安全漏洞现在经常发生，你可能已经厌倦了听到他们和所有的方式，你应该加强你的帐户。即使你认为你已经听过这一切，虽然，今天的密码破解工具更先进，并切断了聪明的密码技巧，我们很多人使用。以下是发生了什么变化以及你应该怎么做。

《过去的爆炸》是tl80的一个每周专题，我们在其中重温旧的，但仍然相关的帖子，为您的阅读和黑客乐趣。本周，在Heartbleed bug之后，我们认为是时候重新发布这篇文章并消除一些仍然很常见的神话了。

背景：密码比以往更容易破解

由于更快的硬件和密码破解者使用的新技术，我们的密码远不如几年前那么安全。Ars Technica解释说，廉价的图形处理器使密码破解程序能够在一秒钟内尝试数十亿个密码组合；本来需要数年才能破解的，现在可能只需要几个月甚至几天。

更糟糕的是，黑客对我们的密码的了解比以前多得多。最近所有的密码泄露都帮助黑客识别了我们在创建密码时使用的模式，因此黑客现在可以使用规则和算法比通过简单的常用词攻击更快地破解密码。

以密码“Sup3rThinkers”为例，这是一个可以通过大多数密码强度测试的密码，因为它的长度为13个字符，并且使用大小写和数字混合。我的密码有多安全？据估计，一台台式计算机大约需要100万年才能破解，每秒的计算量估计为40亿次。现在黑客只需要几个月的时间，Ars说：

诸如“mustachehcatsum”（即“mustache”的拼写是前向和后向）这样的密码可能会给人一种很强的安全性，但通过隔离它们的模式，然后编写规则来扩充[2009黑客在线游戏服务]RockYou[…]和类似列表中包含的单词，它们很容易被破解。为了让[安全渗透测试人员]雷德曼破解“Sup3rThinkers”，他采用了一些规则，指导他的软件不仅要尝试“super”，还要尝试“super”，“sup3r”，“sup3r”，“super！！！”以及类似的修改。然后，它将每一个单词与“thinkers”、“thinkers”、“think3rs”和“think3rs”组合使用。

换言之，黑客们完全盯上了我们！

你可以做什么：加强你的密码，使他们独特和完全不可预测的

多年来，我们提出了许多强大的密码提示，但鉴于更快、更新的破解功能，这些提示值得一看。

1.避免使用可预测的密码公式

最大的问题是我们都用同样的方式填充密码（部分原因是大多数公司限制了密码长度，并且需要特定类型的字符）。当需要使用大写字母、数字和符号的混合时，我们大多数人：

• 使用一个名字、地方或常用词作为种子，例如“fido”（**倾向于使用个人名字，**倾向于使用爱好）
• 首字母大写：“Fido”
• 在末尾加一个数字，很可能是1或2：“Fido1”
• 添加一个最常用的符号（~，！，@，#，$，%，&，？）结尾：“Fido1！”

这些模式不仅对专业的密码猜测者很明显，甚至可以用元音代替数字（“F1d01！”）或附加另一个单词（“G00dF1d01！”）不会有多大帮助，因为黑客正在使用这些模式来攻击我们，并将主破解列表中的单词附加在一起。

其他聪明的混淆技术，如向左或向右移动键或使用其他键盘模式，现在也被黑客工具嗅出。正如一位评论人士在Ars Technica的文章中所说，黑客使用关键字walk生成器来模拟数百万种键盘模式。

解决方法：不要做别人都在做的事。避免上面的模式，记住最基本的：不要在你的密码中使用一个单词、名字或日期；混合使用字符类型（包括空格）；把你的密码设置得尽可能长。如果你有一个模板，你如何创建难忘的密码，它是安全的，只有当没有其他人使用该规则(查看IT安全专业人士Mark Burnett收集的前10000个最常见密码，他说，这些密码占泄露数据库中所有用户密码的99.8%，或者说一页中有500个最常见密码。）

2.为每个站点使用唯一的密码

我们将在一分钟内返回到密码创建，但首先：这是最重要的安全策略。为每个站点使用不同的密码。这限制了在发生安全漏洞时可能造成的损害。

如果你对所有东西都使用相同的密码，而有人掌握了你的Facebook密码，那么你访问的每个网站都有你的密码。如果你对每个网站都有不同的密码，那么他们只能访问你的Facebook帐户，这样至少你的所有其他帐户都会受到保护。

4.使用真正随机的密码

你可能听说，像去年网络漫画xkcd指出的那样，随机的四字密码短语比复杂但更短的密码更安全，更难忘。这是真的，但常常是无关紧要的，因为就像我们所说：您需要为每个帐户使用不同的密码。如果你能记住100个不同的四个字密码，就来吧。但是对我们大多数人来说，记住密码有多简单并不重要，因为其中有太多密码(虽然密码短语方法可能对您的计算机登录或您需要记住密码的少数情况都有好处。）

对每个站点使用相同密码的变体也不是一个好主意。假设你有一个类似于ro7CSfac2V3p1的密码用于Facebook，你使用的变体是ro7CSlif2V3p1用于tl80，诸如此类地用于所有其他站点。如果黑客获得了这些密码中的一个，他们可以通过用可能与其他站点匹配的字母替换“fac”来轻松猜测其他密码（或者找出你的算法是什么）。它更难，但远不是不可能，而且它还不够安全，如果你能记住它，其他人可能会发现它。

所以：最安全的选择是使用密码生成器和管理器。如果你想保证你的帐户安全，你需要使用一个真正随机的，长的，复杂的密码，并且为每个帐户使用一个完全不同的密码。你如何做到这一点？使用密码管理器，如LastPass、KeePass或1Password。他们不仅会为您保存所有密码，而且可以为您生成随机密码。它比你想象的更容易使用和设置。

有关更多信息，请阅读我们的指南，了解如何使用LastPass审核和更新密码的详细说明。记住，唯一安全的密码是你记不住的，这是实现这一点的唯一方法。我们以前用的那些聪明的密码把戏再也不能用了。

最后，确保对所有支持双因素身份验证的站点启用双因素身份验证！到目前为止，这是保护您的帐户免受黑客攻击的最佳方法之一，即使他们获得了您的密码，他们也无法访问您的帐户。