20110402 - 读了《黑客之战》（http---article.yeeyan.org-view-163202-182 - GoogleBuzz

读了《黑客之战》（http://article.yeeyan.org/view/163202/182709），觉得无话可说。安全专家居然会用相同的用户名和密码访问多个重要性完全不同的网站。。。。。

不知道是否已经成为常识，俺介绍一下自己的密码安排。

1. 三级密码。

第一级安全级别最低，用于乱七八糟要求注册的网站。这个密码无所谓，被人盗用也完全没有关系。一般用一个独立的账户名（或者独立的邮箱名）

第二级属于重要但与钱无关的账户。例如，主要的电子邮箱。这个密码如果被人知道了，会造成很大的麻烦，但不会损失金钱。黑客也无法直接从中获得任何利益。

第三级是最高级别，用于银行等与钱直接相关的账户。这个密码不但不直接落于纸上，也不直接落于任何电子媒体。不告诉任何外人，哪怕是银行或者税务局。从不通过键盘输入，而是通过“虚拟键盘”(也就是用鼠标来输入)，例如WINDOWS的"On-Screen keyboard"输入。从不在家里以外的地方输入这个密码（尤其不会在网吧使用）。

每一级密码都共用一个。也就是说，所有的银行账户都用同样的密码，所有的主要邮箱（一般顶多3个）也用相同的密码。

2. 密码的记忆。

密码当然不应该写在纸上，但如果不用生日，电话号码，身份证之类的东西作密码，又难免忘记，尤其是不常使用的密码。 俺是这样处理的：用有特征的密码，而且如果没有泄露则永远不改密码。例如，小时候喜欢吃臭豆腐，于是密码就是: choudoufuhaochi（臭豆腐好吃）。 这样的密码仍然难免一时想不起来，俺就在备忘本上写：密码是小时候喜欢吃的食物，15位长。

最好密码是两段式的。例如，自己的初恋女友生于4月16号，密码就是choudoufu416. 这样的密码强度也足够了。如果必要，再在密码中任意挑选一个字用大写字母，这样就成了 CHOUdoufu416 ---- 还算容易记忆。嗯，用岳父的生日可能比较和谐。

3. 非技术问题。

永远不用QQ或者Messenger之类没有加密的聊天工具告诉他人密码（例如，需要他人代购某商品）。相对来说，经过SSL加密的通讯就安全很多。例如，谷歌的GTALK聊天工具，或者干脆用电子邮箱GMAIL。微软的HOTMAIL也可以，但要打开SSL加密设置（缺省是关闭的, 可以通过 https://account.live.com/ManageSSL 打开）

最好选择有随机密码发生器的银行，例如汇丰（HSBC)