那些带有&@#%^的密码

你用的密码越强壮，系统也就越安全。在SQL Server中，许多Exploits就是利用了空的或弱的sa密码，这就是为什么微软在SQL Server 2005缺省安装中默认会提供一个sa口令。然而对于终端用户来说，强密码是把双刃剑，尽管强密码可以带来更好的安全性，但是密码越强壮，用户就越难记忆。在用户的工作区里，你难免会看到写满了看起来印象深刻，然而难于记忆的密码的便笺贴在显示器边上。

剑桥大学计算机实验室的研究者进行的一项研究证实并揭示了关于用户密码选择上的几种一致的观点。这项研究对比了一些强壮的随机密码和易于记忆型的密码。一个易于记忆型的密码是指那种由一个句子中的首字母构成的单词。例如，我们可以把“My 1st mnemonic password is cool”记录为“M1mpic”。第一个发现证实了我们已知的事实：用户在记忆随机密码时会有麻烦。有66%的用户通过写下随机密码来帮助他们记忆。接下来不足为奇的也就是，该项研究证实了那些易于记忆的短语的密码要比用户选择常用单词或者名字来作为密码更加难于猜测。研究者用简单的数据字典和暴力破解的方式破译了32%的这种用户选择的密码。

剑桥的这项研究也揭穿了几种关于用户和密码的谬论。首先，它表明随机产生的密码并不比那些易于记忆型密码强壮。每种类型6个字符密码的成功破解比率大致是相同的。该项研究反驳的另一个谬论就是易于记忆型密码比那些用户选择常用单词的密码更难记忆。由管理密码重置的请求可以测出，易于记忆型密码和用户选择型密码有着相同的重设率。然而，随机生成的密码在通常情况下需要重设的次数是前两者的8倍。你可以从http://www.ftp.cl.cam.ac.uk/ftp/users/rja14/tr500.pdf找到剑桥大学的这项研究资料。

许多迹象表明通行短语比更强壮的密码能提供更好的安全性。通行短语和易于记忆型密码不同，它们是完整的单词并且含有空格。与派生的七个字符对应，通行短语“My 1st mnemonic password is cool”有27个字符。Windows和SQL Server都支持通行短语。Windows允许127位密码，SQL Server的混合验证模式能够支持128位密码。有些密码虽然更短，但是也能够很隐蔽——尤其是结合了大小写字母，数字和特殊字符的强壮密码。通行短语更长一些，但是容易记忆。通常，越长也就意味着越强壮，所以通行短语的长度让它们比密码更难破解。而且由于这些短语对于用户来说有着某种含义，所以他们很少会把它写下来。

强壮的密码当然比弱密码要好，但是现在该考虑选择用通行短语来取代密码了。在技术游戏中，人与方法总是胜过技术。通行短语在安全和使用方面达到了一个平衡。它可以足够的长以提供很好的安全性，并且还足够友好方便用户记忆，它比记住那些更强壮但复杂且无意义的密码要容易多了。