密码生成器 - 创建强硬的随机密码
创建任何长度的强大随机密码. 使用大写,小写,数字和特殊字符进行自定义. 免费计算器,即时结果.
密码 :强密码的科学
密码的强度是以 的片段-- 可能的密码数的二进制. 更多的 度意味着更难破解的密码. 了解 度是创建抵御暴力攻击和基于字典的破解方法的密码的关键.
公式: = log2 ((C^L) = L x log2 ((C),其中C =字符集大小和L =密码长度.
| 密码类型 | 字符集大小 | 长度 | (比特) | 强力时间* |
|---|---|---|---|---|
| 只有小写 (a - z) | 26 | 8 | 37.6 其他 | 分钟到小时 |
| 混合情况 (a - z,A - Z) | 52 | 8 | 45.6 年 | 从小时到天 |
| 混合大小写 + 数字 | 62 | 10 | 美国 | 数天到数月 |
| 所有可打印的ASCII | 94 | 12 | 78.7 年 | 数千年的时间 |
| 所有可打印的ASCII | 94 | 16 | 104.8 年 | 有效无限 |
| 所有可打印的ASCII | 94 | 20 | 131.0 年 | 超越宇宙的热死亡 |
| 4个字的密码 (7,776个列表) | 七百七十六 | 四个字 | 美国 | 类似于复杂的8-char |
| 6个字的密码 (7,776个列表) | 七百七十六 | 6个字 | 77.5 年 | 类似于12 混合 |
*假设使用现代GPU硬件每秒进行100亿次猜测. 安全专家建议至少80位的 对于一般账户和128+位电子邮件主密码,银行和加密密钥等关键账户.
性格特征和它们增强力量的作用
包括每一个额外的字符类增加了攻击者必须探索的搜索空间. 以下是每个字符集对密码 的贡献:
| 字符集 | 角色 | 计数 | 每个字符的比特 |
|---|---|---|---|
| 小写字母 | 一个 - 一个 | 26 | 4.70 年 |
| 大写字母 | 从A到Z | 26 | 4.70 年 |
| 数字 | 0 - 9 年 | 10 | 3.32 年 |
| 常见的符号 | @#$%^&*() -_+= 这是一个很大的问题. | 14 | 3.81 年 |
| 扩展符号 | []{}下载:',".<>?/`~ | 18 | 4. 17 其他 |
| 所有可打印的ASCII组合 | 上述所有情况 | 94 | 6.55 时间 |
对于任何密码最有影响的升级是越来越长从12到16个字符的完整的ASCII集合增加了4 x 6.55 = 26.2个额外的 位 - 相当于将搜索空间乘以大约800万. 当两者不能同时最大化时,长度总是比复杂性更重要.
然而,在给定的长度上使用所有字符类型 (大写,小写,数字和符号) 一起将每个字符的 率最大化.仅使用小写字母的12个字符密码具有56.4位的 率;所有字符类型的相同长度具有78.7位 - 没有添加单个字符的40%的改进.
使用密码的最佳做法
目前NIST (特别出版物800-63B),安全研究人员和行业标准的指导已经从旧的建议显著发展. 以下是最新的最佳实践:
- 长度与复杂度:20个字符的随机密码短语比12个字符密码更强大,更容易记住.NIST建议至少8个字符,但安全专业人士强烈建议标准帐户使用12-16个字符,关键帐户使用20个字符以上.
- 每个站点的唯一密码:大约85%的数据泄露涉及到凭证填充--攻击者测试泄露的用户名/密码组合与其他服务. 每个帐户都需要一个独特的密码.
- 使用密码管理器:像Bitwarden (免费,开源),1Password,KeePass或Dashlane这样的工具可以安全地生成和存储独特的密码.您只需要记住一个主密码.密码管理器是个人安全的唯一最有效的升级.
- 启用双因素身份验证 (2FA):即使是受损的密码也变得更难以利用2FA.使用身份验证应用程序 (谷歌身份验证器,Authy或像YubiKey这样的硬件密钥).尽可能避免基于SMS的2FA,因为它容易受到SIM交换攻击.
- 检查违规数据库:使用 haveibeenpwned.com 检查您的电子邮件或密码是否出现在已知的数据泄露中.如果密码出现在泄露数据库中,请立即更改它,即使它看起来很强.
- 不要在时间表上轮换密码:NIST的最新指导明确建议不要强制定期更改密码.常规轮换会导致可预测的修改 ("密码1" -> "密码2").只有当有证据表明密码被泄露时才更改密码.
