密码强度
什么是密码熵?
密码熵是衡量密码随机性和不可预测性的数学指标,单位为"位(bits)"。计算公式为:熵 = 密码长度 × log₂(字符集大小)。字符集大小取决于你使用了哪些类型的字符:仅小写字母为 26,加上大写为 52,加上数字为 62,加上特殊符号最高可达 94。
安全业界普遍认为:60 位熵值提供基本安全保障;80 位以上可抵御大规模暴力破解;100 位以上在可预见的未来几乎不可能被破解。
破解时间是如何估算的?
本工具使用"离线快速哈希攻击"作为基准场景——假设攻击者已获取哈希数据库,并使用现代 GPU 集群,每秒可尝试 1000 亿次猜测(MD5/NTLM 等弱哈希算法下可达此速度)。这是最坏情况估算,代表了理论上最快的攻击速度。
实际在线登录场景因有速率限制、账户锁定和 CAPTCHA 等保护机制,攻击速度会大幅降低。对于使用 bcrypt 或 Argon2 等强哈希算法保护的数据库,每秒猜测次数可能仅为数十至数百次。
如何创建真正安全的密码?
NIST SP 800-63B 和安全研究的最新共识给出以下建议:①长度优先——至少 12 位,重要账户 16 位以上;②使用所有字符类型——大写、小写、数字和符号的组合显著扩大搜索空间;③避免个人信息——姓名、生日、常用词等均在字典攻击数据库中;④每个账户独立密码——防止撞库攻击扩散;⑤使用密码管理器——这是唯一可行的方式来管理大量独立强密码。
💬 留言讨论
常见问题
密码强度是怎么计算的? +
密码强度通过熵值衡量,公式为:熵 = 密码长度 × log₂(字符集大小)。字符集大小取决于密码使用的字符类型:小写字母 +26、大写字母 +26、数字 +10、特殊符号 +32。熵值越高,密码越强。通常认为 60 位以上的熵值较为安全,80 位以上非常安全。
破解时间是怎么估算的? +
本工具按离线快速哈希攻击场景估算,假设攻击者每秒可尝试 1000 亿(10¹¹)次猜测。计算公式为:破解时间(秒)= 2^熵值 / 10¹¹。这代表最坏情况——实际在线登录场景因有速率限制,破解难度要高得多。
为什么要使用所有四种字符类型? +
使用所有四种字符类型(大写、小写、数字、符号)可以将字符集大小扩大到 94,显著提升每个字符的熵贡献。仅使用小写字母(26 个字符)时,每个字符贡献约 4.7 位熵;使用全字符集(94 个字符)时,每个字符贡献约 6.6 位熵,同等长度下密码强度提升约 40%。
密码长度和复杂度哪个更重要? +
两者都重要,但长度的影响往往更大。熵值与长度线性增长,而增加字符集大小的收益会边际递减。最佳策略是:长度优先(16 位以上),同时使用所有字符类型。即使只使用小写字母,一个 30 位的密码也比一个 8 位的全字符密码安全得多。
这个工具会存储或上传我输入的密码吗? +
不会。所有计算完全在您的浏览器本地完成,不向任何服务器发送任何数据,不存储任何记录,关闭页面后数据即消失。您可以断网使用本工具,结果完全相同。