密码强度分析指南：如何评估和生成安全密码

密码强度的三个维度

密码的安全性由三个核心维度决定：

1. 长度

长度是密码强度最重要的因素。每增加一位，暴力破解的尝试次数就乘以字符集大小。

长度	纯数字组合数	破解时间（10亿次/秒）
4 位	10,000	瞬间
6 位	1,000,000	0.001 秒
8 位	100,000,000	0.1 秒
12 位	1 万亿	17 分钟
16 位	10 千万亿	50 年
20 位	10 亿万亿	3 万年

2. 字符集大小

字符集越大，每位能提供的组合数越多：

字符集	可用字符数	示例
纯数字	10	`0-9`
小写字母	26	`a-z`
大小写字母	52	`a-z, A-Z`
大小写+数字	62	`a-z, A-Z, 0-9`
全字符集	95	`a-z, A-Z, 0-9, !@#$%...`

3. 熵值（Entropy）

熵值是衡量密码随机性的数学指标，计算公式：

熵（bits）= log₂(字符集大小 ^ 长度) = 长度 × log₂(字符集大小)

密码	字符集	长度	熵值	评级
`123456`	数字	6	19.9 bit	极弱
`abc123`	小写+数字	6	31.0 bit	弱
`Abc123`	大小写+数字	6	35.7 bit	弱
`Kx9#mP2v`	全字符	8	52.6 bit	中等
`Kx9#mP2vLq5!`	全字符	12	78.9 bit	强
`Kx9#mP2vLq5!nR8@`	全字符	16	105.2 bit	极强

业界建议：熵值 ≥ 80 bit 为强密码，≥ 100 bit 为极强密码。

常见攻击方式

暴力破解

逐个尝试所有可能的组合。防御方法：

增加密码长度和字符集
使用账户锁定和限速机制

字典攻击

使用常见密码字典（如 rockyou.txt，包含 1400 万个常用密码）逐个尝试。防御方法：

不使用常见密码（123456、password、qwerty）
不使用字典词汇（sunshine、iloveyou）

彩虹表攻击

预先计算出所有哈希值并建表，通过查表反推密码。防御方法：

服务端使用加盐哈希（Salt + Hash）
使用 Bcrypt 等慢哈希算法

凭证填充

利用在其他网站泄露的账号密码组合尝试登录。防御方法：

每个网站使用不同密码
使用密码管理器

使用密码强度分析工具

步骤 1：打开工具

打开密码强度分析，在输入框中输入要检测的密码。

步骤 2：查看分析结果

工具会实时显示：

强度评级：极弱 / 弱 / 中等 / 强 / 极强
熵值：以 bit 为单位
字符集分析：使用了哪些字符类型
预估破解时间：基于不同攻击速度
改进建议：如何增强密码强度

步骤 3：根据建议改进

如果评级不够高，参考改进建议：

增加长度（最有效）
添加缺失的字符类型
避免连续字符和重复模式

使用密码生成器

手动想出强密码很困难，推荐使用密码生成器自动生成：

步骤 1：配置参数

长度：建议 16-24 位
字符集：勾选大小写字母、数字、符号
排除易混淆字符：如 0/O、1/l/I

步骤 2：生成密码

点击「生成」，可一次生成多个密码供选择。

步骤 3：验证强度

将生成的密码粘贴到密码强度分析中验证，确保达到「强」或「极强」级别。

密码安全最佳实践

1. 使用密码管理器

每个网站生成独立随机密码
只需记住一个主密码
推荐：Bitwarden、1Password、KeePass

2. 启用双因素认证（2FA）

即使密码泄露，2FA 也能阻止未授权访问。优先使用 TOTP（基于时间的一次性密码）而非短信验证。

3. 定期检查泄露

使用 Have I Been Pwned 等服务检查邮箱是否出现在数据泄露中。

4. 服务端存储用 Bcrypt

如果你是开发者，用户密码必须使用 Bcrypt 加盐哈希后存储，绝不存储明文密码。

常见误区

误区 1：「复杂规则 = 强密码」

许多网站要求大小写+数字+符号，但 P@ssw0rd 满足所有规则却极易被字典攻击破解。长度比复杂规则更重要。

误区 2：「替换字母为符号就安全了」

p@$$w0rd 这种替换模式早已被攻击工具覆盖，不要依赖简单的字符替换。

误区 3：「永远不改密码就安全」

如果密码已泄露，不改密码等于一直暴露。定期检查泄露情况，发现泄露立即更换。

误区 4：「密码强度检测工具会泄露我的密码」

工具库的密码强度分析完全在浏览器本地运行，密码不会发送到任何服务器。

总结

密码安全的核心是足够的熵值，由长度和字符集大小共同决定。使用密码强度分析评估现有密码，用密码生成器生成强密码，配合密码管理器和 2FA，构建完整的账户安全体系。记住：长度优先、每站独立、本地处理、服务端加盐。