美國國家安全局（NSA）為了破譯恐怖組織的密碼以挫敗其陰謀，斥鉅資建造了一台可以破解一切密碼的機器：萬能解密機。這是美國作家丹 布朗在其小説《數字城堡》中虛構的情節。以人類今日之科技實力，打造這樣一台無堅不摧的“神器”還只是個遙遠的夢想，但如何在網絡社會中保護自己的個人隱私一直是個現實的問題。20多年來，現代人已經掌握了“數字城堡”——密碼的構造方法，自認為可以高枕無憂，但事實遠非如此。

　　很不幸，答案是否定的。人們通常認為，把密碼設得越複雜，別人就越難猜到，但這樣一來無疑增加了記憶的難度。而對於那些企圖窺探你秘密的人來説，他們也只是想不到，而非“猜不到”。現如今，還有幾個人破譯密碼是靠大腦“猜”的呢？

　　這就正如 XKCD 所説的那樣：經過二十年的努力，我們成功地陷入一個誤區，那就是把密碼設的越來越難以記憶，然而卻被計算機很輕鬆地就破解出來了。

　　那保證密碼強度的關鍵到底是什麼呢？其實，上面的漫畫已經給出了答案：密碼長度。

　　這裡引入信息學中的信息熵（我們常聽人説這個信息多、那個信息少，對信息“多少”的量化就是信息熵），用它來作為密碼強度的評估標準。信息熵計算公式為 H = L * log 2 N，其中，L表示密碼的長度，N的取值見下表：

　　從上面的公式和表中，我們可以看到，密碼強度 （H） 與密碼長度 （L） 和密碼包含字符的種類 （N） 這兩個因素有關。然而它們對密碼強度的影響是呈指數倍的關係。

　　舉個例子，假設密碼長度的單位為比特，8個比特即為一個字節（即輸入密碼時的一個字符，一個字節可以代表256個不同字符），如果某臺超級計算機的計算能力為每秒能完成 2 56 次組合運算，破解8個字符組成的密碼僅需4分16秒。當密碼長度達到16個字符的時候，暴力破解它需要 149,745,258,842,898 年！要知道太陽的壽命也只有約10,000,000,000 年，而目前世界上速度最快的計算機K Computer也只能每秒完成約 2 53 次運算。當然，這只是一個極端化的例子。事實上，我們可以用來當密碼使用的字符只有 95 個（ 26 個小寫字母 + 26 個大寫字母 + 10個數字 + 33個標點符號）。

　　在現實生活中，我們都選擇“一把鑰匙開一扇門”。誰都不會希望有一把鑰匙既能用來開家門，也能用來開車門、公司的門、宿捨得門，因為這把“萬能鑰匙”一旦丟失，損失將是慘重的。隨著網絡社會的發展，如今大多數人都握有十多個網站的賬號，你是繼續選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？如果是前者，那麼無疑將增加你的記憶負荷，如果是後者，安全隱患是顯而易見的。

圖像來源：XKCD

　　而要説的是，許多人都意識到了這點，並且為了避免這種情況，相當一部分人選擇將密碼分為兩部分，一個主要部分（比如是 123456 ），另一部分則根據賬戶而定： QQ 的密碼就設為 qq123456 ，而 gmail 的密碼則是 gmail123456 等等。但如此直白的設置，頗有掩耳盜鈴的味道，一旦一個賬戶失竊，看穿這個規律，也不過一秒的事情而已。

　　為了規避上述種種風險，大家開始設定許多個又長又複雜的密碼。但複雜的長密碼並不容易記住，更何況是要記住好幾個這樣密碼（請問有誰沒有忘記過密碼呢）。在經歷了多次遺忘密碼的痛苦之後，人們又開始傾向性地選擇那些容易讓自己記住的信息作為自己的密碼。比如自己或親人的姓名、生日、電話號碼等等。但這恰恰把安全隱患留給了躲在暗處的黑客。

　　有人對用戶的密碼做過統計，研究他們設置密碼時的偏好，並將統計結果繪製成圖。 61% 的用戶喜歡使用人名、地名、字典詞彙和純數字來設置他們的密碼。甚至還有2.6%的用戶直接把他們的用戶名當做密碼使用（比如把 guokr123@ ...的密碼直接設置為 guokr123 ）。這些都是具有安全隱患的密碼設置策略！黑客們了解用戶的密碼設置習慣後，就可以編寫“密碼詞典”，有了這本詞典後，就可以在暴力破解的時候大大提高精準性。比如在 這裡 可以下載到 10,000 個常見密碼的詞典（該詞典作者稱有 99.8% 的用戶都是使用這本詞典中的密碼）。有人對Sony公司的用戶密碼也做過 研究調查 ，結果也令人堪憂。

用戶密碼設置使用習慣

　　有網站如 1PASSWORD 給出了新的策略。它相當於為你提供了一個帶鎖的記事本，可以讓你把所有的密碼記在這個記事本上，你只需保留開鎖的鑰匙/密碼即可。撇開這個網站的靠譜程度不談，單單為了這樣一個記事本，你就要付出 40 美元的代價。同時請別忘了，它僅僅為你解決了記憶密碼的問題，還是沒有逃開設置密碼這個更加頭疼的問題。

　　如何設定一個靠譜的密碼？

　　果殼網曾經有 文章 提到了一些密碼設置上參考建議，裏面提到“用統一規則記住多個不同密碼”是個不錯的選擇。畢竟記住一個規則比記住一串雜亂無序的字符要容易多了，也可以實現“一把鑰匙開一扇門”的策略。在這裡不妨舉個例子，給出一個簡單的密碼設置規則（以電子信箱為例）：

　　但是，真的安全了麼？

圖像來源：XKCD

　　所以還請讀者記住的就是，一個優秀的密碼可以盡可能地降低風險，但它不能將風險降為零。

參考資料：

[1] I’m sorry, but were you actually trying to remember your comical passwords?
[2] The science of password selection
[3] A brief Sony password analysis