Password, creativity, imagination

[Jun]

最近在广播上连续听到两个谈话节目，呼吁民众在网上用个人账户要经常换密码，不要一个密码用遍所有的账户，以及不要用简短好猜的密码，例如配偶孩子的名字和生日。

虽然大家都被教育过很多遍了，但是用得最多的 password 还是 ... password。最近给某公司打零工，需要借用老板的电脑，问他要 password，明显就是他太太的名字和生日嘛！只要随手查查，我可以当场 hack 进他的银行账户，我断定。当时觉得蛮好笑的，但是反躬自省，想起自己也是想出一个不太好猜的密码就到处都用，五十步笑百步而已。

然后就发散思维一下，为什么编几个密码就这么困难呢？Terry Gross 在节目上问专家嘉宾，那怎么才能编出合适而难猜的密码呢？编得太多自己也不记得了。嘉宾支支吾吾地也说不出个所以然，最后推荐了几个专门替你管理网站的网站服务或 app，你只管编，它们帮你记着。我认识的某宅男，很怕被 hack，想出的对策竟是随手按键盘按出一大堆乱码，再把乱码拷贝到电脑上的文件里。显然这是馊主意，第一这个文件被偷你就完了，第二这么多乱码密码不方便随身携带，除非你是宅男。

说来好笑，我也算个智商平均之上，受过高等教育，解决问题能力不错的“聪明人”了，居然一分钟之内编不出十个又好记又复杂的一串字符！创意都被狗吃了。反过来想想也不奇怪，平时的生活和工作从来都是按部就班，循规蹈矩，何时需要锻炼和发挥创意呢？分析和记忆力就够了。难怪教授砖家成千上万，但爱迪生是万里挑一 的。

只为了练练自己的创意，我想了几个策略：

1. 不用亲人的名字，而是用你记忆中讨厌的人的名字
2. 需要大写时，几乎人人都大写第一个字母，你可以大写最后一个字母
3. 如果用到人名加日期，把日期用字母拼出来，但把名字/缩写字母转成数字
4. 用你喜欢的书名或电影名或书中人名 （例如 JamieBrienneL0v3, wallandeR@ystaD)
5. 倒着拼写人名
6. 如果要给不同的网站编不同的密码，为啥不给每个网站联想一个电影呢？银行网站可以联想电影 Wall Street 或 Charlir Chaplin's the Tramp，工作网站或账户可以联想此行业电影（例如搞医药的可以联想House或George Clooney），信用卡网站可以联想电影Selma and Louise，Facebook账户可以联想 Jesse Eisenberg 主演的其他电影，Twitter 可以联想到芝麻街的大鸟在中国 ...
7. 可以用你最爱喝的酒名和年份，你最爱的影星歌星名字混着用，你拿手或爱吃的菜名或品名，你喜欢去的国家城市名加访问年月日，你爱玩的运动或游戏。。。
8. 以上所有的密码都可以用英文，中文拼音，或者混合双语

（欢迎补充）

平时来来往往，遇到聪明的人不计其数，但有创意有想象力的真是比路上拣到十块钱还罕见，Password这么难编就是一个体现。为什么呢？是因为人类本来就缺少创意么？还是因为社会的生活规律和标准越来越用不到创意，令脑子里那几条回路越来越懒，越来越缩小？还是因为，人类互相模仿你抄我我抄你的本能太强了？难怪那些罕见的发明家都是招人讨厌的家伙，招人喜欢的人可想不出出奇的东西来。

[CAVA]

文字还好，记得住的数字更难编。公司手机要求每三个月换password，还不能重复前10个，大家纷纷伤透脑筋。

[Knowing]

你想的这些只能够对付人手敲密码的初级攻击，比孩子老婆宠物的名字secure 那么一个数量级，碰上电脑'字典攻击'很容易击破的。人的大脑再有想象力，仍然在一个字典里。咱们做过词汇量测试吧？有意思的词人名地名，就那么个数量级，准确的说， 英文词只有二十二万不到。要secure 绝对不能光靠密码不好猜。
某宅男的做法非常有道理，是适合宅男的最佳解。如果他要经常出门，自然会把这串密码用简单的人可以手做的位移法加个密，丢了也不怕。

[helenClaire]

这话题真有意思。

可以用一个词冠在网站名称上，然后上排的字母用再上排的数字或符合取代。

比如yahoo email 密码用

Ilikeyahoo

转换成

8l8k36ah00

youtube密码用

ilikeyoutube

转换成
8l8k360757b3

特别同意小K说的，把密码再手工加密一次，这样即使办公室电脑桌上公开贴一溜儿密码，也没人解得开。Caesar Cipher大约简单了些，用个也很简单的Veginere或playfair cipher,找个六个字母以上的词做keyword,尤其你家宅男的原密码又是毫无意义的一串儿，简直贴脑门儿上逛大街都无比secure.

