如何在线生成强密码

为什么你不应该自己"想"密码

人类大脑在创造随机性方面表现很糟糕。当你被要求想一个"随机"密码时，你往往会选择熟悉的单词、生日、或者简单的替换规则（把"a"换成"@"）。这些模式早已被攻击者熟知，并被写入了字典攻击的规则库中。

在线密码生成器使用密码学安全的伪随机数生成器（CSPRNG），从操作系统的熵池中取样，产生真正不可预测的字符序列。这是人脑无法复制的能力。

强密码的四个关键要素

密码强度由四个维度决定：长度、字符多样性、随机性和唯一性。长度是最重要的单一因素——每增加一个字符，破解所需的时间就以指数级增长。12位密码比8位密码难破解数百万倍。

字符多样性意味着混合使用大写字母、小写字母、数字和特殊符号。一个仅包含小写字母的密码字符集大小为26，而混合使用后字符集可达95个可打印ASCII字符。字符集每扩大一倍，破解难度就翻倍。

随机性确保密码不遵循任何可预测的模式。而唯一性则意味着每个账号都使用独立的密码，这样即使一个账号被泄露，其他账号仍然安全。

在线密码生成器的工作原理

一个可信赖的在线密码生成器在你的浏览器本地运行，使用 JavaScript 的 crypto.getRandomValues() API。这个 API 直接调用操作系统的随机数生成器（在 Linux 上是 /dev/urandom，在 Windows 上是 CNG），而不是可预测的伪随机数算法。

生成过程非常简单：工具先构建一个包含所有允许字符的字符集，然后对每个密码位置，用 CSPRNG 选择该字符集中的一个字符。由于整个过程在客户端完成，你的密码从不会被发送到服务器，也不会被记录或存储。

如何选择合适的密码长度和字符集

对于普通网站账号，推荐使用 16 位混合字符密码。对于高价值账号（银行、邮箱、密码管理器主密码），建议使用 20 位或更长。对于需要手动输入的场景（如 Wi-Fi 密码），可以考虑使用 4-5 个随机单词组成的密码短语，它兼顾了安全性和可记忆性。

关于字符集：如果目标系统支持特殊字符，请务必开启。但有些系统（如某些 ATM 或老旧企业系统）不接受特殊字符，此时可以通过增加长度来补偿安全强度。

使用密码生成器时的安全注意事项

使用在线密码生成器时，首先确认工具在浏览器本地运行，而非将数据发送至服务器。你可以通过断开网络连接后再尝试生成密码来验证这一点——如果工具仍然正常工作，说明它确实在本地运行。

其次，生成密码后立即将其存储到密码管理器中，不要试图记忆强随机密码。密码管理器（如 Bitwarden、1Password）本身就包含密码生成功能，是生成器与存储的最佳组合。

常见错误：生成后又改掉

许多人在生成密码后会"稍作修改"，比如把某个字符改成他们熟悉的符号，或者在末尾加上一个数字。这种做法会破坏密码的随机性，并引入可预测的人类模式。如果你对工具生成的密码不满意，应该重新生成一个，而不是手动修改。

同理，不要在强密码的基础上添加固定的前缀或后缀（如"Pass+生成的密码+"2024"）。这种做法给破解者提供了额外的攻击线索。

推荐的密码生成工作流程

最佳实践工作流程如下：首先在密码管理器中找到或创建新账号条目；然后使用内置或外部密码生成器创建 16-20 位的强密码；立即将密码粘贴并保存到管理器中；最后在目标网站完成注册或密码更改。这个流程确保你永远不需要记忆、手写或重复使用任何强密码。

定期审查你的密码库，将旧的弱密码替换为新生成的强密码。许多密码管理器提供"密码健康检查"功能，可以自动识别重复使用的和过弱的密码。