密码安全最佳实践完全指南

基础原则：密码安全的三大支柱

无论密码安全技术如何演进，三个核心原则始终不变：唯一性（每个账号一个独立密码）、强度（足够高的熵使其在计算上不可破解）、保密性（只有你和密码管理器知道它）。违反任何一个原则都会使整个安全体系出现漏洞。

大多数账号被攻破不是因为密码本身被暴力破解，而是因为：在其他被泄露的网站上使用了相同的密码（撞库）、被钓鱼攻击骗取了密码、密码太弱被字典攻击猜中，或者密码被恶意软件记录。了解这些攻击向量，有助于我们制定更有针对性的防护策略。

密码创建：正确的生成方法

最佳实践：使用密码管理器内置的密码生成器，或可信的客户端在线工具，生成16位以上的随机密码。为不需要记忆的账号使用随机字符密码，为需要记忆的账号（如密码管理器主密码）使用5-6个随机单词的Diceware密码短语。

绝对避免的做法：使用个人信息（生日、姓名、地址）；使用常见单词加数字（password123）；在不同网站重复使用任何密码；手动发明看似复杂但实际有规律的密码（P@ssw0rd类型）；更改密码时只做微小修改（password1→password2）。

密码存储：密码管理器是唯一正确答案

人类无法安全地管理数十个独特的强密码，密码管理器是实现密码安全最佳实践的基础设施。推荐的密码管理器：Bitwarden（免费、开源、跨平台）、1Password（付费、优质企业功能）、Dashlane（用户体验好）。所有这些工具都使用AES-256加密存储密码，主密码从不发送到服务器（零知识架构）。

坚决避免的存储方式：浏览器密码存储（同步到服务器，且经常在共享设备上无保护地访问）、Excel/Word文档（无加密保护）、便利贴或笔记本（物理安全威胁）、未加密的文本文件。使用密码管理器后，你只需记住一个主密码，其他所有密码均由管理器安全存储和填充。

多因素认证：密码之外的第二道防线

即使拥有完美的密码，钓鱼攻击、键盘记录器或数据库泄露仍然可能导致密码被盗。多因素认证（MFA）在密码之外增加了一层保护：即使攻击者获得了你的密码，没有第二因素也无法登录。

MFA类型按安全性从高到低排列：硬件安全密钥（如YubiKey）——最安全，防御钓鱼；TOTP认证器应用（如Google Authenticator、Authy）——强烈推荐；推送通知认证（如Duo Mobile）——方便但有"疲劳攻击"风险；短信验证码——比没有强，但存在SIM卡劫持风险；邮件验证码——与短信类似的风险级别。优先为最重要的账号（邮箱、银行、密码管理器）启用MFA。

定期审查：主动发现弱点

好的密码卫生不是一次性的工作，而是持续的实践。建议每3-6个月进行一次密码库审查，重点识别：在多个网站重复使用的密码、长度低于12位的密码、使用密码管理器之前创建的老旧密码、属于已知数据泄露事件的密码。

许多密码管理器内置了"密码健康检查"功能，可以自动标记弱密码、重复密码，并通过与 Have I Been Pwned 数据库对比来识别已泄露的密码。定期使用这些功能，并对每次审查发现的问题立即采取行动。

数据泄露响应：被动防御

即使做到了所有最佳实践，第三方网站仍然可能被攻击并泄露你的密码哈希。当你收到数据泄露通知或在 Have I Been Pwned 上发现你的邮箱被泄露时，立即采取以下行动：更改该网站的密码（如果它使用了独特密码，这是唯一需要做的事情）；如果该密码被重复使用，更改所有使用了相同密码的账号；检查该账号的近期活动，查看是否有异常登录。

设置数据泄露监控（如免费的 Have I Been Pwned 邮件提醒服务）可以让你第一时间了解账号风险，而不是等到账号被滥用后才发现问题。这种主动监控是密码安全体系的重要组成部分。

企业密码政策建议

对于企业和组织，密码政策应基于 NIST SP 800-63B 的现代建议：要求最小长度（如12位），但不强制要求复杂性规则（特殊字符、大小写混合）；不强制要求定期更换密码（除非怀疑密码已泄露）；将泄露密码与已知泄露数据库对比，拒绝使用已泄露的密码；提供密码管理器作为企业工具（降低员工创建弱密码的动机）；强制为特权账号（管理员、VPN）启用MFA。

旧式的密码复杂性要求（"必须包含大写、数字、特殊字符"）和频繁的强制更换（每90天）实际上会降低安全性，因为它们促使用户选择可预测的密码变体。现代密码政策应该专注于长度和唯一性，而不是表面的复杂性。