密码短语是您可以使用的极好工具，但您需要它吗？

这一年是2011年，安全专业人员正在打一场失败的战斗。他们正在向骨头打字，试图说服用户创建真正强大的密码非常重要。他们将图表放在一起并解决数学方程式，这些方程式说明了使用包含大写和小写字母，数字和特殊字符的长密码的优点。尽管如此，人们还是使用“123456”来保护他们的帐户，并且通常不会羞于承认他们在多个帐户上重复使用单个密码。然后，一个现在着名的XKCD webcomic出现并试图改变公众的看法。

Table of Contents

密码与密码短语

作者Randall Munroe试图告诉人们，他们应该只考虑四个随机字典单词并将它们放在一起，而不是杂耍字母，数字和标点符号。他认为得到的密码短语比用随机数字和特殊字符修饰的典型单词更难破解，他甚至试图用数学来证明它。

现在，七年之后，我们可以有把握地说，Munroe先生尝试改变用户的密码创建习惯或多或少都失败了。 “123456” 仍然是最常用的密码之一，密码重用仍然是常态而非例外。尽管如此，“正确的电影剧”漫画仍然是一些热烈讨论的主题。

开始这一切的问题

为了找出为什么有些人认为密码短于密码，我们需要看看常规密码有什么问题，我们也可以在此过程中清除一些混乱。

许多人错误地认为创建强密码很困难。不是这种情况。实际上，打开文本编辑器，闭上眼睛，将键盘上的键捣碎几秒钟。很有可能，当你睁开眼睛时所看到的将是一个相当强大的密码，即使是一台功能强大的计算机也需要很长时间才能破解。问题是，如果它很难破解，那就很难记住了，这真的是问题所在。

密码短语支持者声称，由于它的长度，它与密码一样（如果不是更多）难以破解。与此同时，你很难找到愿意争辩说记住一串四个字典单词比记住一串二十个随机符号更难的人。那么，似乎密码短语只是我们需要的解决方案。不幸的是，它并不那么简单。

使用密码可能不像听起来那么容易

它们似乎并不那么普遍，但专家们已经看到了专门用于暴力密码短语的工具。他们不是在获得正确的密码之前尝试不同的符号组合，而是组合单词。虽然它并没有完全破坏密码短语的强度，但这样的工具可以消除使用长密码短语所带来的一些额外复杂性。

然后你有密码要求的问题. 正如我们已经提到的，在一些人开始争论密码短于密码之前，强烈要求所有人开始在他们的密码中使用各种类型的符号。因此，网站开始实施强制您在密码中使用数字或特殊字符的要求。所有这些都可能使你的密码更加难以记住，这在某种程度上会破坏它的目的。有些规则甚至会阻止您完全使用密码。

不安全地存储密码的服务提供商通常会对可用于保护帐户的字符数施加上限。正如我们已经提到的，密码的强度在于它的长度，如果它不能很长，你最好使用更短但更复杂的密码。

说到长度，看一下在违规过程中泄露的一系列登录数据，很有可能，你会发现那些可以在那里被宽松地定义为密码的项目。例如，“letmein”这个短语很常见，如果你还没有意识到这一点，虽然它在技术上是一个密码短语，但使用它来保护你的帐户并不是一个好主意。既没有使用你最喜欢的歌曲的合唱或你最喜欢的书的前几个单词。黑客比这更清楚。

密码，如密码，必须是随机的，不可预测的。可悲的是，人类并不擅长随意和不可预测。

Diceware - 解决创建密码短语的问题

如果人类不是随机和不可预测的，那么它是什么？那些说“骰子”的人在背后虚拟拍拍。

Diceware是一种使用yes创建密码的方法，你猜对了，骰子。它已经存在了很长一段时间了，但是最近关于密码长度和复杂性的争论已经大大推广了，我们现在将向您展示它是如何工作的。

当然，随着人气的增长，出现了一些变化。最近，例如，来自电子前沿基金会（EFF）的专家开发了用于二十面骰子的Diceware。然而，我们将专注于仅需要一个完全标准的六面骰子的传统方法。

然而，在你淘汰Monopoly盒子之前，你需要一个Diceware单词列表。相当多的单词列表只是谷歌搜索，他们甚至有不同的语言。如果你不喜欢四处翻找，你可以随便挑这一个联邦军在2016年出版。

现在把你的骰子翻滚五次，记下（或记住）每个数字。将数字放在一起以生成数字并在单词列表中搜索该数字。数字旁边的单词是密码短语的第一个单词。例如，在办公室试用之后，我们得到了36426，在EFF的单词列表中，它对应于“机械师”。重复这个过程，生成三个或更多的附加单词，将它们拼接在一起，最后你会得到一个非常强大的密码。

这不是生成密码短语的最快方式，但结果是完全随机的，这意味着额外的努力是值得的. 可悲的是，这种随机性也造成了问题。