常见的密码错误以及如何避免它们
攻击者使用字典攻击现代密码破解工具使用复杂的规则集来预测常见的人类行为. 避免这些常见的错误:
| 一个错误 | 一个例子 | 为什么它是弱的 | 更好的选择 |
|---|---|---|---|
| 常见的词汇 | 密码,管理员,欢迎 | 在每一个饼干的字典 | 随机字符或密码短语 |
| 个人信息 | 约翰1985, 毛 的123 | 很容易在社交媒体上找到 | 没有个人数据的密码 |
| 键盘模式 | 没有人知道我在哪里. | 测试的第一个模式 | 真正随机的字符选择 |
| 可预测的替代 | 现在,我已经知道了. | 在所有饼干中使用标准的 语规则 | 完全随机生成 |
| 简短的密码 | 任何小于8个字符 | 可以在几秒到几分钟内破解 | 最少12个字符 |
| 重复使用密码 | 电子邮件和银行密码相同 | 一个违规行为危及所有账户 | 每个服务的唯一密码 |
| 轻微修改 | 2024年夏天 -> 2025年夏天 | 攻击者测试顺序变化 | 完全新的随机密码 |
| 添加数字到结束 | 一个密码123 | 添加数字是标准规则 | 在整个数字混合 |
全球最常被破解的密码 (根据数据库分析的数据) 是:123456,密码,123456789,qwerty,12345678,111111,1234567890,1234567,密码1和qwerty123.如果您的密码与这些模式中的任何一个类似,请立即更改.
密码短语:令人难忘的替代方案
密码短语是随机选择的单词作为密码的序列.密码短语通常比传统密码更长,因此更难破解,同时更容易记住.该概念由著名的XKCD漫画"正确的马电池主食"普及.
| 密码短语类型 | 一个例子 | (比特) | 记忆力 |
|---|---|---|---|
| 3个随机单词 (7,776个列表) | 毛毯-托帕斯-炉 | 38.8 年 | 容易记住 |
| 4个随机单词 (7,776个列表) | 正确的马电池 | 美国 | 很好的平衡 |
| 5个随机单词 (7,776个列表) | 布兰克特-托帕斯- 炉- 果-悬崖 | 美国 | 适度努力 |
| 6个随机单词 (7,776个列表) | 六个字的短语需要更多的努力 | 77.5 年 | 更难但可以管理 |
| 4个字 + 数字 + 符号 | 正确的-马-电池7-连接! | ~65岁以上 | 有变化很好 |
密码短语安全性的关键要求是这些词必须随机选择"我非常喜欢我的狗"是个可怕的密码,因为它是可预测的. "毯子-托帕斯-炉子- 果"是很好的,因为单词组合是随机的和意想不到的.
要生成密码短语,请使用 Diceware 方法:滚动五个 子以获得五位数,然后在 Diceware 单词列表 (包含 7,776 个单词) 中查找相应的单词.为每个单词重复. 或者,在密码管理器中使用密码短语生成器,可以安全地自动化此过程.
密码管理器:您的安全中心
密码管理器是为每个帐户生成,存储和自动填充独特密码的软件.这是每个主要网络安全组织最推 的安全工具.以下是最受欢迎的选项的比较:
| 密码管理器 | 价格 | 开放源码 | 机场 | 主要特征 |
|---|---|---|---|---|
| 比特沃登 | 免费 (保费为每年10美元) | 是的 | 所有平台+浏览器 | 最好的免费选择;可自主托管 |
| 一个密码 | 每年36美元 | No | 所有平台+浏览器 | 守望塔的违规监控 |
| 如何使用 KeePass / KeePassXC | 自由的 | 是的 | 桌面 (跨平台) | 只有本地存储;没有云同步 |
| 达什兰 | 60美元/年 | No | 所有平台+浏览器 | 内置的VPN;暗网监控 |
| 果钥匙链 | 自由的 | No | 只有 果生态系统 | 在iPhone,iPad,Mac上无 运行 |
| 谷歌密码管理器 | 自由的 | No | 浏览器 + 安卓 | 集成到 Chrome 浏览器中 |
在选择密码管理器时,优先考虑:零知识加密 (公司无法读取您的密码),跨平台可用性,安全密码生成和违规监控.您的主密码 - - 您必须记住的唯一密码 - - 应该是5个以上随机单词的强密码短语,至少70位的 .
转换到密码管理器并不需要一次性.首先添加您最关键的帐户 (电子邮件,银行,社交媒体),并在您登录时逐渐添加其他帐户.大多数管理器可以从浏览器导入密码以加快迁移.
