原美国国家标准局NBS，现美国国家标准与技术研究院NIST的前主管Bill Burr曾在2003年领导制定了密码使用标准《电子验证指导原则》，要求密码必须含有大小写字母、特殊符号、数字等，建议定期更换密码。由于多数网站采用了这些原则，如何记住密码成了绝大多数人的噩梦，非常“烧脑”，“密码疲劳”问题严重。于是很多人将密码写在便利贴贴在屏幕上，或写在一个小本儿上，甚至干脆用“password”这样的弱密码。据统计，“123456”是近1%的人使用的密码，常年高居常用密码榜首。已泄露、破解的密码库中，“police”、“police1”受到不少英国警察的青睐。

Bill Burr现在后悔了，觉得这些规则对大部份用户来说太复杂，结果对强化安全性并没有帮助。于是NIST颁布了一批新指导原则，由Paul Grassi担任技术顾问撰写，特别修正密码规则，建议用户使用一些能记住的文字组成字符串，形成“口令短语”（passphrase），像是“AliceLoveBob”。他们认为“口令短语”更长，计算机得花数百万年才能破解。

我认为仅仅“长”没有用，如果人能够记住，多半是有限模式，同样可以加入模式库，并不难破解（参见为什么能记住的密码都是弱密码）。假设用“落霞与孤鹜齐飞，秋水共长天一色”的拼音首字母 “lxygwqfqsgctys” 连起来做密码，看起来随机没规律，其实这些诗句的总量并不大，计算机很容易遍历这些模式，而且用户输入时一样烧脑，一样易被读心术等新技术获取，一样易被肩窥。我认为Bill Burr原来的建议并没有错，只是现在账号、密码太多，所以才有了“密码疲劳”问题。解决办法不是换规则，而是采用技术手段。我的建议还是使用随机强密码，借助“登录易”等辅助工具，完全不用自己记！ 

教你一招——习惯使用登录易®，复杂密码不用记。

登录易®（DengLu1®) 是一款安全的密码管理器，用户再不需要费心思设置就能拥有不同的复杂强密码，并且不需要记忆及输入这些密码就能在各种终端自动登录上网，既方便又安全。

下载试用请关注公众号：denglu-1. 长按下面二维码可直接识别。