最好的安全措施是组合使用密码、多重身份验证以及生物特征识别（如指纹或面部识别）。

以下内容节选自澳大利亚发行量最大的商业周刊之一《INTHEBLACK》。内容经《INTHEBLACK》杂志授权发布，如需转载，敬请联系澳洲会计师公会。

比利•伯尔的密码规则旨在预防我们所说的暴力解码。暴力解码是指，黑客仅使用计算机的运算能力来尝试所有不同组合的密码，直至找到正确的组合。通过增加密码组合的长度，比利•伯尔密码规则可以使攻击者需要尝试的组合数量呈指数级增长。

以采用八位密码（例如就是password）为例。如果仅仅使用小写字母，可能的组合方式有26的八次方种，约2088亿。这听起来似乎是一个很大的数量，但如果你意识到对于一台现代超级计算机或者僵尸网络而言，破解这样的密码只需要1.8秒，可能你就不会这么想了。

如果增加大写字母（例如PassWord），组合数量会乘以256倍，达到52的八次方种。如果增加数字和符号（例如P@$$w0rd），组合数量就会达到95的八次方种，这样即便拥有大规模的僵尸网络，也需要更多的时间才能破解。

但问题在于如今的黑客们已经很少会单纯地使用暴力解码的方式来破解你的密码，新南威尔士大学计算机科学与工程学院的赫尔诺特•海瑟（Gernot Heiser）教授表示。

事实上，现在的黑客们会首先搜索英文单词加上常见的替换符号，例如用$替换S。这样他们就能够非常容易破解用户根据比利•伯尔的规则绞尽脑汁设置的密码，如P@ssw0rd$。

赫尔诺特•海瑟教授认为，解决方案之一是使用更长但容易记忆的短语作为密码，而不是一个单词。理想情况下，这些短语应该是一些出人意料的单词构成的独特组合，而不是一句可预测的英文语句。增加的字符越多，破解所需的时间也就越长。

赫尔诺特•海瑟教授表示：

他还认为比利•伯尔当年有关定期更换密码的建议绝对是画蛇添足，那只会让用户选择更短、更简单的密码，以便可以通过相对简单的变化更改密码（例如，1月份使用P@ssw0rd1，到了2月份就换成P@ssw0rd2）。

赫尔诺特•海瑟教授解释说：

我们的生活越来越离不开网络，因此需要用到越来越多的密码。然而在不同的网站上使用相同的密码是非常危险，因为一旦某个相对不太安全的服务提供商发生数据泄露，就会导致其他重要网站上的帐户处于几乎完全不设防的状态。那么，如何才能记住所有密码？

皇家墨尔本理工大学工程学院副教授马克•格雷格从上世纪90年代开始就一直采用以下方式：将所有密码保存在一个文本文件中，然后加密该文件。

马克•格雷格表示：

现在也可以使用在线获得的密码管理系统来管理自己的密码。这些系统将个人的所有密码保存在一个地点并进行加密，只需记住一个访问系统的密码，密码管理系统就会处理其余的工作。优质密码管理器通常会收取一定的年费。不过在马克•格雷格看来，相比犯罪分子访问个人的数据、假冒身份或是进入银行账户而造成的巨大破坏，这点费用根本微不足道。

网络安全公司Mandiant威胁情报与网络防御领域首席顾问、澳大利亚网络安全中心讲师马修•拜恩（Matthew Byrne）建议，可考虑添加另一种保护机制来增强密码安全性，如启用大多数网上银行等大型服务提供商提供的多重身份验证选项。

马修•拜恩解释说：

赫尔诺特•海瑟和马修•拜恩均认为，最佳的安全措施是结合使用密码、多重身份验证以及生物特征识别（如指纹或面部识别）。这样可以有效地构建一条黑客难以攻破的防线——虽然这依然不是万无一失的。

更多精彩内容请点击 ☟