忘记了一个账户的password, 折腾了n个常用组合全部不对…然后就收到警告说这是最后一次尝试机会，失败后就锁住帐号了。试图找回密码，问题之一是我的邮政编码，尝试了n个我曾用用过的也都说不对… :( :( 这是一个里面有钱的online帐户，否则我肯定立刻抛弃它算了。

参看email寻找蛛丝马迹的回忆，发现这个服务真是安全到家，任何email中都没有任何密码和找回密码相关的线索…:( :(  唯一能看到的是我在11月修改了一次密码，然后两天后连续登陆失败了2次后想起来了密码，但上个月我改用了什么密码呢？

密码真是个非常麻烦的事情，想想我有多少个密码，简直是太可怕的事情了 -- 电脑有密码，门卡有密码、email有密码，n张银行卡有密码，水、电、煤气、电视、垃圾全部有密码，还有税务局、billpay… 当然还有n多个网络服务的密码… 虽然我把所有密码归类成为3类：简单、常用较复杂、重要，但是有的服务只能用数字、有的必须要８位，有的需要大写字母和数字，有的不允许特殊字符如#$%… 更糟糕的是，我的公司IT强硬要求每３个月更换一次密码，而且所有曾经用过的密码都不能再用，所以每过一段时间就很不适应。

总之目前的密码体系是个很糟糕的事情，随着需要密码的服务越来越多，这个问题就会越来越严重。

这么多密码真的有足够安全意义吗？ 我看未必，我相信很多人和我类似只用几套密码于n多个服务，所以其实一旦一个服务的密码泄露就可能危及所有的－－而这种习惯也增加了泄密的风险，一个设计比较差的服务可能会被人攻陷而泄露明文保存的用户密码，然后被攻击者用于攻击其他更重要的系统，甚至可以专门为此设计钓鱼的骗密码网站 －－这也是为什么我对不重要服务一律使用简单密码的原因，反正不care, 而且不会危及我真正重要的帐户。另外也有人可能会把密码写下来，或者记在某个online服务内（比如email） －－事实上这种看似不安全的做法却非常有用.

密码本身不是个问题，而是目前的密码体系各自为政的设计，这个局面也许即将被打破。

打印  |  相关话题：设计的安全感   |  类别：设计之外  |  源地址