經(jīng)過20年的努力，我們已經(jīng)把所有人成功馴化成：

　　使用人類難以記憶而電腦容易猜到的密碼。

　　我們當(dāng)然可以對(duì)“correct horse battery staple”這樣的密碼策略是否有效提出質(zhì)疑，不過，這里的點(diǎn)主要還是說跟密碼長(zhǎng)度有關(guān)系。

　　講真，密碼長(zhǎng)度確實(shí)重要！我竟然在一篇博文里爆粗說道，如今這個(gè)時(shí)代，鑒于云計(jì)算的發(fā)展水平和基于GPU的哈希運(yùn)算能力，任何不超過8個(gè)字符的密碼跟不設(shè)密碼真的差別不大，非常危險(xiǎn)！

　　那么，我們或許有了一個(gè)規(guī)則，那就是：密碼不能太短。長(zhǎng)密碼比短密碼可能會(huì)安全得多。是這樣嗎？

　　下面這個(gè)4字符的密碼怎么樣？

　　下面這個(gè)8字符的密碼又怎么樣？

　　或者，這種7個(gè)字符的密碼呢——阿拉伯文、中文、泰文、韓文、克林貢文、Wingdings字體、表情符各取一個(gè)字符？

　　如果你把上面那4個(gè)Unicode的表情符，粘貼到你最常用的登錄框里——現(xiàn)在就去試一試——你可能會(huì)被驚到！你會(huì)發(fā)現(xiàn)，其實(shí)不止4個(gè)字符哦……

　　親，我們的老朋友Unicode又來搗蛋了！瞧瞧這個(gè)：

　　事實(shí)證明，即使像“密碼必須要有合理的長(zhǎng)度”這樣的簡(jiǎn)單規(guī)則，也未必就這么簡(jiǎn)單。尤其是，如果我們不像腦子里只有ASCII字符的老美那樣思考問題。

　　話說回來，那些看起來不錯(cuò)的長(zhǎng)密碼呢？它們就一定安全嗎？

　　aaaaaaaaaaaaaaaaaaa0123456789012345689passwordpasswordusernamepassword

　　當(dāng)然不是！你最近接觸過用戶嗎？
? ? ? ? 他們孜孜不倦地摧殘著我開發(fā)的軟件，簡(jiǎn)直無孔不入。是的，沒錯(cuò)，我知道你們極客非常清楚“熵”的概念（注：熵的本質(zhì)是一個(gè)系統(tǒng)“內(nèi)在的混亂程度”）。但是，在一個(gè)Unicode和表情符的世界里，把你們對(duì)熵的熱愛表達(dá)成下述稀奇古怪、糟糕透頂?shù)拿艽a規(guī)則，真是憑空想象出來的一個(gè)巨大錯(cuò)誤！

　　必須包含大寫字母

　　必須包含小寫字母

　　必須包含一個(gè)數(shù)字

　　必須包含一個(gè)特殊字符

　　在我們開發(fā)Discourse.org的時(shí)候，我發(fā)現(xiàn)，登錄框是非常復(fù)雜的一塊代碼，盡管它的界面看起來很簡(jiǎn)單。我們采用的主要密碼規(guī)則也是最簡(jiǎn)單的，就只有長(zhǎng)度要求。從最初的開發(fā)到現(xiàn)在，我們已經(jīng)把密碼的最小長(zhǎng)度要求從8字符提升到10字符。如果你有幸成為管理員或版主，我們還決定密碼長(zhǎng)度最少必須15個(gè)字符。

　　我同時(shí)也主張，拿用戶的密碼跟10萬個(gè)最常用的密碼進(jìn)行比對(duì)。如果你看一看2016年被曝光的1000萬個(gè)密碼，你會(huì)發(fā)現(xiàn)用得最多的前25個(gè)密碼是：

　　123456123456789qwerty1234567811111112345678901234567password123123987654321qwertyuiopmynoob12332166666618atcskd2w77777771q2w3e4r6543215555553rjs1la7qegoogle1q2w3e4r5t123qwezxcvbnm1q2w3e

　　縱然這份數(shù)據(jù)泄漏了一些ASCII中心主義。我想，數(shù)字在任何文化里都是相同的，但我難以相信普通的中國人會(huì)選擇“password”、“qwertyuiop”或“mynoob”作為密碼。因此，上面這份清單必然還會(huì)因地區(qū)而異。

　?。ㄒ粋€(gè)有趣的想法是，在長(zhǎng)密碼里去檢索匹配常用的較短密碼，不過，我覺得這會(huì)產(chǎn)生太多的誤報(bào)。）

　　如果你再次檢視這份數(shù)據(jù)，不難得出一個(gè)支持密碼長(zhǎng)度的結(jié)論。請(qǐng)注意，在最常用的25個(gè)密碼中，只有5個(gè)超過10字符。因此，如果我們要求密碼長(zhǎng)度至少是10，就已經(jīng)把上黑榜的幾率降低了80%。我最早是在為Discourse.org做調(diào)研時(shí)意識(shí)到這一點(diǎn)的，那時(shí)我收集了數(shù)百萬個(gè)泄漏出來的密碼，然后把這份清單過濾到只剩下滿足我們新的最低要求（10個(gè)字符或更長(zhǎng)）的那些密碼，真的是寥寥無幾了！