文章来源：https://lifehacker.com/5937303/your-clever-password-tricks-arent-protecting-you-from-todays-hackers

中译：davidhcefx

 

背景：

1. 今天，我们硬体的计算能力已经比往年大很多，可以达到每秒数 10 亿笔密码组合猜测。

2. 随著时间，骇客愈来愈能掌握人们是如何设定密码的，透过一次次的密码外泄事件，骇客搜集到的密码资料库也愈来愈大，进而可以透过分析资料中高可能性的组合，来做暴力破解。

　

对策 A：

　每个网站使用独特的密码，以分散风险。如果其中一个被猜出来了，其余的还是安全的。

　但前提是，它们彼此之间要是「完全独立」的才行！如果你都是同一串密码，只是稍微改了其中几个字，那么骇客也有可能可推敲出你的命名规则！

 

eg. 如果你用 ro7CSfb2V3p1 当作 FB 密码，然后用 ro7CSyah2V3p1 当作 yahoo 密码，

　当骇客知道了前者，将会有可能使用 "yahoo" 相关的字词来做猜测。

 

对策 B：

　使用「真乱数密码」，也就是使用一长串乱数产生器生成的密码。那么骇客如果想要破解，将无法采用字典攻击法（也就是上述的用资料库组合字词），必须透过从 0000000 ~ aaaaaaa 的原始暴力破解法。这样一来，复杂度瞬间标升到 10^23 种可能性（以12位数的密码为例），即便是现今每秒数十亿笔的计算能力，也需要约 10^6 年才能破解，可以说是等于无法破解了。

　但重点仍然跟 对策A 一样，你必须确保每个网站都使用「独特」的密码，不能只是稍微修改其中几码而已，否则安全性将会大大的降低（例如：在不安全的网站使用这类密码，然后遭外泄）

 

最后，推荐密码管理工具，常见的像是 LastPass, KeePass, 或 1Password

你可能会想说，把密码收集起来集中管理，不是很危险吗？（编：我也曾经这么认为XP）

但是换个角度想，既然你不再需要亲自记住那些密码，你便得以把你的密码设定成「真随机密码」，并且每个网站都是「独特」的，大大增加各帐号的安全性。

至于密码管理工具，会不会被破解呢？

其实现在很多管理工具都有颇高的安全性，例如两步骤认证，或者多管道认证方式，因此还算安全。

 

附上 LastPass 中文教学：https://www.pcsetting.com/freeware/41

希望此文章带给你帮助啰！^__^