即使有了智能卡、生物识别技术和其它多因素身份验证解决方案，但是基本的账户/密码登陆的组合依然必不可少。安全专家总是建议使用“高强度密码”。但是，什么样的密码才算是高强度密码呢？应当具备什么条件呢？你如何避免因密码过于复杂而忘记呢？

　　依据NIST(美国国家标准与技术研究所)的标准，一个高强度密码所包含的字符应该不少于12个，这是由美国政府在2007年所通过的标准，并进一步明确了美国政府密码配置的基线。管理员的密码应该是15个字符。读者肯能会对这个长度叹口气，但这已经是五年来被推荐的长度中最短的了。任何比这个标准短的密码都被认为是不安全的。

　　当然，很多人都在使用更短的密码。但是，你应该知道，随着时间的推移，增加长度的密码可以为你提供更多的保障。一个8个字符的密码可能为你提供几天的保护，而一个12个字符的密码普遍认为能够提供最多90天的保护。15个字符的密码通常被认为能够提供一年的良好保护。

　　复杂性只是个神话

　　大多数安全准则依然坚持字符复杂化的方针，这通常意味着密码必须包含多个字符集，如大写字母、数字、符号键盘等等。而正如我之前所说，复杂性并没有长度重要。若密码拥有了足够的长度则可以战胜密码破解器或解密高手，而复杂性的大量增加只是体现了随机或者接近随机的价值。

　　通常情况下，当用户被迫增加密码的复杂性时，他们会使用相同类型的字符在同样的地方。例如，当人们需要设置某个常见的8字符复杂密码时，大多数人会选择自己国家语言的词根，第一个字母会用大写(通常是个辅音)，其次会是一个小写元音字母。如果他们使用数字，通常会是一个“1”或者“2”，并放置在密码的最后。如果他们使用符号，极有可能会是一个极少数的字符放置在中间某个地方，经常更换一个字母相似的形状：@或零更换“O”，“i”替换成“!”等等。

　　密码破解者很清楚这些用户习惯，他们对密码破解工具进行了优化，添加这些规则进行密码猜测。一些安全专家，包括我在内，通过对大型转储捕获密码的分析，可以发现上述复杂密码的规律，而且非常之多。

　　若是让增加的复杂性显示出真正的价值，密码必须是独特的、随机的——类似%TV4$H@

　　设置密码的窍门

　　有些人喜欢使用特殊的密码保存方案，但我喜欢其它的方法，这对我来说是更快的。在我所有的密码当中，会使用一个相同的根密码(比如：TadPole)，但每个密码要具有不同的开头和结尾。一个网站是44TadPole44，另一个可能是TadPole32，而还有一个可能是AmazTadpole32On。此外，根据不同的网站你可以在根密码上添加不同的前缀和后缀，方便记忆。

　　由于具有共同的根密码，我可以轻松记住数百个不同网站的密码。因为每个密码是不同的，如果有攻击者破解了我某个网站的密码，虽然我的密码具有共通性，但针对其它账户而言，那些密码仍然是未知的。即使他们能够得到我的通用根密码，但他们也很难弄清楚我其它账户的那些密码前缀和后缀。目前没有一个密码工具可以处理这类型的复杂密码组合。

　　密码重置问题的设置

　　一个良好的强有力的密码重置问题也同样非常重要。这类型的事件有很多(是否还记得萨拉·佩林电子邮件攻击事件？)，那些人并非是真正的黑客，他们只是做了一些研究，动了动脑筋，就能够正确地猜测一个人的密码重置问题。在一般情况下，努力破解一个重置问题的数量级要远远小于猜测一个密码的数量级。因此，这是一个非常薄弱的环节。

　　所以，在某些时候你需考虑是否该如实填写一些问题。比如当他们问你母亲氏族的姓氏时，你的第一辆车的品牌，或者你的出生地，你是不是有义务提供真正的答案。相反，对每个账户使用一个通用的密码重置问题，并记住我所使用的根密码策略，改变相关的单词或词组，这样你就可以记住每个账户或网站的密码重置问题的答案了，并且安全系数也很高。

　　现在，任何人都可以抛弃那些不安全的密码了。如果你采纳了我的建议，那么就可以减少黑客破解密码的风险了。相信我，现在就开始行动吧。