如何設置密碼更安全

　　我們在網站上注冊用戶一般有兩種原因，一種是臨時性的，主要是為了下載或查看一些必須登錄才有相應權限的資源資訊。在這種注冊時，密碼可以是很簡單甚至固定的，同時用戶名有一個特定的標識前綴或後綴，以便很容易區分，所有該類用戶都可以用同一個密碼。同時，這類用戶名絕不發布包含個人重要信息或觀點或有意義內容的帖子(以避免你一個很久以前不經意的帖子被判“違法”——央視社會與法頻道前幾天報道一個新郎，兩年前為浏覽一個成人頁面而發了一些成人圖片被判刑，婚禮泡湯。成人圖片的意思大家懂的，我就不解釋了)。當然，如果你擔心有人登錄你這樣的賬戶並發表一些不合適的內容(似乎想陷害你)，那你除了注意個人的身份信息外，可能還需要簡單改進一下密碼規則(見下面的技術)。

　　另一種注冊用戶的原因就是你真正想在上面呆，這樣的地方你肯定會發表有意義的內容和表達個人觀點(請遵守網站自身的相關規定)，並且一般情況下你的個人真實身份也可能會正常洩漏，所以密碼的安全性很重要。那麼應該如何構造一個既安全，又容易記憶的密碼呢?

　　我是這樣做的：
　　在我的人生中，有一些重要的人、事件、時間、地點……它們都各自可以用一個字符串表示，如日期“2013.11.11”、地點的拼音串 “zhonguoshenzhen”、生日“1989.09.01”(是的，用生日沒關系……)，它們都在我的心中，不會忘記也無需記憶。毫無疑問，這些字符串不能直接拿來做密碼，因為網站很可能明文記錄它們，這樣你心中的這些標識就洩漏得一干二淨了(很危險的事)。同時你還需要記住那個用戶名對應心中的哪個標識，如果你記性不好，可能把它記在紙上，而這也不安全!

　　那該如何做呢？
　　其實無需記住哪個用戶名對應哪個密碼，也不用明明白白記在紙上。你需要做的是建立一個心中的映射：把心中的那些重要標識用一個易於聯想的單詞(甚至只是一個字母)對應起來，然後在紙上記錄這個聯想詞及其所屬帳號。所用聯想詞一般組合使用更好，如 A 代表你喜歡的一位 AV 明星的名字，B 代表你第一位暗戀者的生日(Best)，記在紙上的“BA”標識就代表那個生日加上另一個名字(～哈哈，莫要鄙視俺啊)。這樣，密碼被記在了紙上但依然安全。在你未來的一生中，你會注冊的網站會很多很多，遠遠超出你的想象～，so……隱私很重要!

　　記在紙上的密碼安全了，但網站那一端呢?如果登錄的網站被第三方不可抗拒的植入了 JS 鍵盤記錄代碼，或者網站本身就無法保護你留下的密碼呢?我們該如何面對?

　　答案是：
　　在浏覽器上裝一個 Hash 插件(MD5、SHA 等皆可)，在插件中輸入從聯想詞翻譯過來的密碼，Hash 出一個字符串(當然也可以多次執行，如先 MD5，然後再 Base64)作為最終在網站端使用的密碼。這樣做的安全性如下：

　　1. 在插件中輸入密碼，使得浏覽器中目標網站的頁面即便被注入了 JS 代碼，但頁面中的 JS 代碼沒有能力獲得插件中的輸入;

　　2. 最終提交給網站的密碼串經過了 Hash 計算，這是一個不可逆的類隨機字符串，無論誰都無法知曉“你心中的那些永久標識”(PS：那些標識的數量是有限的，所以也是珍貴的);

　　3. 當然，浏覽器和操作系統干淨是總前提，否則一切安全性面談;

　　總結一下：

　　1. 臨時賬戶用簡單密碼甚至固定，賬戶名具有一定特征，不發表有意義內容。如果擔心身份被盜用，密碼可以加一個 Hash 保護;

　　2. 建立一個“心中重要事物的標識”清單，用易於聯想的字詞對應。聯想詞作為准密碼記錄在紙上;

　　3. 在安全的浏覽器上(如 chrome)安裝一個 Hash 類插件;

　　4. 真正注冊時使用的密碼是由聯想詞翻譯出來的標識串 + Hash 計算後的類隨機字符串;

　　安全性與適用性
　　1. 不論網站頁面是否被強制注入 JS 盜取密碼(附帶說一句，這樣的盜取代碼很簡單)，也不論是否網站本身安全性就有問題，這樣做都可以保護你。

　　2. 因為最終用到網站上的密碼是使用 Hash 計算而來，不存在破解可能，你心中的那些重要標識不會被知曉，那麼它們就可以永遠使用。如果需要修改密碼，調整一下聯想詞組合即可;

　　3. 聯想詞記錄在紙上，無記憶負擔。同時無人知道那些聯想詞對應什麼(建議組合使用)，那樣即便很熟悉你的人也不可能完全清楚它們是什麼;

　　4. 建立一個自己人生中“重要事物的標識清單”並用簡單詞聯想並不難，——它還會逐步豐富，動態擴展。

　　5. 總的來看，你需要記住的只是一樣東西——一些自己很難忘記的東西(構造標識可以簡單使用拼音，或者其它，你自己清楚即可);

　　更精簡一點的表述
　　1. 心中：重要東西標識串 => 聯想詞。例如：A => 心中的 AV 明星(yjly);B => 初戀女友的生日(0828);C => 我最喜歡的編程語言界大哥(stm);

　　2. 紙上：用戶名，密碼為聯想詞組合。記錄：網站 HttpX;用戶名 巴地草;密碼 ABC;

　　3. 網站：用戶名，密碼為 Hash(聯想詞翻譯)。計算：base64(md5('yjly0828stm'));

　　4. 最終在網站上使用的密碼是：'ZmE2NjkzMDUxZWNlMzRhNzY5MWUxMTBlMDBhNGZhYWU';

　　5. 這個規則太簡單，你可以設計得復雜一些——當然只有你自己知道。

　　在馄饨的互聯網上，保護自己或許並沒有想象中的那麼難。無需信任任何一方，你可以設計你自己的密碼規則!祝所有的網友平安、健康，還有快樂!