新的一年即将到来，我们中数以百万计的人仍然在使用绝对糟糕的密码。事情不一定非得是那样的。你将使今年成为优秀的密码之年，我们将向你展示如何做到这一点。

你怎么知道我的密码很糟糕？

我们知道你个人的密码很糟糕吗？不是的。您可能是少数几个了解良好密码卫生的重要性并真正实现该目标的人之一(对您有好处)。我们是否知道，总体而言，一般人使用的密码都很糟糕？是的，是的，我们有。

我们怎么知道的？因为有些公司会从每年发生的所有数据泄露(相当不幸的)中收集所有密码转储，并分析密码。这些密码转储通常包括数十万到数百万个密码，很容易大致了解人们使用的密码类型(以及他们对密码安全性的重视程度)。

有一家名为SplashData的公司(SplashData个人密码管理器和TeamID企业密码管理系统的制造商)自2011年以来一直在编制和发布人们使用的最常见密码的列表。以下是2011年、2012年、2013年、2014年和2015年的榜单。虽然你可以自己去查看所有的榜单，但我们已经冒昧地为你贴出了每年的前十名：

没错：过去五年最流行的密码是“Password”和“123456”。这份名单上没有一个条目，即使是尝试好的密码，也不是，他们只是纯粹的懒惰。更糟糕的是，随着时间的推移，变化很小。(尽管有趣的是，龙在五年的时间里已经超过了猴子。)

考虑到自2011年以来发生了多少备受瞩目的数据泄露事件，你可能会认为，你至少会看到更好的密码略有增加。但很明显，数以百万计的人仍然在使用微不足道的密码，以至于你甚至不需要使用先进的工具来破解它们；你可以像在一部写得很差的90年代电视节目中一样猜测它们，就像你是一个过于聪明的黑客一样。

您可能会查看这些列表，并为自己庆幸，因为您不使用如此简单的密码，但是您的密码真的更好吗？在任何人开始过于衷心地祝贺自己之前，让我们回顾一下如何才能获得一个好的密码。

什么才是一个好的密码？

良好密码卫生的规则并不复杂，而且它们不会随着时间的推移而改变很多。尽管如此，很少有人真正忠实地遵循它们。以下是如何才是一个好的密码：

长度。好的密码都很长。一般来说，密码越长，使用暴力和字典方法破解的难度就越大(当然也更难猜到)。您应该始终努力超过最小密码长度。如果网站说你需要一个至少六个字符的密码，那就把它加长。

复杂性。一般来说，你应该避免使用简单的词语。避免使用字典中的单词、地名和专有名词。你的中间名，你的狗的名字，一个州的名字，一个流行的音乐家，都是可怕的密码组件，因为它们很可能已经存在于密码破解者会使用的表格和文件中。如果你一定要在密码中使用像“狗”、“房子”或“蓝色”这样的词，你应该在同一个密码中使用至少四个词，并且以一种降低被暴力攻击的可能性的方式，比如“我的狗$房子！sBlue”。

独特性。这是最大的一个，也是大多数人绊倒的一个。比简单地拥有一个好的密码更重要的是，你访问的每个网站都有一个完全不同的密码。你可以拥有世界上最好的密码，一个如此奇妙的密码，以至于一台超级计算机需要几十年的时间才能破解它，但如果一家公司的整个系统被严重泄露，黑客发现了它，他们就会知道，他们可以访问你使用它的任何账户。

相关：如何创建强密码(并记住它)

这一部分我们怎么强调都不为过。如果您在多个站点上使用相同的密码，而其中一个站点被攻破，则表现不佳的人可以以您的身份登录到这些站点中的任何一个。如果你在多个网站上使用了相同的密码，而该密码也是你用于电子邮件地址的密码，那么你就会陷入一个伤害的世界。不仅您的个人电子邮件可能(而且很可能会)被泄露，而且攻击者还可以在您拥有的任何帐户上重置密码。在这一点上，你几乎已经给了攻击者你房子的众所周知的钥匙。

