去上資安課程，主講人都會講一些密碼設定原則，諸如：密碼應大小寫文字與數字符號混合、不應與個人資料有關聯、應定期更換，更換時不應重複使用過的密碼等等。說起來簡單，事實上，即便三申五令，很少人能做到，包括我在內。

強調一個做不到的原則，並不會改善資安，即便是常用的密碼，我時常看到有人將密碼就抄在筆記本上。現代的需要上網站太多，工作用的，銀行，社交，加起來沒有上百也有幾十個，都設不一樣，誰記得住？即便弄一些密碼設定原則，也常常被各網站不同的要求打敗。有的網站密碼的長度有限制，限制的長度又各不相同，最糟糕的是有些還不允許你輸入特殊符號。設定密碼的原則就五花八門，誰記得住。

要改善密碼的問題，先該要求的不是使用者，而是網站。事實上應該要有國際組織給一個標章認定該網站密碼設定原則符合一致性的標準，促使各網站密碼設定標準能統一。其次，密碼應走向雙因素化，即便第二因素只是簡單的手機按指紋通關，就算我們只設定簡單密碼，也能比要求一堆做不到的碼原則大幅增進安全性。

我也期待密碼也能有多重性，即一個網站能夠設定一個以上的密碼。像Google這類通用很多網站及設備的入口網站就應該如此設計。因為其在很多設備上都會做設定，一旦修改密碼，會牽涉到很多設備的更動，以致於我就不想去換密碼，一個一個換各設備的密碼不是問題，但有些設備可能不在手頭上，或是懶得一次全部更新完畢，更換新密碼就會發生問題。若是能有多個密碼，我們可以慢慢更動，在全部更動完畢之後，再刪除舊密碼。

總之，密碼設定的源頭若能多一點人性化的考量，而不是要求末端的使用者，密碼設定的安全性才會有大幅度的改善。