长度最为重要
对密码强度影响最大的因素是长度。每增加一个字符,可能的组合数就会乘以字符集的大小,因此强度呈指数级增长。
在线账户建议至少 12 位,邮箱、金融等重要账户建议 16 位或以上。只要长度足够,即使少用一些特殊字符也依然安全。
混合字符类型
同时使用大写字母、小写字母、数字和符号,即使长度相同也能扩大字符池,从而提升熵值。
- 大写字母 A–Z、小写字母 a–z
- 数字 0–9
- 符号 ! @ # $ % ^ & *
- 如果需要手动抄写,请排除 0/O、1/l/I 这类易混淆字符
为每个网站使用不同的密码
一旦某处的密码泄露,攻击者就会把同样的组合套用到其他网站(撞库攻击)。为每个网站使用完全不同的密码是最有效的防御。
记住几十个各不相同的密码几乎不可能,因此建议配合使用密码管理器。
应当避免的做法
以下做法容易被猜测或破解,应当避免。
- 字典中的单个单词、姓名、生日等个人信息
- password、123456、qwerty 等常见值
- asdf、1q2w3e 等键盘相邻模式
- 只在旧密码后面改几个数字就重复使用