們大可不必靠腦力運用概率去猜密碼， 而是只需將“解密”這件事交給計算能力更強運算速度更快的電腦處理就行。

另一方面， 隨著網路社會的快速發展， 帳號多了密碼也隨之增多， 為了方便記憶， 很多人都會為不同的帳號設置相同或相似的密碼， 這些使用相似密碼的帳號， 其安全隱患無疑是顯而易見的。

當然， 也有一部分人意識到了此問題的嚴重性， 為了避免這種情況而選擇將密碼分成兩部分， 一個是例如123456的主要部分， 另一個則根據不同帳戶來定， 例如QQ密碼設為qq123456 ， Gmail密碼則設置成gmail123456等等諸如此類， 倒是頗有掩耳盜鈴的意味。 實際上， 這才是真正危險的， 因為一旦一個帳戶的密碼被破解， 很容易就看清其密碼的設置規律。

決定密碼安全等級的關鍵是什麼？

那麼問題來了， 決定密碼安全等級的關鍵是什麼？答案是：密碼長度。 我們用資訊學中的資訊熵（對資訊多少的量化稱資訊熵）作為評估密碼強度的標準，

其計算公式為H=L*log2N（L表示密碼長度）， 至於當中N的取值我們還是來看看下面這個表格。

根據公式可以知道， 密碼強度（H）與密碼長度（L）和字元種類（N）兩者有關。 假設密碼的長度單位是比特， 8個比特為一個位元組， 如果一台電腦的計算能力為每秒完成256次組合運算， 破解8個字元組成的密碼僅需4分16秒；若密碼長度為16個字元， 破解它需要149,745,258,842,898年。 。 。 當然， 我們只是舉了一個比較極端的例子。 實際上， 只有95（26個小寫字母+26個大寫字母+10個數位+33個標點符號）個字元能用來當做傳統的密碼使用（生物識別另說）。

介於以上種種， 也有不少人將自己的密碼設置的既複雜又長， 然而在一次次的“設置-遺忘-設置”迴圈中，

我們開始傾向性地選擇那些常用資訊作為自己的密碼， 例如姓名、生日、電話等等， 這為暗處的駭客創造了肆意作惡的機會。 有人曾專門研究人們設置密碼時的偏好， 發現大多數的人都喜歡用人名、地名、字典詞彙、數位來設置自己的密碼， 還有少數人直接把用戶名當做密碼， 然而不管哪種都存在極大的安全隱患。 一旦駭客掌握了這些“偏好”， 只需邊寫一個密碼字典， 就能暴力破解這些帳號的密碼。

如何設置一個靠譜的密碼？

一個好密碼應當兼顧安全性與可用性。 在本期文章的最後， 我們將給出一些設置密碼的方法， 希望能夠幫助各位創建一個無法破解的密碼。

Bruce Schineier方法。 2008年提出的一種密碼思路， 即找一個句子（可以是任何一句話），將句子中的每一個單詞找出來，縮略為一個字母，然後通過獨特的方式組合成為一段密碼，最後一句話生成一個密碼。例如，W?ow?imp::ohth3r→Where oh where is my pear? Oh, there

Electrum錢包法。知曉比特幣的朋友大概都知道錢包的“密碼”位址是怎樣形成的。Electrum是一個比特幣錢包服務，能夠為使用者的比特幣錢包位址，通過雜湊機制轉換為一個12個單詞組成的助記碼。例如，下麵這幅圖片。

PAO法。其實，是卡耐基梅隆大學電腦科學家建議使用的一種名為‘人-動作-物品’（即Person-Action-Object，PAO）的密碼助記方法，來創建和記憶高安全性的密碼。大致方法就是，找一個有趣的地方的一張照片、找一個你熟悉的人或名人的照片、想像這個人在這個地方做的一件事，例如傻臉娜在家做飯（selena gomez cook at home），形成sgcoho這樣一個隨機的6位元密碼，當然你可以創建不同長度的密碼。

發音和肌肉記憶法。隨便找一個密碼生成器，生成至少20個至少10位元長的密碼，當然要包括數位和字母，反復看並找到一些和單詞類似的發音結構，找到那些勉強能夠發音出來的密碼，而且能夠大概寫成短句的，例如drEnaba5Et→doctor enaba 5 E.T.，又或是BragUtheB5→brag you the V5。

即找一個句子（可以是任何一句話），將句子中的每一個單詞找出來，縮略為一個字母，然後通過獨特的方式組合成為一段密碼，最後一句話生成一個密碼。例如，W?ow?imp::ohth3r→Where oh where is my pear? Oh, there

Electrum錢包法。知曉比特幣的朋友大概都知道錢包的“密碼”位址是怎樣形成的。Electrum是一個比特幣錢包服務，能夠為使用者的比特幣錢包位址，通過雜湊機制轉換為一個12個單詞組成的助記碼。例如，下麵這幅圖片。

PAO法。其實，是卡耐基梅隆大學電腦科學家建議使用的一種名為‘人-動作-物品’（即Person-Action-Object，PAO）的密碼助記方法，來創建和記憶高安全性的密碼。大致方法就是，找一個有趣的地方的一張照片、找一個你熟悉的人或名人的照片、想像這個人在這個地方做的一件事，例如傻臉娜在家做飯（selena gomez cook at home），形成sgcoho這樣一個隨機的6位元密碼，當然你可以創建不同長度的密碼。

發音和肌肉記憶法。隨便找一個密碼生成器，生成至少20個至少10位元長的密碼，當然要包括數位和字母，反復看並找到一些和單詞類似的發音結構，找到那些勉強能夠發音出來的密碼，而且能夠大概寫成短句的，例如drEnaba5Et→doctor enaba 5 E.T.，又或是BragUtheB5→brag you the V5。