如何创建既强又好记的密码

哪些密码需要被记忆

首先澄清一个重要前提：绝大多数密码不需要被记忆，只需存储在密码管理器中即可。需要记忆的密码只有少数几个：密码管理器的主密码、操作系统/设备登录密码、磁盘加密密码，以及在极端情况下（手机丢失、密码管理器不可用）你可能需要的紧急备用密码。

专注于这少数几个需要记忆的密码，对它们应用下面介绍的技术，而对其余所有密码使用随机生成器。这是最佳的记忆-安全平衡策略。

方法一：Diceware 密码短语

Diceware 是生成可记忆强密码的最佳方法。使用5个骰子（或骰子模拟器），根据掷出的5位数字从Diceware词表中选择对应的单词，重复5-6次，得到一个由5-6个完全随机单词组成的密码短语。例如：cleft cam synod lacy yr。

这些单词之间没有语义联系，但可以用记忆技巧（见下文）将它们联系起来。5个单词的Diceware密码提供约64.6比特的熵，6个单词约77.5比特，这对于大多数需要记忆的密码场景已经足够安全。

方法二：首字母缩写法

选择一个你能牢记的长句子——一行歌词、一句名言、或一个对你有特殊意义的句子——然后取每个词的首字母（加上数字和标点）构成密码。例如，"我在2010年的夏天爱上了编程，那是我人生中最美好的时光！"可以变成 W2010NdXTASLBc,NSRSZZMHDSG!。

这个方法的优点是产生的密码看起来像随机字符（对攻击者而言），但对你来说有意义可记。缺点是如果句子太普通（如歌词、名言），攻击者可能也会尝试这种方法。应选择对你个人有意义但外人无法猜到的句子。

方法三：视觉化记忆法（记忆宫殿）

记忆宫殿是一种古老的记忆技术：在脑海中构建一个你熟悉的场所（如你的家），然后将需要记忆的内容与这个场所中的具体位置关联起来。对于Diceware密码短语，将每个单词想象成你家中某个位置上的一个荒诞画面：玄关里有一匹马（horse），客厅里有一块正确摆放的电池（battery），厨房里有一个订书针（staple）……

越荒诞、越具体的画面越容易记忆。反复在脑中"走过"这条路线3-5次后，密码就会牢固地储存在长期记忆中。许多记忆冠军使用这种技术记忆数百位随机数字，用它来记忆几个随机单词是完全可行的。

方法四：规律性密码短语变体

如果你必须在传统字符密码和可记忆性之间寻找平衡，可以使用以下变体方法：选择3-4个完全不相关的随机单词，将它们用数字或符号连接，并对某些字母进行大写处理。例如，随机词"cloud"、"iron"、"seven"可以变成 Cloud9-Iron-Seven!。

注意：这种方法比纯Diceware安全性略低，因为引入了一些可预测的模式（首字母大写、数字分隔）。但它比大多数用户实际使用的密码安全得多，且更容易记忆。关键在于单词的选择必须是真正随机的，而不是有意义的关联词。

巩固记忆的实践技巧

创建密码后，巩固记忆的最有效方法是间隔重复。在创建密码后的第1天、第3天、第7天、第14天和第30天分别从记忆中召回一次密码（不要查看）。这种间隔重复与人类记忆的遗忘曲线相匹配，可以将短期记忆转化为长期记忆。

此外，每天登录需要输入该密码的设备（如电脑）本身就是最好的记忆巩固——因为每次输入都是一次记忆强化。不经常使用的密码（如磁盘加密密码）则需要主动安排定期回忆练习。

为什么不应该使用个人信息

许多人倾向于使用个人信息作为密码的基础，如生日、名字、宠物名称、地址等，认为这样"容易记又独特"。这是一个严重的安全错误。这些信息通常在社交媒体上公开可得，而且攻击者的字典攻击工具专门针对个人信息变体进行优化。

真正好记的安全密码，其记忆性来自你对随机单词组合创造的联想和故事，而不来自密码本身与你个人的联系。一旦建立了这种联想，你就同时获得了安全性（随机性）和可记忆性（联想性）。