“複雜密碼”這一術語也許是IT界被誤解最深的術語,也是今天眾多密碼問題的原因所在。往往"複雜密碼"等同於"無法記住"。我們必須意識到複雜度僅僅是很小的一方面。不僅僅是複雜度的問題,還有不可預測性(密碼熵是一個有用的密碼可預測性衡量方法)。這正是一個好密碼的關鍵所在。
一個不可預測的密碼可能是用戶易於記住的。使用大小寫、數字及特殊字元(經典複雜性規則)為佳,只要我們不只專注於那些規則。例如,採用字元串"Iwentfishing4timeslastmonth?"。這個密碼(或者更準確是一個密碼短語)易於記憶且易於輸入。它不是可預測的,它還是一個複雜密碼,其中包含了我們一直建議的大寫/小寫/數字/特殊字元。
任何易於用戶記憶的簡短句子或格言都可以作為密碼。採用格言且增加少許複雜性規則,你立刻會擁有極強的密碼,它將不會在黑客字典中被發現,且只能通過暴力方式被破解。根據Gibson研究公司暴力破解密碼計算器,暴力破解上述"Iwentfishing4timeslastmonth?" 例子,即使以每秒100萬億的猜測速率,也將需要花費76.43*1030世紀。那是一個相當強的密碼短語。