我是密码短语方法的倡导者。我们都知道更长的密码更难进行哈希破解攻击。多年来，我一直提倡使用带有典型大写和标点符号的短句。这会产生固有的长度和复杂性，但可能易于猜测。为了使猜测更加困难，可以使用多位数字或奇数词（例如昵称或外来词）来增加额外的强度。

以下都是易于记忆且输入自然的强密码。

  My home was 7925.
  Bito loves little kids.
  Mum was born in 1918.

我提倡每个人都采用这种方法，但它可能对老年人特别有帮助。让他们从年轻时选择一个事实，对于老年人来说，这通常比当前的事实更容易记住。

好处：

• 句子或短语很容易记住。
• 自然语言包括标点符号和空格，这会产生复杂性，但既易于记忆又易于键入。
• 即使是最短的句子也是一个长密码。

缺点：

• 如果攻击者假设句子结构并使用字典，则未能包含奇数词或多位数可能会使密码短语容易受到暴力破解。
• 对于某些用户来说，在没有看到您正在输入的内容的情况下输入长密码可能是个问题。
• 某些系统不允许使用整个字符集，例如空格或标点符号。
• 一些系统限制密码长度。

密码短语中足够简单的单词将使其强大而无需额外的复杂性，顺便说一句。考虑：使用一个非常小的英语词典，只包含 10,000 个单词。可预测模式中的四个单词将具有 10000^4=10^16 个组合，略多于一个复杂的（从 96 个可能的字符中选择）8 个字符的密码，并且每个额外的单词在复杂密码中添加的组合多于 2 个字符，因为 10000>96 ^2。所以

  Dogs and cats are cute.

即使攻击者知道密码是一个简单的句子，它也比 10 个字符的复杂密码强。

如果您使用上述内容并添加一个奇数或多位数字，则四字短语是一个非常强大的密码。

在句子中间包含标点符号和大写字母会显着加强密码，顺便说一句。

由于密码字段被屏蔽，用户必须能够在不从屏幕获得反馈的情况下进行键入，因此他们需要能够仅用键盘即可成功键入的内容。对于这种情况，我喜欢向他们展示键盘模式：

zaq1@WSXfacebook [当你打字时，图案变得很明显]

每个生成的密码都是独一无二的，满足复杂性和长度要求，我发现人们自然会采取“不思考或不记住”的方法。对于那些从不擅长打字或有视力问题的人来说，在键盘上“狩猎和啄食”也很容易。我什至在按键上刻了凹口，以便视力不佳的人可以仅靠触摸来完成。

在对密码短语进行了长时间的争论之后，我想到了一个解决这个问题的想法。

也许是我无法完全解释最让我沮丧的优点/原因。我发现被扔回给我的反驳之一是：

它们看起来不像密码

我已将我的亲戚密码设置为与他们的车牌相同。在英国，车牌遵循以下模式之一：

AB12 CDE
A123 BCD

这是我的亲戚很容易记住的（如果他们忘记了，他们可以打开前门并检查），它符合大多数“强密码”要求。数字组之间的空间可以换出任何特殊字符。

为老用户提供安全难忘的密码

我不知道有是一个答案的。如果密码容易记住，它要么很简单，要么包含模式，要么与其他记忆有联系，从而使其不那么强大。我见过的大多数建议都使用其中一种或多种方法。

您是在专门询问令人难忘的密码，但为什么不使用密码管理器呢？还是物理访问令牌？

它可以像使用智能手机进行身份验证一样简单，但智能手机必须受到保护（老年人可能没有/不想要智能手机）。如果他们碰巧有一个带有指纹读取器的设备，那可能是一个不错的选择。尽管如此，给他们一个单独的设备更像是一个物理密钥，他们可能会更好地保护它的安全性。

如果一切都失败了，他们计算机上的密码管理器可能比他们能记住的任何东西都安全得多，即使那个密码管理器有一个简单的访问代码。

亲戚 [...] 讨厌密码的想法

亲戚可能略有不同（我一直概括到现在）。他们是在做重要的工作，还是在某个地方做清洁工？他们有单独的工作笔记本电脑和个人笔记本电脑吗？他们使用什么样的服务？

所有这些问题都会改变事情。如果他们有一些管理功能并且没有单独的个人笔记本电脑，那么提高他们的安全性并支付额外的美元给他们买一个 Yubikey 或其他东西可能是个好主意。他们使用哪些服务也很重要：并非所有东西都支持 2FA（或者我们在这种情况下所追求的：消除密码后的 1FA，或使其相当弱后）。您可能必须切换服务，或改用密码管理器（或另外，或使用密码管理器的访问令牌，或...）。

有很多选择，但我会看看人们不一定要记住的东西。毕竟，我们是在对物理人进行身份验证，而不是让他们的大脑充满尽可能困难的东西。