密码强度检查器
估算任何密码的熵值和破解时间。
你输入的内容不会发送到服务器 —— 完全在你的浏览器内运行。
熵
—
离线攻击时间
—
评级
—
什么样的密码才算强密码
强度以信息熵比特数来衡量——大致相当于攻击者需要多少次尝试才能暴力破解您的密码。每多一比特,尝试次数翻一倍。低于40比特算弱密码;60比特以上可抵御离线攻击;80比特以上对多数场景而言已经绰绰有余。
长度胜过复杂度。"correct horse battery staple"——四个随机常用单词的组合——比"P@ssw0rd!"拥有更高的信息熵,还更好记。后者虽然遵循了所有"混入符号"的规则,却早就出现在破解字典里了。更好的做法是:用密码管理器为每个账户生成唯一的20位随机字符串,您只需记住管理器的主密码即可。
Frequently asked questions
密码强度是怎么衡量的?
以比特为单位的信息熵来衡量。每多一比特,所需破解尝试次数翻一倍。一个40比特熵的密码大约需要一万亿次尝试才能暴力破解。低于30比特算弱;60以上算强;80以上对绝大多数消费者用途而言已经过剩。信息熵取决于长度和字符集多样性。
"P@ssw0rd!"算强密码吗?
不算。它理论上信息熵还行,但出现在每一本密码破解字典里——"在常见单词里加数字和标点"这种套路是攻击者最先尝试的。真正的随机性比字符集混搭更重要。一个由6个随机单词组成的口令(用 diceware 或类似工具生成)轻松碾压它。
密码到底是怎么被攻破的?
大致按顺序有三种攻击:(1) 凭据填充——攻击者把别处泄露的密码拿到其他网站试,所以"从不复用的密码"比"强密码"更重要;(2) 钓鱼——诱骗您在某处把密码输入进去;(3) 暴力破解——只有对弱密码或针对被窃哈希的离线攻击才有意义。一个密码管理器加上 2FA 能同时搞定 (1) 和 (2)。
我应该用密码管理器吗?
用,毫无悬念。免费的(Bitwarden、KeePass)就很棒。密码管理器让您在每个账户上都使用唯一的20位随机密码,而完全不用记住它们中的任何一个。再配合硬件 2FA(YubiKey)或 TOTP(Authy / Google Authenticator),可以抵御超过99%的现实世界攻击。
Advertisement
728 × 90