网络安全事件频发,每年有数十亿条账号密码被泄露。很多人知道密码很重要,但不确定"足够安全"的标准是什么,也不清楚除了密码本身还能做什么来保护账号。
这份速查手册汇总了当前业界公认的密码安全最佳实践,包括密码策略、管理工具、多因素认证等,帮你建立全面的账号安全防线。
01 密码长度与复杂度的关系
研究表明,密码长度对安全性的贡献远大于字符复杂度。一个 16 位纯小写字母的密码(75 位熵)比一个 8 位混合大小写+数字+符号的密码(52 位熵)更安全。
但最佳策略是两者兼顾——使用足够长度并包含多种字符类型的密码。当前推荐的最低安全标准是:重要账户至少 12 位混合字符密码,或 4 个以上单词的口令短语。
密码强度等级速查表
| 熵值(bits) | 强度等级 | 暴力破解时间 | 适用场景 |
|---|---|---|---|
| < 28 | 极弱 | 秒级 | 不建议使用 |
| 28–35 | 弱 | 分钟到小时 | 临时/一次性账号 |
| 36–59 | 中等 | 天到年 | 非敏感账号 |
| 60–79 | 强 | 数十年到千年 | 大多数账号 |
| ≥ 80 | 极强 | 理论上不可能 | 银行/加密钱包/主密码 |
02 常见密码错误
安全专家反复强调的密码大忌包括:使用个人信息(生日、姓名、电话号码)、使用常见密码(123456、password、qwerty)、在多个网站重复使用同一密码。
另一个常见错误是"模式替换"——把 password 改成 P@ssw0rd。这种替换已经被所有密码破解工具收录,提供的安全增益微乎其微。
- ❌ 使用生日、姓名或电话号码
- ❌ 使用字典单词或常见短语
- ❌ 多个账号共用同一密码
- ❌ 简单字符替换(@ 代替 a,0 代替 o)
- ❌ 键盘相邻键组合(qwerty、asdfgh)
- ✅ 使用密码生成器生成的随机密码
03 口令短语的优势
口令短语(如"purple-elephant-dancing-sunset")在熵值上可以媲美甚至超过传统随机密码,但更容易记忆。正如 XKCD 经典漫画所示:正确的做法是用随机词语组合,而非用符号替换单个单词。
一个由 7776 个词库中随机选取的 4 个单词组成的口令短语有约 51.7 位熵值。增加到 5 个词达到 64.6 位,6 个词达到 77.5 位。这些熵值已经非常安全。
口令短语还有一个重要优势:在电话中口述或手动记录时,不容易出错。相比"Kx$9#mLp2!"这样的密码,"marble-sunset-bicycle-galaxy"明显更好沟通。
04 两步验证(2FA)的重要性
即使使用了强密码,仅靠密码也不够安全。两步验证(2FA)在密码之外增加第二层保护,即使密码泄露,攻击者也无法登录你的账号。
常见的 2FA 方式包括:短信验证码(SMS)、身份验证器应用(如 Google Authenticator、Authy)、硬件安全密钥(如 YubiKey)。推荐优先使用身份验证器应用,因为 SMS 验证码可能被 SIM 卡劫持攻击截获。
所有重要账户——邮箱、银行、社交媒体、云存储——都应该启用 2FA。这是当前最有效的账号安全加固措施。
启用 2FA 后,一定要保存恢复代码(Recovery Codes),并存放在安全的离线位置。丢失手机或身份验证器时,恢复代码是你找回账号的唯一途径。
常见问题
密码管理器安全吗?如果主密码被盗怎么办?
密码管理器使用强加密保护你的密码库,安全性远高于重复使用简单密码。主密码应该使用一个长口令短语,并搭配 2FA。即使密码库文件泄露,没有主密码也无法解密。
多久应该更换一次密码?
最新的 NIST 建议(SP 800-63B)指出:如果没有证据表明密码已泄露,不需要强制定期更换。频繁更换密码反而会导致用户选择弱密码。但如果你的账号涉及数据泄露事件,应立即更换密码。
怎么知道我的密码是否已经泄露?
可以使用 Have I Been Pwned(haveibeenpwned.com)网站查询你的邮箱或密码是否出现在已知的数据泄露中。很多密码管理器也集成了泄露监控功能,会自动提醒你更换已泄露的密码。
公司要求定期改密码,但 NIST 不推荐,该听谁的?
遵守公司的安全政策。虽然 NIST 指南代表行业最佳实践,但公司政策可能基于行业合规要求或自身风险评估。不过你可以向 IT 部门反馈 NIST 建议,推动政策改进。
生物识别(指纹/人脸)能否替代密码?
生物识别目前更适合作为 2FA 的一种方式,而非完全替代密码。原因是生物特征无法更改——一旦指纹数据泄露,你不能像更换密码一样更换指纹。最安全的方式是密码+生物识别的组合。