这篇文章通过6个简单的技巧，帮助你打造安全、可靠、易于记忆的个人密码安全体系。

其中核心的规则是密码分组、密码加盐。

0 提高安全意识

网络时代，密码安全有多重要，无需赘述。提高安全意识主要表现在3个方面：

1. 不要一个密码闯江湖 不同的网站应有不同的密码。所以，需要一个统一的密码规则。
2. 不要使用弱密码和不安全密码 **弱密码（Weak passwords）即容易破译的密码，多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名，例如“123456”、“abc123”，“qwerty”等。 不安全密码指的是容易被猜到的密码，**如：
   • 使用自己/亲人的姓名拼音、英文名、生日、手机号码、学号、身份证号码等 ?(易因个人信息泄露被猜解)
   • 与帐号名称/网站名称相同或仅仅加上几个简单字符 （如注册的帐号为 tom，密码设置为 tom123）
3. 定期更换密码 当然，能做到定期更换的人少之又少。

1 密码分组

首先，对网站（或应用）进行简单的分组。比如：

• 国内网站（腾讯、阿里、百度等）
• 国外网站（google、facebook、亚马逊等）

或者

• pc网站或应用
• 移动app

分组不宜过多，建议2-3个。因为太多，规则就复杂，不好记忆与操作。

就我自己而言，我用的一直是国内、国外网站2个分组。

与之相对应的密码串为：

• 国内网站 –>   mzh.ren  （码中人的拼音）
• 国外网站 –>   matthew  （英文名）

注意，mzh.ren/matthew 这只是密码的一部分。

2 密码加盐

先说一下什么是盐，维基百科是这样解释的：

盐（Salt），在密码学中，是指在散列之前将散列内容（例如：密码）的任意固定位置插入特定的字符串。这个在散列中加入字符串的方式称为“加盐”。其作用是让加盐后的散列结果和没有加盐的结果不相同，在不同的应用情景中，这个处理可以增加额外的安全性。

在大部分情况，盐是不需要保密的。盐可以是随机产生的字符串，其插入的位置可以也是随意而定。如果这个散列结果在将来需要进行验证（例如：验证用户输入的密码），则需要将已使用的盐记录下来。

简单来说是把你的密码分成两部分，一部分是不加盐的部分（这部分可以写在纸上），一部分是盐字符串（放在自己的脑海中），通过自己定的规则插入到不加盐的部分。

几个重点：

• 盐也可以应用前面分组原则
• 盐一定不要太简单，也不要太长。太长不利于记忆
• 盐的位置不固定，根据账号或密码的特性（如长度，数值）卡在不同的位置，这些规则你来定
• 盐可以有1-3个，不同类型网站不同盐，也可以同时使用多个盐

举例：

盐也可以应用前面分组原则

这里我应用的是网站、app的分组，所以密码盐为:

• pc网站或应用  –>   site
• 移动app   –> app

盐的位置问题

以我为例，我习惯在密码中带一个‘@’字符，这个‘@’字符是一个标志位，你可以换成别的。

盐的位置就可以放在这个@符号的前后，至于是前是后，这里也可以加上一条你自己的规则。

就我而言，是拿@字符后面的第一个字母与字符 ‘M’比较：

• 如果字符顺序在M前面，那盐就在@前面， 密码：Matthew@google.com   真实密码为  Matthewsite@google.com
• 如果字符顺序在M后面，那盐就在@后面 密码：Mzh.ren@pdd.com   真实密码为  Mzh.ren@apppdd.com
• 如果字符是M或数字，那盐就在整个密码的最后面： 密码：Matthew@500px.com   真实密码为  Matthew@500px.comapp

多个盐

大部分网站要求密码是字母+数字的组合，这里也可以搭配一个数字盐。

比如我喜欢在整个密码后面加一个数字23，为了方便记忆，这个数字不应用分组规则。

适当简写

好记忆不如烂笔头，有了盐这个东西，我们可以大胆的把这些密码写在纸上或onenote上。

首先，盐是不能写出来的。

再则，Mzh.ren/Matthew 我故意设置成同长度字符串，可以简写成M。所以，假如我们写在记事本上的密码为：

M20@pdd.com

那么实际是：

Mzh.ren20@apppdd.com23

这是一个非常复杂的密码，不知道规则的人是完全没办法猜到的。

3 账号密码同步及自动登录

当然，由于按照规则生成的密码很多时候可能需要“思考”才能想出密码来，因此登录输入时效率可能稍低。其实，我们可以借助一些靠谱的密码管理工具来管理、保存、搜索、并提高输入密码的效率，大家可以根据自己的喜好选用：

• 浏览器账号：现代浏览器都支持将历史记录、书签和密码等内容保存并同步到你的浏览器帐号中。这样一来，只要您在任何设备上登录相应的浏览器 帐号，即可访问这些内容。
• 1Password：非常值得推荐的密码管理器！跨平台支持 Win / Mac / iOS / Android，可以管理和保存你所有的密码，并加密后保存在本地，不同设备间可通过 Dropbox / iCloud 同步数据，在电脑浏览器或手机浏览器上都提供有插件，可以一键自动填写用户名密码，实现电脑和手机上的一键登录网站或一键登录支持 1Password 的 APP，也是小编目前最为推荐的密码管理软件。
• LastPass：和 1Password 功能类似，不过 Lastpass 是一个云端的服务，提供网页版以及客户端下载，你所有密码数据都保存在 Lastpass 的服务器上，想要使用或查询密码必须联网。Lastpass 也提供了浏览器插件，能实现一键登录功能。

4  双因素认证（Two-factor authentication，简称 2FA）

双因素认证是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。

我们常用的双因素主要有：

• 密码 + 手机（短信验证码 或 微信扫码登录）
• PIN + 主机

所以建议重要的账号尽量使用双因素认证。能扫描的情况就尽量扫码，这样，你就会完全忘记原来的账号密码。

5 定期更改密码

如果应用程序不强制要求，能做到定期修改密码的少之又少。

写完这篇文章之后，我换了一套密码规则，修改了几个重要的密码。

参考资料

• 简单实用的密码技巧，人人适用 – 码中人
• 双因素认证（2FA）教程 – 码中人
• 维基百科：密码学（盐)