本文目录
什么样的密码才算强密码?
强密码指的是即便使用现代计算硬件,攻击者也需要花费长得离谱的时间才能破解的密码。其中最重要的两个因素是长度和随机性。一个 20 位的随机密码,其强度远远超过一个经过巧妙替换的 8 位密码。
暴力破解会尝试所有可能的组合。对于一个使用大写字母、小写字母、数字和符号(约 90 个字符)的 8 位密码,共有 90^8 = 4300 亿种组合。现代 GPU 每秒可测试数十亿个哈希值,使得 8 位密码不堪一击。而在 16 位时,同样的字符集有 90^16 种组合——以当前技术而言实际上无法破解。
密码是如何生成的
生成器使用密码学安全的随机数生成,产出符合指定特征的密码。
- CSPRNG——使用浏览器的 crypto.getRandomValues() 实现真正的密码学随机性
- 字符集选择——配置要包含的字符类型:小写字母、大写字母、数字、符号
- 排除项——可选择排除容易混淆的模糊字符,如 0/O 或 1/l/I
免费试用 —— 无需注册
生成密码 →何时使用密码生成器
每当你需要为某个账户或服务设置新密码时,都应使用密码生成器。
- 新账户——为每个新的在线账户生成唯一的随机密码
- 密码轮换——用全新的随机密码替换旧密码或重复使用的密码
- 服务账户——为数据库用户、API 密钥和系统账户生成复杂密码
常见问题
密码应该设置多长?
至少为非关键账户设置 12 位,为敏感账户设置 16 至 20 位。NIST 建议用户自设密码至少 8 位,而机器生成的密码则应达到 15 位以上。既然你会把它存进密码管理器,长度在实际使用上没有额外成本——一律选择更长的。
使用在线密码生成器安全吗?
CheckTown 的密码生成器完全在你的浏览器中运行,使用 JavaScript 的 crypto.getRandomValues()。不会有任何密码被传输到任何服务器。你可以通过观察浏览器的网络活动来验证这一点。生成的密码绝不会离开你的设备。
什么是口令短语,它比随机密码更好吗?
口令短语是一串随机单词(correct-horse-battery-staple)。长口令短语既强壮又易于记忆。一个从 7776 词词典中选取的 4 词口令短语有 7776^4 = 3.6 万亿种组合,相当于一个 10 位的随机密码。对于需要手动输入的账户,口令短语往往更实用。