1,位数至少12位,最好13位。
2,大小写,数字,特殊符号,都要用上。
看到一个数据,13位的这样密码可能需要几年十几年才能破解。
3,每个网站单独的密码。
4,不要用浏览器的记忆密码功能,尤其是手机的默认是保存密码。
5,密码为主密码+辅助密码,所有的网站主密码固定,或者根据网站类型设置几套主密码使用,辅助密码用哈希网站生成,根据网站的用户名,登录邮箱等生成。哈希数值进行一定规则的提取当作辅助密码。
举例:所有的购物网站,哈希数值隔一取一,取够8位。
所有的数码网站,哈希数值隔二取一,取够8位。
或者keepass设置密码。
我更喜欢靠一个规则去记忆密码,毕竟keepass你还要先拿到密码数据库。
6,根据重要程度,能开启两步验证的就开启两步验证。
这样密码就绝对安全了吧。
“绝对安全”这种说法压根就不存在的吧 
就如小青蛙说的,你的密码一般都是平台将明文给泄露出去了,你再怎么设置又有什么区别呢?
沒有絕對安全的密碼,但是有比較安全的操作習慣
比如說,程序要求輸入密碼,如果是用自家的電腦,直接記住登入狀態就好
減少輸入密碼的次數
但是網頁就反過來,重要的網站除了兩步驟驗證之類的設定
最好都不要記住登入狀態,每次上網站乖乖輸入密碼
反而會比較安全
同時有一些比較細心的站點,他們一旦檢測到IP不同,或者開VPN
就會馬上要求去你信箱找輸入碼,這也是比較安全的
最好的状态是经常换
安全性确实高,但是实际操作的难度很大,用的网站少还好,用多了挺麻烦的。
而且有的网站对密码个事有特殊要求,你的方案可能不能满足,比如我见过有的网站字符数不能太长,还有很多网站重设密码必须和以前不一样。
现在大多数网站长度是8-16位,完全满足。
第二,为什么要重设,你记忆规则之后除非忘了密码才需要重设。只有个别网站在你几年不登录,或者ip变了才需要重设密码,第二次重设,那哈希生成的时候就在后面加个数字2,
其实无密码是目前比较好的方案了,但就怕设备丢了 
另外没有所谓绝对安全
标准hash还是一个弱点
我就实现过:
定期更换密码是为了应对密码泄露。很多情况下密码泄露是因为服务器受到黑客攻击,此时我们往往不知情。比如说,你4月1号注册了一个账户,网站4月15号被黑客攻击,你的密码也被黑客窃取了。假如你在5月1号更换了密码,那么至少在5月1号之后黑客就无法继续访问你的账号了。但假如你一直不更换密码,只要泄露一次,你的账户就相当于拱手让人了。
我记得当年提出这个说法的人已经说这是个错误了,密码就是越长越好
以不使用简单密码为前提,位数影响与服务的提供者有关。像银行、支付宝、QQ这样有双重认证(短信、F2A 等)的,可以尝试的次数不会很多,最大的危险是他们被脱库或者明文保存密码。自行部署的软件,比如 SSH、系统管理员账号,安全性与位数正相关。
推荐位数可以看下 2024 NIST 关于最小密码长度的规定:争取达到 16 个字符或更长! | Tuta。用 keepass 生成,长度看随手拉的长度,长度30+就行,有最大长度限制的按最大截取。
基本不用规则那一套,因为用起来会很麻烦,需要记忆的会越来越多。而且简单的规则不能处理复杂情况,复杂规则用起来不简单。1、如果规则可以描述为根据参数生成一个唯一确认的密码,那么改密码就得换规则或者换参数;要么多套规则并行,要么记多个参数;密码一定是会换的,至少网站泄露了密码库你得换吧。2、不同网站关于位数、可用字符、不可用字符的限制不一样。3、替换规则的难度与账号数量正相关。
为什么我们需要设置包括大写字母、小写字母、阿拉伯数字、特殊字符组成的密码?实际上,这是前美国国家标准技术研究院(NIST)工程师 Bill Burr 在 2003 年编写的有关密码安全性的官方指南中提出的原则,这份指南建议人们使用不规则的大写字母、特殊字符和至少一个数字来设置密码,并且最好定期更换密码,后来被世界范围内的政府、企业和消费者广泛采用。
然而,在 Bill Burr 提出这一原则 14 年后,也就是 2017 年,他承认 当年撰写的密码安全性的官方指南产生了误导。其实遵循这一原则并不能提高密码的安全性,反而会使密码更容易受到攻击,因为用户设置了复杂密码后,可能会重复使用,或者为了避免忘掉,往往会写下来甚至贴在电脑旁边。而定期更换密码的建议也具有误导性,因为很多人只会更换其中部分字符,让黑客更容易通过已泄漏的密码进行破解。
美国国家网络安全和通信整合中心(NCCIC/US-CERT)在 2018 年给出的设置密码的 建议 中,没有提到设置阿拉伯数字、大小写字母、特殊字符的组合式密码,而强调了尽可能把密码设置到最长。
因此,密码的安全性与其复杂程度没有多大的关系,而与密码的长度密切相关!
安全永远是相对的,没有绝对的。
顺便讲个曾经经历过的小故事:
我使用密码管理器去生成密码,所以对于长度和复杂度并不是很关心,随便设置了一个长度,比如是14位,然后就一直那么用着。某个网站的最高密码长度是13位(具体我记不清了,反正比我设置的密码长度要短)。注册的时候输入14位密码,它不会有任何提示,照样能够注册成功。并且注册成功就直接是登录状态了。等下次需要重新登录的时候,也许是很久以后了。会发现使用密码管理器里保存的14位密码没有办法登录进去,永远是密码错误。如果重置密码,因为没有调节生成密码的长度,就依然会陷入这个死循环。而实际真实的密码是将设置的密码截取前13位……这谁想得到啊
也不是越长越好,就像房子抗震你做成1000年级别的抗震等级,值得吗
嗯,我这里说的绝对安全指的人个人层面管控数据的绝对安全,应该加个修饰语。
服务器泄露什么的不再考虑范围之内,突然感觉应该取消主密码,如果拿到两个密码就知道了主密码相同,那辅助密码就6-8位就毕竟好破解了。
但是哈希生成的缺乏特殊符号与数字,感觉还是用keepass好了。
或者哈希生成的取16位,目前网站密码数量普遍最多16位吧
肯定是错误!!!同样的长度,哪个更安全,你知道答案了吧?你要比较简单16位长与复杂13长,我还是觉得复杂13位长,首先从排列组合就能算出最大密码数量吧。
这是程序员漏洞啊,竟然也不提示。
没看懂软件生成的密码怎么和固定特征产生关联的啊
直接使用密码管理器就没那么复杂了,所有密码两两互不相关。密码管理器的主密码不会在网络中出现,只有自己心里知道。
嗯,你用密码管理器的时候是自动填充吗?自动填充是复制到剪贴板在填充吗?那读取剪贴板权限的软件不是也能获取到密码啊