無數網上服務都依靠密碼來驗證用戶的身份，為了鼓勵用戶使用複雜的密碼，幾乎所有網站都有某些密碼政策，例如要求密碼最少 6 個字符，必須包含大小寫英文字母和標點符號等等。這些所謂密碼政策，絕大部份都是由自以為是安全專家的人構想，或者是懶惰的管理員從人家處抄過來使用。其實，真正有用的密碼政策只有一個，就是密碼的最短長度，其餘的通通是廢話。

原文網站：斯諾登套取美國國安局職員的密碼，取得超越自己權限的機密文件 (原文網站已關閉)

Stephen Covey 著有「7 Habits of Highly Effective People」，我也來邯鄲學步，寫一篇「7 Habits of Highly Effective Computer Users」，包括：定時儲存、防毒軟件、網絡安全、密碼管理、檔案組織、備份方案、伸個懶腰。被電腦欺負的人或許可以得到一些反擊的提示。

你的公司、網絡服務商、電郵系統、網上銀行等等，總會提醒你定期更改密碼，例如每三個月或者半年，有的甚至要求用戶最近幾次的密碼不能相同，其實這個方法是基於一些錯誤的假設、對入侵技術的無知 (不要以為系統管理員都是專家，哈)，不論從運作上還是技術上來說，這不單不能保障你的帳號，反而使你的帳號更容易被入侵。

最近有一位朋友需要登入一個已經一整年沒有登入的系統，他完全忘記了密碼，試了幾個自己常用的密碼都無效後，系統便把他的帳號鎖死，最後要管理員替他重設密碼。

現代人是一種沒有密碼不能存活的生物，我們接觸的所有電腦系統，都要依靠密碼來鑑定訪客的身份，辦公室的大門、家裏保險箱的門鎖，可能都要靠密碼來啟動，甚至商號提供的會員證，也要憑密碼鑑定你的身份。密碼既然如此重要，專家們很久以前便提供了各式各樣的建議幫助我們建立安全可靠的密碼，例如混合使用大小寫的英文字母，甚至加入數字和標點符號，增加密碼的長度，避免使用跟個人資料有關的文字或數字，定期更改密碼，不要重複使用以前的密碼，使用 L33t 技術……曾經有人慨歎，若果完全依照專家的建議，創造出來的密碼必定是難以記憶，用戶們最終會把密碼寫在某個地方（電腦旁邊的小紙條或者錢包裏面），反而變成保安上的大漏洞。怎樣才是好的密碼？高質量的密碼應該具備甚麼條件？

「每三個人便有一個把電腦密碼抄下，危害著他們的安全，公司應該採取更先進的方法來保護系統，例如生物測定等。」一個由全球性的調查機構 Nucleus Research 及 KnowledgeStorm 所做的研究顯示，很多公司用來增強資訊保安的措施並不湊效，其中包括定期更改密碼和藉著加插數字到密碼中令其更加複雜。

這一篇報導跟 PHP 沒有甚麼關係，但作為技術人員我們經常都會遇到類似 PCMAG.COM 所述的難題，解決的方法也很巧妙，值得跟大家分享。