对了，手机或平板电脑上装个enigma machine app, 才两块钱。什么密码都用它来加密解密，也是固若金汤啊。

[Jun]

对啊，如 Helen 说，虽然有字典，但是混杂了数字就没那么容易破解了。混杂了中文拼音也是同样思路，最好能学两个芬兰匈牙利格鲁吉亚词儿。

当然轮到 Target 那种在 point of sales 收集你的信用卡号码，根本无需密码，防不胜防。

宅男弄个密码超长一大串，我弄个新手机，在家上网，填密码填了半天，总是眼一花就填错了，又不方便 copy and paste。最后气急败坏地塞给宅男让他帮我填！

[sing]

公司手机要求每三个月换password，还不能重复前10个

We have similar rule, I just use my regular password, and add a number in the middle.
Now I am at number 14

[tiffany]

I heard the combination of the password doesn't matter, the length does.

[幻儿]

要是长度matter就好了! 我喜欢用句子，用过Itisatruthuniversallyackowledged!!! 以及Inthelatesummerofthatyear...
这种也很容易被破解吗？嗯，中间应该再嵌个数字什么的。

[Jun]

Shengcunhaishisiwang!
Xingfudejiatingdoushixiangside.
NishenmedoubudongJonsnow.

[tiffany]

据说人家先进的破译密码的机器就是狂算，键盘上就是那么多个键，对机器来说都一样，就是拼各种排列组合。所以越长越保密。

[幻儿]

Shengcunhaishisiwang!
Xingfudejiatingdoushixiangside.
NishenmedoubudongJonsnow.

hahahaha, I love the last one!!!

[putaopi]

记得国内有个网站数据库被黑，黑客公开了很多密码，印象最深的是用唐诗中每个字的第一个拼音字母加数字的那种。比如flzxsqcysyhljt, 飞流直下三千尺，疑似银河落九天。但是这样的密码有什么用，上了不靠谱的网站，客户数据库都没有加密就那么放着。

[笑嘻嘻]

据说人家先进的破译密码的机器就是狂算，键盘上就是那么多个键，对机器来说都一样，就是拼各种排列组合。所以越长越保密。

是的。长度和破解时间是几何上涨的关系。到了一定长度当破解的难度超过秘密的价值就认为是无法破解的了。

[mirrorflower]

我就是设计了一两个不常见的密码到处用。然后心里想了一想，这实在也不安全。万一哪个被偷了岂不是就完了。

比较讨厌的是不少地方密码有要求，比如8位以上，至少有一个数字和字母，还至少有一个大写一个小写字母啥的。更讨厌的是有些地方让你每隔几个月要换一次密码，每次密码还不能跟你前面6个还是10个密码一样！每次我都觉得被搞死了，压根不记得用过哪个还有什么新密码可用。

话说最近我在听一本讲记忆的书，"moonwalking with Einstein",有点啰嗦但是也还算好玩。作者提到说那些能够记成千上百的随机数字的人，其实原理很简单——每个普通人经过适当训练都可以达到。基本原理和trick是这些：
1。人对图片的记忆超强，对抽象点的文字和数字记忆力不行——也许有进化原因。
2。所以对文字/数字要进行elaborative coding. 把它们code成自己记忆里已经存在的某些东西/事件的图像。
3。回想的时候就按照空间顺序把那一张张代表了数字/文字的图片想起来。

就好比，你在脑海里想一条你很熟悉的路，从家到工作地点，比如说。然后沿途一张张的图片都code上了某个或者某串数字。等你要回想的时候就在脑海里把这条路过一遍。

作者号称经过每天个把小时的训练，几个月或者一两年后，记个成千上万的随机数不是问题。

我琢磨着这个原理清楚好像也make sense.打算什么时候试一试用这个造些密码记些电话号码啥的。

[Jun]

