应该怎样方便地记住自己设置的密码

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：乔伊·罗斯伯格
 
对于密码来说：它们应该是难以猜测的，应该定期进行更换，而且不应该被写下来，却又很难被记住。关于用户对密码管理的策略，你有什么好建议么？
-------------------------------------------------------------------------------------------

这个问题其实是最近我在安装一个新财务软件的时间被问到的。当时的情况是，我强烈建议，主要用户（办公室里的会计）创建一个独特的新用户名和密码，它应该不能被别人猜测出来，还建议她无论是在任何地方都不要将密码写下来。但她问了一个很现实的问题，我如何确认没有记错密码呢？这让我开始思考我们对密码的认识和使用的方式，以及由于它们带来的脆弱性。

最常见的密码是什么？密码这个词本身、数字一二三四五、键盘上的QWERTY等等，都是相当常见的。你的孩子或者配偶的姓名、你的宠物的名字，这些也是比较普遍。我想大家使用它们是因为容易记忆。不过，反过来说，它们也容易被小偷和骗子们猜测。在今天的信息世界，身份盗窃已经成为最常见的犯罪方式之一了，非常容易盗窃的密码在这个方面也起了推波助澜的作用。而密码本来是应该用来作为企业和用户的隐私保护手段的。

电子邮件帐户的密码、第二或第三电子邮件帐户的密码、文档的密码、服务器日志的密码、应用管理的密码、应用用户的密码、文件传输协议FTP站点的密码、网站的密码、供应商支持网络的密码、电子商务的密码（如易趣、贝宝以及网上银行），林林种种，数不胜数。我们不可能为每一个应用都设定一个独特的密码，更不用说定期更换了，而且，原则上它们都不应该被写下来。好吧，我们看看该怎么办？

这是我对向我提出如何记忆密码这个问题的用户的建议。

对于相对不那么重要的应用来说，我会选择一些容易记住的密码，而且永远不会改变。像名称或容易记住的数字。举例来说，如果需要一个用户名和密码以便从惠普公司或其他一些供应商的网站上下载相关的驱动程序或访问某些内容，我使用的密码总是相同的数字。在这种情况下，我们不在意如果有人知道了这个密码，会发生什么事情。最坏的情况会是什么？他们以我的名义下载了数以百计的驱动程序？谁在乎这样的事情呢？对于这种类型的应用，我总是重复使用相同的密码，而且也不会更换它。我一年最多访问两三次这样的网站，没有必要浪费脑力记忆自己独特的密码。

对于如果密码被猜测到后，不会发生很大的损害，但我不希望真的发生的应用，我会采用不同的密码。这种情况下，最严重的后果就是密码被猜测出来，给使用带来了干扰，但它不可能造成重大的损害。我可能过段时间就更换相关的密码，但肯定不是经常的。举例来说，TechRepublic社区的密码，对我来说有一定的意义，我不会忘记它，但另一方面，它也不是独一无二为TR准备的，在其它几个场合我也使用相同的密码。

而对于那些和个人隐私关系非常密切，如果被其它人得到可能导致严重后果的应用，我确实采用的是标准的密码设置的原则。这就是为什么，我要告诉问我的用户，她属于这种情况。我的的确确每年定期改变两次密码，并且从未将它写下来。这个密码是很难被猜测（黑客工具入侵）到的，我采用了数字组合、字母和姓名等各个因素。为了让它比较方便记忆，我选择了一些对我来说有意义的，在对其它人来说，是毫无意义的排列。

举例来说，我可以根据中央高中1982级这个信息创建一个密码：CenHS-co82。（但实际上我从来没上过中央高中，也不是1982年毕业的）

我也可以利用第一个女朋友的汽车品牌和型号创建一个密码，话说回来，她的父亲非常讨厌我，在一次事故中差点把我杀了。这辆车是1965年版的雪佛兰羚羊超级体育（我可以碰到挡泥板），密码这样就出来了，ChevI65SS+Istf。任何时间我都不会忘记这辆车，它有一个红色的可打开的车棚和327 C.I发动机。当到了该更换密码的时间，我可以记得相同的事情，就是连接不一样了：65ChevSS@327CI（我希望自己永远不使用，自从我离开它）

如果你有两个孩子，玛丽和比利，年龄分别在十六岁和十二岁，你可以创建一个密码：2k-Ma16&Bi12。

无论如何，我劝她想出了一个可以很容易记得的短语或组合的东西，将它们简化为大小写字母和数字，利用一个或两个字符来连接它们。过了一段时间后，可以更换它们。

这就是我的建议。你有一种可以疯狂记忆密码的方法么？可以告诉我么？（请放心，不需要放弃什么东西。）