这些元素本身还不够好，因为电话号码、车牌、姓名、邮政编码等是已知且可枚举的，并且很容易将它们添加到密码猜测者的单词列表中。你姑姑早就死了也没关系；她的电话号码仍然只是一个数字，而且不是很大。

一家早已停业的书店的酒吧和名称要好一些，因为酒吧可能被命名为“羊肉和柳条篮”，而书店可能是“eggertsons & son's mind food”，可能在任何地方都找不到——互联网上的可用列表。

我不知道把火车站放在哪里。这基本上是一个地名，我可以通过在维基百科上扔一个蜘蛛来获得它，或者可能从某种 GIS 网站下载一个现成的列表，所以我认为只使用其中一个不是一个好主意这些片段。

但是，正如您所建议的，将这些个人片段组合起来会形成一个非常强大的密码。例如，你死去已久的阿姨的电话号码，加上你第一次度假的地方，加上你祖父的车牌，再加上你遇到妻子的酒吧——这可能是一个非常好的密码。

电池马的主要内容来自 diceware wordlist，其中包含大约 7000 个单词。有更多的邮政编码，更多的电话号码，更多的车牌，更多的地名，所以如果你的攻击者不太了解你，那么由此产生的组合将比一个 diceware 密码强得多。

如果您想将这种方法教给人们，您必须确保他们理解生成的密码的强度取决于每个个人片段的可能性数量。“你祖父的车牌号”开启了数百万种可能性，而“你哥哥最喜欢的食物”或“你最好朋友最喜欢的颜色”只提供了一些容易猜到的可能性，因此不应包含在密码中。

对于不能/不会使用密码生成器的人（我们都非常了解），这比正确的马电池钉要好。

是否“足够好”？如果有人拒绝使用密码生成器，我是否应该敦促他们尝试考虑个人和不相关的信息，他们确信其他人不会知道，也不会有人记得。

使用密码管理器的真正安全优势是没有长密码和伪随机密码。相反，每个站点都有不同的密码。

不幸的是，仍然很常见以易于撤销的方式存储密码的网站（和移动应用程序等）。如果您朋友的密码以这种方式被泄露，那么猜测的难度就不再重要了——攻击者不需要猜测，因为他们有一个密码可以在其他网站上尝试。

除非他们要记住每个站点的不同密码，否则我认为教某人使用这样的复杂密码方案是不负责任的：这会给他们带来过度的安全感。

你的想法完全没问题。如果您的密码足够长，那么攻击者可以找出您的个人详细信息的唯一方法是他们专门针对您并研究您的生活。除非您很有名，或者非常富有，或者可以访问可能影响他人生活的秘密信息，否则可能没有人专门针对您在线的。如果您没有成为目标，那么有人可以猜出您的密码的唯一方法是通过非特定于您的智能攻击或暴力破解。换句话说，即使将您当前的车牌号码和当前电话号码以及您的狗的名字和最喜欢的食物组合成一个 30 位数的密码，也足以抵御非目标智能攻击和暴力破解。你所描述的听起来和那个差不多，但要好 1000 倍。

不过，大声喊出XiongChiamiov的回答。这个想法仅适用于任何单个密码。如果您想为您使用的每个不同站点记住它的 50 个派生，并且其中一个被泄露，那么如果发现该模式，其他人也可能面临风险。

密码的模糊个人信息（和密码恢复问题）存在两个问题。

一是事情并没有你想象的那么秘密，尤其是在普通用户手中。观看https://youtu.be/opRMrEfAIiI?t=45

另一个是在实际实现中，这将变得愚蠢。有人会认为用户需要提示选择什么，所以他只会包含您的列表。然后一些 UIX 人会抱怨列表太长，大多数人不会阅读它，所以它被缩短了。然后有人不喜欢条目＃3，因为它暗示了他脑海中的种族偏见（或其他）并且它被删除了。最后，每个人都使用相同的三个晦涩的信息，你又回到了可枚举的领域。