那些对密码强度要求变态的网站真烦人

1Password 毫无压力

但这是正确的

@honeycomb 不，20 位的字符串比 10 位的大小写字母加数字加特殊符号安全的多，字符串可以用英文或者拼音记忆

@honeycomb 关键是有些网站你输错几次密码以后就要求你重置，然后还不能与之前 N 次使用的密码一样。。。

自己定点规则就好了

我的密码都会包含 符号+大写字母+小写字母+数字 ，而且每个网站都不一样。。。

有的网站有支付密码的，又是在原基础上加入一些字母。。

密码强度对于安全性根本没有影响，安全问题都是在于网站明文保存用户密码而导致的

@boluo 还有网站会不定期让你更改密码，比如 fb 之流。

是的，就因为这个原因我 tumblr 密码总忘，然后。。。。嗯？等会

@lcatt 可是 20 位的大小写字母加数字加特殊符号的密码就比 20 位的字符串安全的多。

所以问题是，密码长度也仅是密码复杂性策略的一部分。至于怎么记忆 20 位长的字符串并不能由密码策略量化出来，所以你的方案有效却不适用于密码安全策略。

@boluo 这个密码重置的策略还是对的。

@xiaojunjor 好像暴露了什么……

@honeycomb 不，我就指的就破解难度。至于你说密码安全策略，
美国国家科学技术研究所现在已经更新了密码指南，你可以自行搜索：
■不要重复使用密码
■大小写字母组合密码没有想象的安全，意义不大
■更好的选择是很长但易记的密码，或者短语，比如说“ shangfangwenqlovesmydirvers ”就比“ Wohao5huA!”难以破解得多。
■更安全的办法是使用双重验证，比如登陆短信确认
@saran 定期修改密码的建议也是错误的，因为大多数人往往只会更改一个字母， 而这样做根本无法阻止黑客攻击。

忘记密码 已经是月经问题了

lastpass 生成个强密码让他存着

注册账号。
设置一个复杂的密码。
忘记密码。
找回账号。
设置一个复杂的新密码。
您的新密码不能与旧密码相同 <- 通常在这里

可以加个固定后缀比如 H+1s
大小写数字字符都有

这比有些网站要求不能输入标点这类的进密码好

keepass 不错

还有像微博这种逼你换到自己也记不住为止.....

@boluo 不能与之前密码相同这一点，微博就是这么做的。不知道微博是怎么想的。

@xiaojunjor 嘿嘿嘿

@lcatt #11 短信这一点就错了，不说 SS7 漏洞，伪基站破坏就够大了

@lcatt 你说的是正确的，但是和主题没什么关系，你讲破解难度，主题讲密码策略。

现在的问题是，网站难以实施你所指出密码策略（不包括 2FA ），比如，网站要求必须使用超过 16 位，不出现简单重复特征（比如 1122334455667788 ）的密码，这个要求可能比楼主遇到的更难以令人接受

原密码+1s

@xiaojunjor #8 汤不热现在已经变成黄展代名词，没正常用途了么

@lcatt #11 其实就是之前的密码要求没有考虑到人性，那种要求定期修改密码的，要么和原来差不多，要么就越改越简单了。感觉还是得靠一些验证手段，比如二次验证，物理密钥，App 之类。

@boluo 你说的是 facebook 吗？？？

@xiaojunjor 借一部说话

@whitev2 值得借鉴就差个小写字母

1P 就是用来解决此类螺丝场景的扳手。。= =。。

一段汉字语句，转成拼音，再配合自定义规则接上网站域名之类的

Dashlane 比 1P 好用

老哥，你这牢骚发的让人很无奈啊，真不知道有密码管理器这东西吗？
还可以防止撞库，几百位的乱码都没问题，何况常见的多数网站都在三十位以内。