經(jīng)過20年的努力，我們已經(jīng)把所有人成功馴化成：

　　使用人類難以記憶而電腦容易猜到的密碼。

　　我們當然可以對“correct horse battery staple”這樣的密碼策略是否有效提出質(zhì)疑，不過，這里的點主要還是說跟密碼長度有關(guān)系。

　　講真，密碼長度確實重要！我竟然在一篇博文里爆粗說道，如今這個時代，鑒于云計算的發(fā)展水平和基于GPU的哈希運算能力，任何不超過8個字符的密碼跟不設(shè)密碼真的差別不大，非常危險！

　　那么，我們或許有了一個規(guī)則，那就是：密碼不能太短。長密碼比短密碼可能會安全得多。是這樣嗎？

　　下面這個4字符的密碼怎么樣？

　　下面這個8字符的密碼又怎么樣？

　　或者，這種7個字符的密碼呢——阿拉伯文、中文、泰文、韓文、克林貢文、Wingdings字體、表情符各取一個字符？

　　如果你把上面那4個Unicode的表情符，粘貼到你最常用的登錄框里——現(xiàn)在就去試一試——你可能會被驚到！你會發(fā)現(xiàn)，其實不止4個字符哦……

　　親，我們的老朋友Unicode又來搗蛋了！瞧瞧這個：

　　事實證明，即使像“密碼必須要有合理的長度”這樣的簡單規(guī)則，也未必就這么簡單。尤其是，如果我們不像腦子里只有ASCII字符的老美那樣思考問題。

　　話說回來，那些看起來不錯的長密碼呢？它們就一定安全嗎？

　　aaaaaaaaaaaaaaaaaaa0123456789012345689passwordpasswordusernamepassword

　　當然不是！你最近接觸過用戶嗎？
? ? ? ? 他們孜孜不倦地摧殘著我開發(fā)的軟件，簡直無孔不入。是的，沒錯，我知道你們極客非常清楚“熵”的概念（注：熵的本質(zhì)是一個系統(tǒng)“內(nèi)在的混亂程度”）。但是，在一個Unicode和表情符的世界里，把你們對熵的熱愛表達成下述稀奇古怪、糟糕透頂?shù)拿艽a規(guī)則，真是憑空想象出來的一個巨大錯誤！

　　必須包含大寫字母

　　必須包含小寫字母

　　必須包含一個數(shù)字

　　必須包含一個特殊字符

　　在我們開發(fā)Discourse.org的時候，我發(fā)現(xiàn)，登錄框是非常復雜的一塊代碼，盡管它的界面看起來很簡單。我們采用的主要密碼規(guī)則也是最簡單的，就只有長度要求。從最初的開發(fā)到現(xiàn)在，我們已經(jīng)把密碼的最小長度要求從8字符提升到10字符。如果你有幸成為管理員或版主，我們還決定密碼長度最少必須15個字符。

　　我同時也主張，拿用戶的密碼跟10萬個最常用的密碼進行比對。如果你看一看2016年被曝光的1000萬個密碼，你會發(fā)現(xiàn)用得最多的前25個密碼是：

　　123456123456789qwerty1234567811111112345678901234567password123123987654321qwertyuiopmynoob12332166666618atcskd2w77777771q2w3e4r6543215555553rjs1la7qegoogle1q2w3e4r5t123qwezxcvbnm1q2w3e

　　縱然這份數(shù)據(jù)泄漏了一些ASCII中心主義。我想，數(shù)字在任何文化里都是相同的，但我難以相信普通的中國人會選擇“password”、“qwertyuiop”或“mynoob”作為密碼。因此，上面這份清單必然還會因地區(qū)而異。

　?。ㄒ粋€有趣的想法是，在長密碼里去檢索匹配常用的較短密碼，不過，我覺得這會產(chǎn)生太多的誤報。）

　　如果你再次檢視這份數(shù)據(jù)，不難得出一個支持密碼長度的結(jié)論。請注意，在最常用的25個密碼中，只有5個超過10字符。因此，如果我們要求密碼長度至少是10，就已經(jīng)把上黑榜的幾率降低了80%。我最早是在為Discourse.org做調(diào)研時意識到這一點的，那時我收集了數(shù)百萬個泄漏出來的密碼，然后把這份清單過濾到只剩下滿足我們新的最低要求（10個字符或更長）的那些密碼，真的是寥寥無幾了！

相關(guān)電子資料下載

• 多層板減為兩層板的方法 18
• RIFF文件格式簡介 512
• mdobus ASCII協(xié)議轉(zhuǎn)換網(wǎng)關(guān)支持CAN OPEN JAE1939 154
• 一篇文章全面解析Modbus協(xié)議中的消息幀 738
• 單片機Hex文件的格式詳解 550
• Modbus TCP通信報文解析 582
• 詳解Modbus協(xié)議的RTU幀和ASCII幀(2) 62
• 詳解Modbus協(xié)議的RTU幀和ASCII幀(1) 71
• 所有接口都用post請求的原因 92
• Python學習筆記：編碼、變量、控制語句與函數(shù) 86