我们已经讨论了如何使用密码短语作为密码来提高您的安全性，但是如果您选择了一个在日常演讲中使用的短语，则不会对您自己或您的数据有任何好处。根据剑桥大学的一项最新研究，一个普通的短语，比如说“outofpark”，只比字典里的单词稍微安全一些，任何想要破解你密码的人都知道在普通单词的同时尝试普通短语。如果你更喜欢密码短语，下面是如何让它们更安全。

为什么普通的密码没有你想象的那么安全

许多密码系统不允许你在输入密码时选择字典中的单词，或者至少要求你在这些单词中添加数字、大写字母或特殊字符，这是因为黑客要想猜出密码，首先要做的是尝试字典中的每一个单词，看它们是否能进入。即使将“i”替换为“1”或将“e”替换为“3”通常都是不够的，因为这些技巧已经存在了很长时间，这意味着这些常见的替换很容易添加到字典列表中，并包含在暴力攻击中。相反，鼓励使用密码短语的目的是创建凭证，这些凭证对于密码破解实用程序来说完全没有意义，但是对于每天都需要访问给定系统的人来说却是值得纪念的。弗朗西斯·斯托尔摄。

但问题是，很多人在使用密码短语时，会使用书籍、流行电影、难忘的名言、运动队或其他容易猜到的专有名词中的常用短语。剑桥大学的一组研究人员最近发表了一项研究（PDF链接），他们发现使用这些常用短语的词典可以破解亚马逊旧的付费短语系统中的大约8000个密码短语。他们得出结论，密码短语作为一种密码系统，最终提供的安全性不到30位，他们指出，这种安全性太弱，无法抵御大多数在线攻击。Ars Technica简单地解释了这意味着什么：

“30位的安全性”意味着一个猜测破解一个四字密码短语的几率是2^30分之一。此外，研究中破解的两个字短语只提供了2^20.8（或20656/0.0113）位的安全性。表达相同发现的另一种方式是，一个略少于21000个短语的字典足以猜出现实世界中略多于1%的人会使用的登录凭据。

诚然，1%的短语是一个非常小的数字，但它仍然是一个值得关注的问题，这说明了一个问题：任何安全系统，即使它构建良好且足够复杂，也很容易成为用户引入模式的牺牲品。最后，用户和他们的密码几乎总是最薄弱的环节。

如何改进密码短语

这并不意味着对密码短语失去了所有的希望，也不意味着你应该放弃它们，回到标准的强密码。老实说，如果你能将两者结合起来，你应该知道，当把字母、数字、大小写和特殊字符串在一起作为一个短语时，强大的密码的强度会大大提高。关键是要选一个容易记住的短语，但不要选，比如，你最喜欢的运动队，或者你的城市和州的名字，或者你的汽车的品牌和型号。是的，它减少了记忆的难度，但是它大大提高了你的安全感。

这项研究明确指出，“如果根据自然语言倾向天真地选择多词短语，在减轻猜测攻击方面不如其他选择有效，例如随机选择2个单词或随机选择一个人名。”因此，为了提高您的密码短语安全性，你需要选择对你来说重要，但对其他人来说不重要的词。例如，“NissanAltima”可能不是字典里的词，但它是一个很容易猜出来的专有名词。相反，你可以试试“MyMaisBlue”

在讨论XKCD密码短语生成器时，我们指出了另一种更安全的方法，值得重复。如果你想用一首歌中你最喜欢的歌词，抓住你最喜欢的歌词中的前几个字符，而不是把整个歌词串在一起。我们提议，杰克逊5号的情人可以从歌词“哦，宝贝，再给我一次机会让你知道我爱你”中提取一个密码，然后想出“obgmomctsytily”，这显然更安全。

XKCD密码生成器本身是一个生成密码的强大工具，主要是因为它串在一起的单词是随机的，它们后面没有任何意义，在字典攻击中很难被破解，如果混合使用大小写和特殊字符，就更难了。你也可以更进一步，对你的密码使用shift-to-right方法，这真的让人看不懂。

最后，一旦你完成了所有这些，并构建了一个很难破解和很难破解的伟大密码短语，帮你自己一个忙，然后将它**一个密码管理系统，如LastPass、KeePass或1Password，这样您可以为您使用的每一项服务使用不同的强密码短语，并为进入密码库使用一个难忘的密码短语。

你是使用密码短语，还是坚持使用强密码？也许你把它们弄混了？在下面的评论中分享您的密码提示和技巧。

标题图片由XKCD。