发布于 2026-05-24
先看一组数据
不同复杂度的密码,GPU 集群暴力破解需要的时间(2026 年 RTX 5090 集群估算,假设算 hash 100B 次/秒):
| 密码 | 字符集 | 长度 | 破解时长 |
|---|---|---|---|
12345678 |
纯数字 | 8 | < 1 秒 |
password |
字典词 | 8 | < 1 秒(字典攻击) |
Password1 |
大小写+数字 | 9 | ~ 30 分钟 |
Password1! |
上面 + 特殊 | 10 | ~ 5 天 |
mY8gP$x3Lq |
全集随机 | 10 | ~ 6 个月 |
mY8gP$x3LqR4 |
全集随机 | 12 | ~ 200 年 |
mY8gP$x3LqR4!nK |
全集随机 | 15 | > 10000 年 |
几个反直觉发现:
- 长度比复杂度更重要:15 位纯小写 (
abcdefghijklmno)≈ 10 位全集 - 字典词等于裸奔:
password/1234561 秒内全跪 - 加 1 位的提升远大于多换一种字符集
多少位"够安全"
按场景定:
| 场景 | 最低长度 | 备注 |
|---|---|---|
| 重要账号(银行 / 邮箱 / 主密码) | 16+ | 加全集字符 |
| 一般账号(社交 / 论坛) | 12+ | |
| WiFi 密码 | 12+ | 物理范围限制,12 位够 |
| 临时分享(过期密码) | 8-10 | 反正短期 |
怎么生成
不要自己想,大脑生成的"随机"密码可预测性极高。用工具:
打开 趁手 iKit 密码生成器:
- 长度滑动条选 16(默认值,刚好)
- 字符集:全勾(大小写 + 数字 + 特殊符号)
- 「排除易混字符」按需勾(
0/O、1/l/I、5/S)— 如果密码要打印贴墙手敲就勾;纯电子用可以不勾 - 点生成,保存到密码管理器
工具用浏览器 crypto.getRandomValues() API,真随机,无服务器传输,本地内存即清。
易记 vs 随机的取舍
完全随机密码不好记。两种折中方案:
方案 A:Passphrase(单词组合)
correct-horse-battery-staple
4 个常见单词 + 连接符 = 25-30 位,熵 ≈ 44 bits(每个词 11 bits)。可记,够强。
适合:主密码、密码管理器主密码、加密硬盘密码
不适合:有"必须含数字"要求的网站
方案 B:首字符法
把一句你熟的话取首字符:
"I bought my first laptop in 2018, it cost ¥5000!" →
Ibmfli2018,ic¥5000!
19 位,大小写 + 数字 + 特殊符号都有。
密码管理器:必须装
为啥?每个网站不同密码,否则一处泄漏全线挂。但人脑记不住几十个 16 位随机密码,必须密码管理器。
推荐(2026)
| 工具 | 适合谁 | 备注 |
|---|---|---|
| 1Password | 愿意付费(¥30/月)、跨设备同步、家庭共享 | 体验最佳,iOS Mac Windows 全平台 |
| Bitwarden | 想免费、开源、自托管 | 免费版功能就够用,可自部署 |
| KeePass / KeePassXC | 极客、完全本地、离线 | 数据库文件自己同步(网盘 / 私有云) |
| 浏览器自带 | 临时凑合 | 跨浏览器同步差,推荐升级到专门工具 |
工作流
- 主密码:背好一个长 Passphrase(20+ 位),只这一个要记
- 生成新账号密码:管理器随机生成 16 位,自动填入注册表单
- 登录:浏览器扩展识别 URL,自动填账号密码
- 同步:1Password / Bitwarden 走云;KeePass 自己同步 .kdbx 文件
第一次配置 1 小时,后续每天省 30 分钟。
不要做的几件事
❌ 用生日 / 电话 / 姓名拼音:撞库攻击第一波就 game over
❌ 多账号同一密码:某个小站泄漏 → 凭据 stuffing 攻击你所有账号
❌ 把密码写便利贴贴显示器:物理盗窃风险
❌ 密码发邮件 / 微信明文发给自己:邮件 / 聊天历史泄漏
❌ 用免费"密码强度测试"网站:某些会偷偷记录,只用本地工具(像本站)
❌ 以为加几个 ! @ # 就完事:Password1! 仍然脆弱,长度才是王道
二次保险:开 2FA
强密码 + 双因素认证 (2FA) = 真正安全。
推荐 2FA 方法
| 方式 | 安全级别 | 用户体验 |
|---|---|---|
| 硬件 Key(YubiKey) | 最高 | 一插就过,但要随身带 |
| TOTP APP(Authy / Google Authenticator) | 高 | 输 6 位码,手机要在身边 |
| 短信验证码 | 中(SIM 卡可被劫持) | 体验好但不够安全 |
| 邮箱验证码 | 低(邮箱被攻破等于全挂) | 凑合用 |
银行 / 邮箱必开 2FA,推荐 TOTP + 备用恢复码(打印存保险箱)。
我的密码漏了怎么办
去 Have I Been Pwned 查你的邮箱,如果中招了:
- 立即改那个网站的密码
- 改用了同一密码的所有其他网站
- 开 2FA 防再次发生
一句话总结
长度 16+ 位 + 全集字符 + 每站不同 + 装密码管理器 + 重要账号开 2FA。打开 密码生成器 一键生成,5 秒搞定。