現(xiàn)在有越來越多的證據(jù)表明，人們偏愛使用很短的、非隨機(jī)性的、因而不安全的密碼--這些證據(jù)包括LulzSec所鉆的眾多漏洞、Gawker去年被黑事件，甚至整整10年來研究Unix用戶選擇密碼的習(xí)慣的調(diào)查。他們還往往在多個(gè)網(wǎng)站上重復(fù)使用同一批密碼。其背后的道理很明顯：這樣一來，密碼用起來比較省事。

　　遺憾的是，這也導(dǎo)致了安全性很差。比如說，只要看一下LulzSec針對(duì)隸屬聯(lián)邦調(diào)查局（FBI）的InfraGard的亞特蘭大分支機(jī)構(gòu)發(fā)起的其中一次攻擊，黑客們竊取了成員們的用戶名和密碼組合。然后，那些登錄資料讓LulzSec得以闖入亞特蘭大InfraGard會(huì)員Karim Hijazi的辦公和個(gè)人Gmail帳戶。Hijazi是個(gè)頗有爭議的安全顧問，他是監(jiān)控僵尸網(wǎng)絡(luò)的新興公司Unveillance的首席執(zhí)行官兼總裁。但是連他也重復(fù)使用密碼。

　　然而，密碼重復(fù)使用還是唯一的問題。另一個(gè)威脅是，攻擊者會(huì)獲得對(duì)網(wǎng)站密碼數(shù)據(jù)庫的訪問權(quán)，因而竊取一份副本。這時(shí)候，就算數(shù)據(jù)庫已加密，攻擊者照樣可以在線下向數(shù)據(jù)庫頻頻發(fā)起攻擊，使用像Access Data公司的Password Recovery Toolkit這樣的工具，在比較短的時(shí)間內(nèi)將密碼破解出來。處理能力不成問題。的確，喬治亞理工學(xué)院的研究人員利用個(gè)人電腦內(nèi)置的圖形卡，就能夠立即破解甚至長度在12個(gè)字符以下的散列密碼。

　　喬治亞理工學(xué)院的研究人員建議密碼的長度至少應(yīng)該是12個(gè)字符；而且字母、數(shù)字和符號(hào)混合使用，這并非巧合。但是誰又記得住為自己使用的每一個(gè)比較重要的網(wǎng)站設(shè)置的獨(dú)特的、隨機(jī)性（即高度無序）的12個(gè)字符長密碼？

　　幸好，現(xiàn)在不乏創(chuàng)建很長強(qiáng)密碼的方法。比如說，人們可以使用口令短語（pass phrase）--這些其實(shí)是句子，而不是使用密碼。與此同時(shí)，另一個(gè)辦法是使用某種預(yù)定邏輯來創(chuàng)建密碼。比如說，密碼"mniE"是"my name is Earl"（我的名字叫Earl）的簡稱--當(dāng)然在理想情況下，密碼要長得多。這種方法的支持者常常建議使用包含網(wǎng)站名稱的稍加變化的密碼，那樣對(duì)某個(gè)密碼稍加改動(dòng)，就可以用于不同的其他網(wǎng)站。比如說，就亞馬遜網(wǎng)站（Amazon.com）而言，稍加變化的密碼可能是"mAMAniE"。 [page]　　據(jù)微軟前任安全項(xiàng)目經(jīng)理、現(xiàn)在是亞馬遜網(wǎng)站的首席安全架構(gòu)師Jesper M .Johansson聲稱，盡管有可能增強(qiáng)安全性，但是否有許多人不厭其煩地使用口令短語還是個(gè)未知數(shù)。此外，根據(jù)一些粗略的估計(jì)，他表示人們可能需要使用六個(gè)單字長的口令短語--很快開始變得很笨拙，才能獲得與9個(gè)字符長的密碼同樣級(jí)別的熵（entropy）。最后，在不同網(wǎng)站上重復(fù)使用密碼的一部分意味著，攻擊者只要竊取了用戶名和密碼組合，就能夠通過逆向工程來破解邏輯。

　　因而，要加強(qiáng)密碼安全，最簡單、最省事的方法還是干脆把密碼記下來，不過最好采用高度安全的方式。漏洞信息提供商Secunia的首席安全官Thomas Kristensen在接受采訪時(shí)說："你能做的最明智投入就是去外面買一只數(shù)字錢包，把密碼裝在里面。在不同的網(wǎng)站上重復(fù)使用密碼根本就是最糟糕的做法。看一下今年所有的網(wǎng)站泄密事件，就會(huì)發(fā)現(xiàn)存在帳戶資料丟失的風(fēng)險(xiǎn)；一旦你的密碼公之于眾，并與你的電子郵件地址聯(lián)系在一起，你可能直到有人竊取了東西，才知道密碼被人竊取。"

　　數(shù)字密碼錢包的另一個(gè)優(yōu)點(diǎn)在于，軟件不但讓人們很容易保存密碼，還很容易創(chuàng)建一個(gè)高度隨機(jī)的強(qiáng)密碼。這樣一來，為訪問的每一個(gè)網(wǎng)站維護(hù)一個(gè)不同的密碼就輕而易舉。相應(yīng)地，下一次黑客破解了索尼密碼數(shù)據(jù)庫，即使數(shù)據(jù)庫里面含有你的用戶名和密碼，黑客也無法在其他任何地方來破解這對(duì)組合。

　　然而，數(shù)字密碼錢包的確意味著要下載、安裝和使用另一個(gè)軟件。Kristensen說："我知道，這有點(diǎn)討厭"；10年來，他一直在使用名為KeePass的開源應(yīng)用軟件。不過他表示，使用數(shù)字錢包完全是一個(gè)最佳做法。"它不是完美的解決方案，但是比重復(fù)使用密碼要安全得多。"

　　說到安全地存儲(chǔ)密碼的密碼管理軟件，現(xiàn)在有眾多選擇。比如說，英國電信集團(tuán)（BT）的首席安全技術(shù)官Bruce Schneier創(chuàng)建了PasswordSafe，這個(gè)易于使用的開源密碼數(shù)據(jù)庫面向Windows。這類軟件還有蘋果OSX版本（比如共享軟件Password Wallet也可用于Windows環(huán)境）。另一個(gè)選擇是如上所述的KeePass，它不僅可以在這兩款操作系統(tǒng)上運(yùn)行，還能在Linux上運(yùn)行。

　　此外，許多密碼錢包會(huì)在你的電腦與移動(dòng)設(shè)備之間同步密碼，這意味著你總是隨身攜帶著一份安全的、受密碼保護(hù)的密碼和個(gè)人身份識(shí)別號(hào)（PIN）代碼。（有必要提一下，人們選擇PIN的做法大概比選擇密碼的習(xí)慣還要糟糕。）

　　總結(jié)一下，不妨為每一個(gè)重要的網(wǎng)站創(chuàng)建一個(gè)獨(dú)特的、隨機(jī)的、很長的強(qiáng)密碼，以確保密碼安全性。然后，把這些密碼存放到數(shù)字保險(xiǎn)箱，確保妥善保存了密碼。這么做的話，就不用害怕下一個(gè)LulzSec了。