频繁的更换密码真的安全吗

说起Bill Burr（比尔.伯尔），你大概不知道他是何方高人，但是如果告诉你，就是他在为美国政府工作期间，建议密码设置应该包含大写字母、数字和特殊符号这样的基本原则并一直被采纳至今，你就不会感到陌生了。

前端时间有这样一则新闻：

比尔这位老兄站出来说，“我搞错了！密码设置规则搞这么复杂是没用的！”

知错能改善莫大焉，可是老兄，你真的把我们坑苦了。

为了想出包含大小写字母、数字和特殊字符这样的很变态的密码，我们真的很用心了。可是层层加码，只有更变态，没有最变态这事还是经常会发生，比如：

有的公司还要求密码长度至少要8位以上。

有的变态的公司要求每三个月变换一次密码。

还有更变态的公司要求每次换的密码还不能是之前5次使用过的。

所以，最痛苦的时刻无外乎系统提示你期限到了，该换密码，并且还无法暂缓处理的时候。

现在我们知道了，原来这么复杂的规则都是自欺欺人，它不能使你更安全。因为，从密码攻击的角度来看，反正都是暴力破解，你加什么大写字母、特殊字符，都是浪费时间，而从社会工程学的角度来看，过于复杂而且没有规律的密码使人难以记忆，只能写下来，或者存入电脑记事本里，而这样一来，泄露的可能性就大增了。

至于三个月换一次，每次换的密码还不能和曾经使用过的相同，也并不能加大暴力破解的难度，因为大多数人在更改密码的时候，方便起见，只会修改密码的某一位，比如把apple.001换成apple.002。

那么，有什么规则是目前来看最安全的？

天下武功，唯快不破。对于密码来说，唯长不破。每增加一位，破解的难度都是指数级增长。按照比尔新的建议，用一段文字做密码最好，又好记又不容易破解，比如windofchangeismyfavoritesong，拥有26^28种可能，这在目前的计算能力下，是万亿年都无法破解的。

但是这种方法也有缺陷，因为一旦密码有了文字上的意义，就可以利用大数据和AI进行语义学上的猜测，大大缩短纯粹暴力破解的时间。让人暂时放心的是，就目前来看，技术上还达不到这样的高度，长密码还是安全的。

但是对于我们日常的小应用来说，需要用这样的“牛刀”吗？我觉得完全没有必要。

一个很简便的方法是使用“具有应用特色的字符”+“个人特征字符”的密码。

具有应用特色的字符随着不用的应用而变，而个人特征字符则相对固定。

举个例子，现在我们要设置新浪微博的登录密码，那么“sina”就是具有应用特色的字符，而个人特征的字符就以方便记忆为准，比如“birth1230”，加一起是“sinabirth1230”；如果要设置建设银行的个人网银密码，就可以用“ccbbirth1230”。这样的规则在安全和易记间取了个中间数，算是个人认为比较好的解决方案。

只是，虽然比尔出来认了错，出于巨大的惯性力量，公司的IT系统不会如此轻易的变更，人对于错误观念的纠偏也需要有个重新认知和接纳的过程，所以短时间内，还是要想破脑袋去找那不曾使用过的神秘密码呀。