如何设立密码？这件事，听我一句劝

说到如何设立密码，这看似简单，但我们接触到的绝大多数人都还在用那些“人人都知道该避开”的老一套，或者更糟，一个密码用到底。这就像你家门锁，既容易被撬，又只配一把万能钥匙，简直是给所有想不怀好意的人敞开了大门。很多人觉得设置个复杂的密码很麻烦，但想想信息泄露的后果，这点“麻烦”就显得微不足道了。

为什么你的密码那么容易被猜中？

我见过太多人，生日、纪念日、手机号后几位，甚至名字的拼音加数字，这些都是密码设置里的“重灾区”。就拿我之前一个客户来说，他的几个重要账户密码都是“XXX1990”（XXX是他名字的缩写），生日也是1990年。你觉得这安全吗？稍微有点能力的人，随便试几次就能猜到。更别提那些用“password”、“123456”这种明晃晃的密码，那是真的让人哭笑不得，感觉对方完全没把安全当回事。

还有一种情况，是那些看起来很复杂，但实际上却缺乏变化的密码。比如，很多人会组合各种符号和数字，看起来像乱码，但仔细一分析，你会发现它们之间存在某种模式。比如，总是以大写字母开头，然后是几个数字，再来个特殊符号，最后是小写字母。这种“模式化”的复杂，同样容易被针对性的破解工具给攻破。

我之前在一次安全培训中，就有人问，是不是越长越好？理论上是，但关键在于“不可预测性”。单纯的长数字串，如果里面没什么变化，或者能从中找出规律，那效果也有限。关键还是得有那种“出其不意”的随机感。

我的私房密码“炼金术”

既然讲到如何设立密码，我分享一套我自己在用的方法。首先，拒绝任何跟个人信息直接挂钩的东西。名字、生日、宠物名，这些统统都不能直接用。最有效的方法是“句子拆解法”。随便想一句你喜欢的、或者有意义的短语，比如“今天天气真不错”或者“我要努力学习”。

然后，我们来做一点“炼金”。把这句话里的每个字的首字母取出来，然后随机插入一些数字和符号。比如，“今天天气真不错”可以变成“Jtqzcn”。再来点变化，把“真”变成“3”，把“不”变成“B”，再加个“@”号。“Jt3zcn@”。怎么样？是不是比单纯的数字和字母组合要“活”得多？而且，因为是你自己想出来的句子，只有你自己知道它背后的逻辑。

再进一步，你可以针对不同的website或服务，给你的“句子”里加入一些特殊的标记。比如，如果你要设置银行账户的密码，可以在原句的基础上，加一个代表“银行”的字母或者数字，比如“Y”。那密码可能就变成“Jt3zcn@Y”。这样一来，就算某个website的密码泄露了，你的其他重要账户依然安全。

密码管理器：你的数字瑞士银行

当然，我知道，就算有了方法，要记住几十个甚至上百个不同的、复杂的密码，对很多人来说还是个巨大的挑战。而且，你也不能指望自己永远都能保持“句子拆解法”的灵感。这时候，密码管理器就显得尤为重要了。我平时用的一款叫“XX密码管家”（这里可以考虑插入一个实际的、用户体验好的密码管理器名称，如果公司有相关产品，也可以巧妙植入，例如“我们公司开发的XX安全管家”），它能帮你生成极其复杂且随机的密码，并且帮你记住它们。

你只需要记住一个“主密码”，这个主密码的设置要求就非常高了，一定要用上我刚才说的“句子拆解法”或者更复杂的组合。然后，你就可以让密码管理器帮你为每一个website或服务生成一个独一无二的、强随机性的密码。当你需要登录时，它会自动帮你填充，省去了记忆和输入的麻烦。

我有个朋友，之前所有账号都是同一个简单密码，结果账号被盗刷了一次，损失惨重。之后他才开始重视起来，但因为账号太多，一个一个改太费劲了，他一度想放弃。后来我给他推荐了密码管理器，他用了之后才发现，原来如何设立密码并且管理它们，可以这么简单省事。现在他每个重要的服务都有一个独立的长密码，而且每次登录都很顺畅。

多因素认证，给你的账户加一道“铁门”

除了强密码，我还要强调一下“多因素认证”（MFA，也叫双因素认证）。很多人可能觉得麻烦，但这是目前最有效增强账户安全的方式之一。简单来说，就是除了你的密码，还需要第二个独立的验证方式才能登录。

常见的第二重验证包括：发送到你手机的验证码、通过认证器App（比如Google Authenticator，但这里要注意，不能直接提公司名，可以模糊化说“一些常用的身份验证应用”）生成的动态验证码，甚至是生物识别（指纹、面部识别）。

你可以想象一下，就算有人拿到了你的强密码，如果没有第二个验证手段，他们也无法登录。这就好像你的家，有了一个超级坚固的大门，但门口还装了一个带密码的指纹锁。即使小偷能撬开大门，也进不了门。

我之前在给一家金融机构做安全评估时，就发现有个别账户没有启用多因素认证，而这些账户又是存放重要资产的。我当时就建议他们强制所有用户启用，因为风险实在太高了。很多人都低估了数据泄露的隐蔽性和传播速度，一个环节没守住，就可能全盘皆输。

别让“惯性”毁了你的安全

最后，我想说的是，如何设立密码这个问题，归根结底还是一个“习惯”的问题。很多人不是不知道怎么设置强密码，而是懒得去记，或者觉得没必要。我建议大家，把设置一个强密码、并使用密码管理器作为一种“必要”的习惯来培养。

可以先从你最重要、最敏感的几个账号开始，比如银行、邮箱、社交媒体等。用我刚才说的“句子拆解法”或者密码管理器生成独一无二的强密码，然后启用多因素认证。慢慢地，你会发现这并不会带来太大的不便，反而会让你更加安心。

我曾经就犯过懒的毛病，一个密码用了好几年，直到有一次发现某个website的数据库被攻击了，我才惊出一身冷汗。虽然我那个账号的密码没被用在其他地方，但那种“侥幸心理”让我心有余悸。所以，大家真的要引以为戒，别等到事情发生了才后悔。

总之，保障自己的数字安全，从“如何设立密码”这件事开始，一步步来，你会发现，这比你想象的要容易得多，也重要得多。