使用常用短語會使您的密碼短語變得毫無用處：下麵是如何選擇更好的短語

我們已經討論瞭如何使用密碼短語作為密碼來提高您的安全性，但是如果您選擇了一個在日常演講中使用的短語，則不會對您自己或您的資料有任何好處。根據劍橋大學的一項最新研究，一個普通的短語，比如說“outofpark”，只比字典裡的單詞稍微安全一些，任何想要破解你密碼的人都知道在普通單詞的同時嘗試普通短語。如果你更喜歡密碼短語，下麵是如何讓它們更安全。...

Illustration for article titled Using Common Phrases Makes Your Passphrase Password Useless: Here’s How to Pick a Better Phrase

為什麼普通的密碼沒有你想象的那麼安全

許多密碼系統不允許你在輸入密碼時選擇字典中的單詞，或者至少要求你在這些單詞中新增數字、大寫字母或特殊字元，這是因為駭客要想猜出密碼，首先要做的是嘗試字典中的每一個單詞，看它們是否能進入。即使將“i”替換為“1”或將“e”替換為“3”通常都是不夠的，因為這些技巧已經存在了很長時間，這意味著這些常見的替換很容易新增到字典列表中，並包含在暴力攻擊中。相反，鼓勵使用密碼短語的目的是建立憑證，這些憑證對於密碼破解實用程式來說完全沒有意義，但是對於每天都需要訪問給定系統的人來說卻是值得紀唸的。弗朗西斯·斯托爾攝。

但問題是，很多人在使用密碼短語時，會使用書籍、流行電影、難忘的名言、運動隊或其他容易猜到的專有名詞中的常用短語。劍橋大學的一組研究人員最近發表了一項研究（PDF連結），他們發現使用這些常用短語的詞典可以破解亞馬遜舊的付費短語系統中的大約8000個密碼短語。他們得出結論，密碼短語作為一種密碼系統，最終提供的安全性不到30位，他們指出，這種安全性太弱，無法抵禦大多數線上攻擊。Ars Technica簡單地解釋了這意味著什麼：

“30位的安全性”意味著一個猜測破解一個四字密碼短語的幾率是2^30分之一。此外，研究中破解的兩個字短語只提供了2^20.8（或20656/0.0113）位的安全性。表達相同發現的另一種方式是，一個略少於21000個短語的字典足以猜出現實世界中略多於1%的人會使用的登入憑據。

誠然，1%的短語是一個非常小的數字，但它仍然是一個值得關註的問題，這說明瞭一個問題：任何安全系統，即使它構建良好且足夠複雜，也很容易成為使用者引入模式的犧牲品。最後，使用者和他們的密碼幾乎總是最薄弱的環節。

如何改進密碼短語

這並不意味著對密碼短語失去了所有的希望，也不意味著你應該放棄它們，回到標準的強密碼。老實說，如果你能將兩者結合起來，你應該知道，當把字母、數字、大小寫和特殊字串在一起作為一個短語時，強大的密碼的強度會大大提高。關鍵是要選一個容易記住的短語，但不要選，比如，你最喜歡的運動隊，或者你的城市和州的名字，或者你的汽車的品牌和型號。是的，它減少了記憶的難度，但是它大大提高了你的安全感。

這項研究明確指出，“如果根據自然語言傾向天真地選擇多詞短語，在減輕猜測攻擊方面不如其他選擇有效，例如隨機選擇2個單詞或隨機選擇一個人名。”因此，為了提高您的密碼短語安全性，你需要選擇對你來說重要，但對其他人來說不重要的詞。例如，“NissanAltima”可能不是字典裡的詞，但它是一個很容易猜出來的專有名詞。相反，你可以試試“MyMaisBlue”

在討論XKCD密碼短語生成器時，我們指出了另一種更安全的方法，值得重覆。如果你想用一首歌中你最喜歡的歌詞，抓住你最喜歡的歌詞中的前幾個字元，而不是把整個歌詞串在一起。我們提議，傑克遜5號的情人可以從歌詞“哦，寶貝，再給我一次機會讓你知道我愛你”中提取一個密碼，然後想出“obgmomctsytily”，這顯然更安全。

XKCD密碼生成器本身是一個生成密碼的強大工具，主要是因為它串在一起的單詞是隨機的，它們後面沒有任何意義，在字典攻擊中很難被破解，如果混合使用大小寫和特殊字元，就更難了。你也可以更進一步，對你的密碼使用shift-to-right方法，這真的讓人看不懂。

最後，一旦你完成了所有這些，並構建了一個很難破解和很難破解的偉大密碼短語，幫你自己一個忙，然後將它**一個密碼管理系統，如LastPass、KeePass或1Password，這樣您可以為您使用的每一項服務使用不同的強密碼短語，併為進入密碼庫使用一個難忘的密碼短語。

你是使用密碼短語，還是堅持使用強密碼？也許你把它們弄混了？在下麵的評論中分享您的密碼提示和技巧。

標題圖片由XKCD。