关于密码规则的分析和一些建议

　　经过20年的努力，我们已经把所有人成功驯化成：

　　使用人类难以记忆而电脑容易猜到的密码。

　　我们当然可以对“correct horse battery staple”这样的密码策略是否有效提出质疑，不过，这里的点主要还是说跟密码长度有关系。

　　讲真，密码长度确实重要！我竟然在一篇博文里爆粗说道，如今这个时代，鉴于云计算的发展水平和基于GPU的哈希运算能力，任何不超过8个字符的密码跟不设密码真的差别不大，非常危险！

　　那么，我们或许有了一个规则，那就是：密码不能太短。长密码比短密码可能会安全得多。是这样吗？

　　下面这个4字符的密码怎么样？

　　下面这个8字符的密码又怎么样？

　　或者，这种7个字符的密码呢——阿拉伯文、中文、泰文、韩文、克林贡文、Wingdings字体、表情符各取一个字符？

　　如果你把上面那4个Unicode的表情符，粘贴到你最常用的登录框里——现在就去试一试——你可能会被惊到！你会发现，其实不止4个字符哦……

　　亲，我们的老朋友Unicode又来捣蛋了！瞧瞧这个：

　　事实证明，即使像“密码必须要有合理的长度”这样的简单规则，也未必就这么简单。尤其是，如果我们不像脑子里只有ASCII字符的老美那样思考问题。

　　话说回来，那些看起来不错的长密码呢？它们就一定安全吗？

　　aaaaaaaaaaaaaaaaaaa0123456789012345689passwordpasswordusernamepassword

　　当然不是！你最近接触过用户吗？
        他们孜孜不倦地摧残着我开发的软件，简直无孔不入。是的，没错，我知道你们极客非常清楚“熵”的概念（注：熵的本质是一个系统“内在的混乱程度”）。但是，在一个Unicode和表情符的世界里，把你们对熵的热爱表达成下述稀奇古怪、糟糕透顶的密码规则，真是凭空想象出来的一个巨大错误！

　　必须包含大写字母

　　必须包含小写字母

　　必须包含一个数字

　　必须包含一个特殊字符

　　在我们开发Discourse.org的时候，我发现，登录框是非常复杂的一块代码，尽管它的界面看起来很简单。我们采用的主要密码规则也是最简单的，就只有长度要求。从最初的开发到现在，我们已经把密码的最小长度要求从8字符提升到10字符。如果你有幸成为管理员或版主，我们还决定密码长度最少必须15个字符。

　　我同时也主张，拿用户的密码跟10万个最常用的密码进行比对。如果你看一看2016年被曝光的1000万个密码，你会发现用得最多的前25个密码是：

　　123456123456789qwerty1234567811111112345678901234567password123123987654321qwertyuiopmynoob12332166666618atcskd2w77777771q2w3e4r6543215555553rjs1la7qegoogle1q2w3e4r5t123qwezxcvbnm1q2w3e

　　纵然这份数据泄漏了一些ASCII中心主义。我想，数字在任何文化里都是相同的，但我难以相信普通的中国人会选择“password”、“qwertyuiop”或“mynoob”作为密码。因此，上面这份清单必然还会因地区而异。

　　（一个有趣的想法是，在长密码里去检索匹配常用的较短密码，不过，我觉得这会产生太多的误报。）

　　如果你再次检视这份数据，不难得出一个支持密码长度的结论。请注意，在最常用的25个密码中，只有5个超过10字符。因此，如果我们要求密码长度至少是10，就已经把上黑榜的几率降低了80%。我最早是在为Discourse.org做调研时意识到这一点的，那时我收集了数百万个泄漏出来的密码，然后把这份清单过滤到只剩下满足我们新的最低要求（10个字符或更长）的那些密码，真的是寥寥无几了！