最近密碼泄漏事件頻頻發生，到底什么樣的密碼才安全？密碼作為一種最原始、最廣泛使用的安全手段，到底應該如何設置？什么樣的密碼才是安全的？如果我們能明白這些密碼泄露事件的根源與原理，對我們加強安全意識會不會有額外的幫助？

密碼安全
在開始介紹具體的方法和措施前，我們希望先讓您明白，密碼到底是如何泄露的，正所謂知其然，也要知其所以然，密碼安全不僅僅只是一些教條性的操作指南，更重要的是我們懂得在各個途徑和過程中，如何保護好我們的密碼。
密碼到底是如何泄露的？
想要知道密碼是如何泄露的，不妨先想一想，你的密碼都在哪？概括地來說，它只會在三個地方：本地、傳輸過程中、遠程數據庫中。
舉個例子來說，如果你在瀏覽器中輸入或保存了密碼，這個密碼在你點擊登錄前，只存在于你的本地，一旦你點擊登錄，瀏覽器就會將你的登錄名和密碼打包成為一個請求，發送給遠程的服務器，這時候你的密碼會經歷一段非常短暫的旅程，最終到達遠程服務器。如果你是第一次注冊的話，你的密碼還會以某種形式存儲在對方的數據庫中。
密碼在本地時黑客通過惡意木馬，惡意植入，鍵盤監聽等方式盜取你的密碼，這種情況比較普遍，因為現今大多網站和APP在數據傳輸過程都是加密的，遠程服務器更是防范嚴密。

提取密碼
那么最基本的防范措施就是：
1.不在公共或有潛在安全風險的設備上進行密碼操作；
2.除非你非常有自信，否則請不越獄，不Root；
3.不安裝未知來源的（盜版）軟件，從可信的源（如：App Store、Google Play）下載安裝軟件。
4.不使用不可信的 WiFi 網絡，特別是公共場合的陌生、免費WiFi。
5.如果可能，使用SSL加密，保持瀏覽器在最新版本，檢查網站證書是否可信（一般瀏覽器都會有提示）。
設置密碼時，牢記這幾點：
1.密碼位數、大小寫和特殊符號
密碼越復雜，安全程度越高，這一假設的前提是你的本地設備和網絡環境足夠安全，否則密碼再復雜，如果你本地有木馬程序監聽輸入，那么一樣是徒勞。
在保證本機和網絡環境安全的前提下，如果網站的數據發生泄露，對方在暴力破解時，密碼的復雜程度就直接對破解的效率和成本有關系，一般來說，位數越長，混雜得大小寫和特殊符號越多，暴力破解的成本就越大。所以一定杜絕使用常見的、簡單的密碼，建議大家的密碼盡量保持在14位以上、存在大小寫字母和數字、并混雜有特殊符號（理論上特殊符號當然是越不常見的越好，甚至有人用表情符號作為密碼中的特殊符號）。
2.在密碼中加入網站特征值
如果最壞的情況發生了，密碼泄露并被破解了，怎么才能不影響自己在其它平臺的賬號安全？當然是不同平臺和網站有不同的密碼是最安全的了，這樣泄露的賬號和密碼不會直接影響到其它平臺。不過考慮到實際情況，我們很難在每一個不同的平臺上都更換一個新的賬號和密碼，要記住不是一件容易事。這時就可以考慮一個非常簡單的策略：使用一個通用的基礎密碼，針對不同的網站，在前后或中間插入對應該網站的一個特殊值。比如我給自己設定的一個基礎密碼是haulik%!2009，那么當我在不同的平臺注冊時，可以加入不一樣的后綴，例如注冊百度時可以有haulik%!2009@baidu，注冊新浪時則是haulik%!2009@sina，以此類推。

好處是什么呢？首先顯然如果你不打算借助一些密碼管理工具，而使用腦子來記密碼，又希望各個平臺的密碼有所不同時，這是一個簡單可行的方法。其次，一旦你的密碼被泄露了，你還很快能追查出到底泄露源是哪。你可能會覺得黑客會不會很聰明，知道在不同網站去替換我的后綴呢？這其實很難，首次加入了這些網站特征值后本身對破解造成了難度上的提升，而從另一個方面來說，黑客基本很少會關心茫茫密碼中的個人，他既沒興趣也沒精力來專門針對你進行一些特殊處理。如果還是不放心的話，可以考慮在這個策略上，再加入一些變化，比如我就不會直接使用baidu 這樣的網站特征值，而是使用這些網站名稱的五筆首字母，例如：baidu 就是dy。
3.直接生成隨機字符串
不知道到底設什么樣的密碼好？其實還有一個很簡單的辦法，像Safari、Chrome等瀏覽器就會在頁面注冊賬號時智能地提供一個隨機字符串作為密碼選項。
好處就是，完全忘掉之前說的怎么設置一個復雜的密碼規則，你只需要讓瀏覽器自動生成就可以了。不過缺點也很明顯，如果你在不同的平臺上登錄，是 Web 環境的話需要保證全平臺統一同步，而如果注冊的是某些 App 使用的賬號，那么登錄的時候就非常不友好了。
4.兩步驗證
最糟糕的情況就是密碼還是泄露了，這時候有沒有補救措施？當然也有，像現在大型的互聯網公司一般都提供了兩步驗證服務，如微軟、Google、蘋果等等。一旦開啟了兩步驗證，只要是在非授信的設置上登錄，除了常規的賬號和密碼外，網站還會要求你額外提供綁定手機的動態驗證碼，這樣就確保了即使的密碼泄露了，依然還有一道安全屏障阻礙黑客最終登錄你的賬號，保護你的數據財產安全。
5.定期更改密碼
這可能是聽起來最簡單的一件事情，但一定要做。前面提到了密碼泄露的各個環節，有的是你可控的，有的是你不可控的，有的甚至是你自以為可控但其實并不可控的。對于許多人來說，我們缺乏判斷本機或網絡傳輸是否真的安全的能力，甚至像爆發的 XcodeGhost 事件，即使對于安全意識再高的人，也想不到會有這樣的事情發生。
正所謂防患于未然，既然我們永遠不知道水有多深，不如養成定期改密碼的好習慣。
6.永遠假設你的密碼會泄露
不過，一個更殘酷的現實是：道高一尺，魔高一丈。網絡中永遠潛伏著我們還未意識到的安全風險，隨時可能爆發的黑天鵝事件。
因此你在使用任何網絡服務時一定要有一個意識，做好最壞的打算：永久假設你的密碼一定會泄露，只是時間早晚問題。那么，這件事一旦發生后，被泄露的數據會對你造成致命的打擊嗎？會讓你的銀行卡變成人盡可取嗎？會讓你的身體變成人盡可看嗎？會讓你的陰謀變得人盡可知嗎？想想這些，你還敢把銀行卡密碼記在短信里嗎？還敢和冠希哥合拍小視頻嗎？還敢傳政府機密文件到網盤里嗎？