现在您可能会嘲笑这样的想法，即您甚至可以跟上我们上面概述的基本要求。您访问的每个站点都需要一个又长又复杂又唯一的密码吗？但是这里的网站太多了！你怎么可能在全部整理好的情况下保留100个不同的密码呢？这将把我们带到密码卫生改造的下一步：使用密码管理器。

您需要密码管理器

曾几何时，你可能有几个密码可以在你的大脑中杂耍。你记录了你在家中和工作中的电脑登录，可能是亚马逊和eBay，在网购兴起的早期，当然还有你的银行登录。用不到几个密码，要记住一些强密码是相当容易的。

然而，那些日子早已一去不复返了。从支付账单到购物，再到产品注册和软件更新，在线服务的激增确保了即使是普通用户也有几十个登录帐户和密码需要保持直通。在某些情况下，它甚至有数百个(我个人收藏中目前有300多个登录/密码)。地球上没有任何人可以跟踪数百个唯一的密码。见鬼，我认识几个人，他们只有几个，但偶尔还是会忘记他们。(“让我看看，是猴子吗！还是Monkey1？还是猴子有大写的M？啊，我再重置一次就行了。“)

相关：为什么应该使用密码管理器，以及如何入门

在这个时代，一个非常好的密码管理器至关重要。密码管理员很快解决了困扰现代密码使用的所有问题。使用像LastPass这样的密码管理器可以确保您可以轻松地为您使用的每项服务创建、使用和调用长的、强的和唯一的密码。事实上，一个好的密码管理器会在你的电脑和手机上工作，不需要你动动手指就能自动让你登录所有东西-这样你就再也不用键入密码了。它既方便又安全。

考虑到我们所有人都需要跟踪的登录次数、数据泄露的频率以及重复使用相同密码(特别是对于敏感站点)而产生的大量问题，没有理由不使用密码管理器来生成和存储安全密码。如果您不熟悉密码管理器的概念，或者您对使用完全基于云的系统有顾虑，请查看您的指南“为什么应该使用密码管理器以及如何开始使用密码管理器”。

您需要双因素身份验证

因此，您已经安装了密码管理器，并为您使用的每个站点生成了唯一的、复杂的密码。你是个摇滚明星。但是，在新的一年里，密码安全难题中还有最后一件您应该优先考虑的问题：双因素身份验证。

相关：什么是双因素身份验证，我为什么需要它？

双因素认证很简单：它只意味着你需要两种不同类型的认证才能登录一个网站，而拥有密码的账号则是单因素认证：你只需要密码就可以获得访问权限。具有双因素身份验证的帐户需要两件事：输入您的密码，然后输入公司发送到您手机上的6位PIN。这使得人们更难侵入您的帐户。即使你的密码被泄露，他们也无法登录你的账户，因为他们没有你的手机。

双因素身份验证在银行网站、大型零售商(比如亚马逊)，当然还有像LastPass这样的面向安全的网站和服务中变得越来越普遍。如果您使用的服务提供双因素身份验证，通常没有理由不利用它。至少，您需要对任何其危害(如您的银行或密码管理器)会造成严重困难或身份被盗风险的服务使用双因素身份验证。有关如何设置的更多信息，请查看我们的双因素身份验证指南。这是你可以做的最好的事情之一，以确保你的账户安全。

好的密码实践并不吸引人，但它们是非常必要的。不要让又一年过去了，你发现自己为电子邮件登录和银行输入了完全相同的密码，同时想着“伙计，我真的应该停止对所有事情都使用相同的密码。”明年，当又一轮数据泄露事件又产生了另一份最糟糕的密码清单时，你甚至不应该感到一丝担忧。因为你所有的密码都会被整理好：长的、复杂的、唯一的。

图片来源：意大利汽车。