你的密码可能很糟糕（这里是更好的）

说实话吧。你在某个地方用过"password123"。或者你狗的名字。或者你的生日。也许你在结尾加了个感叹号，还觉得很聪明。

黑客有列表。数百万个常见密码，按频率排序。他们先试这些。"password123!"在列表上。"Fluffy2024"和"Jennifer1985"以及你认为独特的任何其他东西也在。

什么让密码强大

不是复杂性。是随机性。

"Tr0ub4dor&3"看起来强——混合大小写、数字、符号。但它是修改过的单词。基于模式的。可破解。

"mK8$zL2@nQ5&wR"看起来像键盘乱敲。它实际上是随机的。更难破解。

区别：一个遵循人类模式，一个不遵循。黑客知道人类模式。

长度胜过复杂性

20个字符的纯小写字母密码比8个字符的带符号密码更强。

为什么？数学。

• 8个字符，完全复杂（每个字符95种可能）：95^8 = 66千万亿种组合
• 20个字符，仅小写（每个字符26种可能）：26^20 = 19万万亿种组合

更长的密码有更多组合，即使字符更简单。

这就是为什么"correct horse battery staple"变得著名。四个随机单词，容易记住，难以破解。

真正的问题：重用

到处使用相同密码是真正的安全灾难。

一个网站被攻破。你的邮箱和密码泄露。黑客在每个主要服务上尝试那个组合。如果你使用了相同的密码，他们就进去了。

这经常发生。LinkedIn泄露了。Adobe泄露了。Dropbox泄露了。如果你的密码在任何这些泄露中并且你重用了它，攻击者可能已经在别处试过了。

什么真正有效

使用密码管理器。 它生成随机密码，安全存储它们，自动填充它们。你记住一个主密码。管理器处理其余部分。

让每个密码唯一。 每个网站都有自己的随机密码。一次泄露不会级联。

启用双因素认证。 即使有人获得了你的密码，他们也需要你的手机。最小努力获得巨大改进。

不要经常更改密码。 旧建议是"每90天更改一次"。这导致人们使用Password1、Password2、Password3。比长期保持强密码更糟。

对于你必须记住的密码

有些密码你不能存在管理器中——你的计算机登录，你的密码管理器的主密码。

对于这些，使用密码短语：

• 选择4-5个随机单词（真正随机，不是有意义的短语）
• 在某处添加数字或符号
• 至少20个字符

"correct horse battery staple" → "purple-table-window-coffee-89"

随机单词，容易输入，几次使用后容易记住，非常难破解。

检查你是否被泄露

像"Have I Been Pwned"这样的网站让你检查你的邮箱是否出现在已知的数据泄露中。值得定期检查。如果你出现了，更改使用那个邮箱的任何账户的密码——特别是如果你重用了密码。

---

密码安全不是让你的生活更难。它是使用正确的工具——密码生成器、密码管理器、双因素认证——这样你就可以完全不用考虑密码。

生成随机的东西，安全存储它，忘记它的存在。这就是目标。