写这本书的记者练了一阵子之后去参加记忆比赛拿了第一名。主要技巧就是把看似抽象无关的数字什么的联想成稀奇古怪的形象，然后用稀奇古怪的故事/设定串起来，就记住了。

昨天我写首帖时也想到了这个案例，完全可以使用。不过一般成年人的联想能力真的很差啊，叫他们想象出一群粉红大象，游泳的考拉熊，天上飞的 Winnie the Pooh 之类的东西，比让他们背书考一百分难多了，再编个故事，我的妈呀。。。要不然怎么会人人都用配偶/孩子的名字和生日哪。

例如每三个月换一次的密码，最简单的是后缀 1, 2, 3, 4，复杂点可以用 1ne, 2wo, 3hree, 4our，或者 yi, er, san, si，或者用zi, chou, yin, mao，或者用 uno, dos, tres, quatro，或者用 Robb, Jon, Sansa, Bran, Arya, Rickon，循环往复。可是大家毫无意外地都用 1, 2, 3, 4。

[mirrorflower]

写这本书的记者练了一阵子之后去参加记忆比赛拿了第一名。主要技巧就是把看似抽象无关的数字什么的联想成稀奇古怪的形象，然后用稀奇古怪的故事/设定串起来，就记住了。

昨天我写首帖时也想到了这个案例，完全可以使用。不过一般成年人的联想能力真的很差啊，叫他们想象出一群粉红大象，游泳的考拉熊，之类的东西，比让他们考试一百分难多了，再编个故事，我的妈呀。。。要不然怎么会人人都用配偶/孩子的名字和生日哪。

那么换成某些个最喜欢的明星/模特的身材物理数据啥的，会不会有帮助。

制造一个跟自己的范特西碰面的故事，走的路吃的东西睡的床，各自的种种数据。。。啥的。

不范特西真人，二次元电子游戏形象啥的，也成。

我觉得对我来说可能是乱七八糟的书/信息看得太多，联想力本身不是问题，distinctiveness可能会是问题。从一个事情jump到另一个事情最后成为巨大混乱的一坨可能性要更大些。

编rules对我来说好像效果很糟糕。因为那些rules编的时候好像很make sense.等回想的时候就统统不见踪影或者这个那个都充满可能。

[Jun]

我肯定编成哪一年的全美花样滑冰锦标赛。。。

[qinger]

用人名作密码的话每个字母上升一位或几位。
或者用自己喜欢的一段歌的简谱作密码也比较容易记。

[tiffany]

我就是设计了一两个不常见的密码到处用。然后心里想了一想，这实在也不安全。万一哪个被偷了岂不是就完了。

比较讨厌的是不少地方密码有要求，比如8位以上，至少有一个数字和字母，还至少有一个大写一个小写字母啥的。更讨厌的是有些地方让你每隔几个月要换一次密码，每次密码还不能跟你前面6个还是10个密码一样！每次我都觉得被搞死了，压根不记得用过哪个还有什么新密码可用。

话说最近我在听一本讲记忆的书，"moonwalking with Einstein",有点啰嗦但是也还算好玩。作者提到说那些能够记成千上百的随机数字的人，其实原理很简单——每个普通人经过适当训练都可以达到。基本原理和trick是这些：
1。人对图片的记忆超强，对抽象点的文字和数字记忆力不行——也许有进化原因。
2。所以对文字/数字要进行elaborative coding. 把它们code成自己记忆里已经存在的某些东西/事件的图像。
3。回想的时候就按照空间顺序把那一张张代表了数字/文字的图片想起来。

就好比，你在脑海里想一条你很熟悉的路，从家到工作地点，比如说。然后沿途一张张的图片都code上了某个或者某串数字。等你要回想的时候就在脑海里把这条路过一遍。

作者号称经过每天个把小时的训练，几个月或者一两年后，记个成千上万的随机数不是问题。

我琢磨着这个原理清楚好像也make sense.打算什么时候试一试用这个造些密码记些电话号码啥的。

记住密码不是最大的问题，记住哪个密码对哪个账户配哪个用户名才是挑战，尤其是不经常用的，半年之后忽然需要login的那种。

[笑嘻嘻]

没错！尤其是我的密码非常随心所欲。

[Jun]

那本书里有教你用联想记忆的技巧。

[dropby]

所以现在的网站都有reset password的功能。我经常要求这个。

[薇琪]

我另外拿了个小本本，把所有的网站地址，ID（有些是固定的你改不了！），密码（这个各种要求就不说了），登记的email，都记下来了。目前这个小本本已经有7，8页了，所以我每次都得ctrlF才能找到我要找的地方。