较长的密码，即使由很简单的单词或结构组成，也比带有特殊字符的简短密码更安全。

密码是我们最常使用的认证方式。手机、电脑、邮箱和个人账户，密码认证无处不在。但许多人都使用简单的密码，比如Password1、1234，因为这样的密码更加容易记忆。甚至有很多用户对多个账户使用相同的简单密码。

十多年来，安全专家一直在讨论什么是为在线帐户选择密码的最佳方法。部分研究人员认为可以在密码中加入数字、大写字母和特殊字符的方式来增加密码的复杂性，也有研究人员认为增加密码长度可以使密码更安全。

如果使用简单密码或密码符合某种模式，就很容易被攻击者破解。许多企业和网站对密码的要求包含大写字母、小写字母、数字、特殊字符。但最近NIST发布的800-63 密码指南中也认为密码的长度比密码复杂度更加重要。NIST 800-63密码指南的建议包括：

· 由人类设置的密码不少于8个字符；

· 由系统或服务设置的密码不少于6个字符；

· 密码长度至少支持64个字符；

· 应当支持所有的ASCII码字符（包括空格）；

· 处理时不应当对密码进行更高；

· 在已有的密码词典中对选择的密码进行检查

· 在锁定前至少允许10次尝试

· 不应设置复杂度的要求

· 不应设置密码失效时间

· 不应设置密码提示

· 不使用基于知识的认证方式

· 不适用SMS作为双因子认证的方式

美国联邦调查局（FBI）在每周的技术咨询专栏中称，比较长的密码更安全。由于短的复杂口令不容易记忆，因此FBI给出的建议是使用更长的词组。其中包括将多个单词组合成为一个不少于15个字母的长字符串。词组的长度使得其难以被破解，同时这样的密码也更加容易记忆。

FBI认为即使依靠简单的单词且没有特殊字符，更长的密码也需要更长的破解时间并需要更多的计算资源。即使黑客从被黑客入侵的公司那里窃取了密文密码，也没有足够的计算能力和时间来破解这些密码。

本文翻译自：https://www.zdnet.com/article/fbi-recommends-passphrases-over-password-complexity/如若转载，请注明原文地址