什么样的密码才是好密码？

为什么重要

真实性的验证普遍依赖于密码，但密码经常会被在线泄露或设置不当。

“密码必须包括大小写字母，且至少含有一个数字。”当你开设账户或更改密码时，网站或软件就会发出类似的提示信息。但新的研究表明，这种密码设置是具有误导性的。

一项针对先进密码破译技术的研究发现，设置包含数字和大写字母在内的密码并不会大幅提升密码的安全性，而增加密码长度或设置包含符号的密码则更为有效。

“现在的攻击手法更为高明，但最实用的应对措施却显得有些落后。”赛门铁克研究实验室（Symantec Research Labs）的研究人员马泰奥·德拉米克（Matteo Dell’Amico）说。他与法国研究机构——欧洲电信学院（Eurecom）的毛里齐奥·菲利波内（Maurizio Filippone）合作开展了这项研究，并在计算机协会（ACM）10月举行的计算机和通信安全会议上提交了他们的研究论文。

德拉米克表示，推荐设置包含字母、符号和数字的密码是出于这样一种考虑，即它可以减少对各种字符组合进行系统性测试的软件的破译几率。同样，密码强度指示也是基于这种考虑给出“密码强度”反馈的。

但最新的密码破译软件并不仅仅拘泥于随机猜测。相反，它们被训练利用已泄漏的数以百万计的密码清单进行猜测，对最常用的密码或密码样式进行测试。密码破译软件可以用来获取在线泄露的非正常加密密码，比如2013年奥多比公司（Adobe）外泄的1.3亿个账户密码，或者直接访问未限制破译功能的密码安全软件或设备。

有基于此，德拉米克和菲利波内提出了一种测试密码强度的新方法。他们训练攻击软件，利用它们生成密码清单，然后再通过他们的方式，利用这些清单给任一给定密码打分，即密码的“破译”分数。他们利用1000万个泄露密码训练多种攻击软件，并通过另外3200万个密码对他们的破译方法进行了测试。

结果显示，增加密码长度或在密码中加入符号比在密码中加入大写字母或数字更为有效。德拉米克说，这是因为，在设置密码时，人们倾向于在开头使用大学字母，在结尾使用数字，而密码攻击方法刚好可以利用这一点。“最重要的是，你要设置一个难以猜测的密码。”这种新方法可以用来创造更准确的方式，让人们了解所设置密码的强度，德拉米克表示。

安全研究人员马克·伯内特（Mark Burnett）说，有一个能做到这一点的好方法很重要，但事实证明很难。该项研究使用了他早前发布的一个密码研究数据库。

“我没有见过哪种方法是完美的，但这可能是最好的尝试。”他说，“这类研究有助于我们更好地设置强密码，有助于我们更好地给出建议，也有助于我们更好看清未来趋势。”

伯内特建议说，下次当你选择或更改密码时，你应该设一个更长一点的，也可以在里面加入一两个单词。对于计算行业，他的建议是它应该提供一个可以广泛使用的密码替代方案。

“密码设置越来越长，我们即将走到密码失去效用的临界点。”他说。