两个因素身份验证 (2FA) 方法的比较
即使是最强大的密码也只提供了一层防护.双因素身份验证添加了第二层,除了你知道的东西 (密码),还需要你拥有的东西 (手机或硬件密钥).
| 2FA 方法 | 安全级别 | 方便性 | 脆弱性 |
|---|---|---|---|
| 硬件安全密钥 (YubiKey,Titan) | 最高的 | 中等 - 需要物理密钥 | 几乎不受网络 鱼的影响 |
| 验证器应用 (TOTP) | 高的 | 在您的手机上的代码 | 如果手机被泄露, |
| 推送通知 (Duo,MS验证器) | 高的 | 非常高 - 点击批准 | "MFA疲劳"攻击 (重复提示) |
| 一个短信短信 | 中等程度 | 非常高 - 不需要应用程序 | SIM交换,SS7拦截 |
| 电子邮件代码 | 低 - 中等 | 高的 | 电子邮件帐户被泄露 |
| 安全问题 | 低的 | 高的 | 答案通常是公开的 |
为了获得最大的安全性,在最关键的帐户中使用硬件安全密钥 (FIDO2/WebAuthn).对于日常帐户,像Google Authenticator,Authy或Microsoft Authenticator这样的身份验证应用程序提供了安全性和便利性的优秀平衡.任何形式的2FA都比仅使用密码的身份验证要好得多.
如何破解密码
了解攻击者如何破解密码有助于解释为什么随机的长密码是必不可少的.现代的密码破解涉及几种技术,每个技术都利用密码选择的不同弱点.
| 攻击类型 | 如何运作 | 速度 | 它的胜利 |
|---|---|---|---|
| 粗暴的力量 | 系统地尝试所有可能的组合 | 每秒数十亿次 (GPU) | 任何类型的短密码 |
| 字典攻击 | 测试常见的单词,名字和短语 | 每秒数百万 | 任何基于真实单词的密码 |
| 基于规则的攻击 | 适用于字典单词的转换 (大写,加数字,leet-speak) | 每秒数百万 | 像"P@ssw0rd"这样的可预测修改 |
| 凭证填充 | 测试来自其他网站的泄露用户名/密码对 | 每秒几千个 | 跨服务重复使用的密码 |
| 彩虹桌 | 使用预先计算的哈希到密码查找表 | 几乎即时查找 | 没有加盐的密码哈希 |
| 网络 鱼 | 欺骗用户在虚假网站上输入密码 | 没有 (社会工程) | 任何没有2FA的密码 |
运行像Hashcat这样的工具的现代GPU集群每秒可以测试超过100亿个MD5哈希,或每秒使用专门的硬件测试大约10亿个bcrypt哈希.这就是密码长度如此重要 - - 每个额外的字符乘以字符集大小所需的时间.使用所有可打印的ASCII字符随机生成的16个字符密码将需要比宇宙的年龄更长的时间以粗暴的力量破解,即使使用了当今最快的硬件.然而,任何长度的密码都不能防止网络 鱼 - - 这就是为什么双因素身份验证仍然作为补充防御层至关重要的原因.
人们常问的问题
一个安全的密码应该有多长?
对于标准账户,至少12-16个字符.对于金融和关键账户 (电子邮件,银行,密码管理器主密码),使用20个字符以上或多字密码短语.长度比复杂性更重要 - - 一个20个字符的小写密码比一个有符号的10个字符的密码具有更多的 .
随机的密码是安全的吗?
生成的密码应存储在信誉好的密码管理器 (Bitwarden,1Password,KeePass) 中,而不是在文本文件中,仅用于浏览器的存储,或写在贴纸上.密码管理器用您的主密码加密您的金库 - 即使服务受到损害,您的个人密码仍然被加密和安全.
什么使得密码很容易被计算机破解?
简短的长度,常见的单词或模式,个人信息,以及跨站点的重复使用. 现代GPU每秒可以测试数十亿个密码. 一个8个字符的小写密码只有2080亿个组合 - - 可以在几个小时内破解. 一个使用所有字符类型的16个随机密码大约有10^31个组合 - - 即使使用专用硬件,也无法在几十年内破解.
使用密码短语而不是复杂密码是安全的吗?
是的 - 由4个或更多随机选择的单词组成的密码 (如"正确的马-电池- ") 是高度安全的,并且显著更容易记住. 从7776个单词的Diceware列表中,一个4个单词的密码有51.7位的 ;一个6个单词的密码有77.5位. 关键的要求是必须随机选择单词,而不是你自然会说的有意义的短语.
我应该经常更改密码吗?
目前的NIST指南 (SP 800-63B) 表示,常规密码过期是不利的 - 它会导致可预测的修改 ("密码1" -> "密码2") 和整体安全性降低.只有当有证据表明有妥协时才更改密码,例如数据泄露通知. 没有被破坏的强大,独特的密码不需要旋转.
什么是双因素身份验证 (2FA),我应该使用它吗?
双因素身份验证需要您的密码以外的第二种形式的验证 - 通常是来自验证器应用程序或硬件安全密钥的代码. 是的,您应该在支持它的每个帐户上启用2FA. 即使您的密码被泄露,攻击者也无法访问您的帐户没有第二个因素. 验证器应用程序比SMS代码更受欢迎.
密码管理器是如何工作的?
密码管理器生成并存储您的每个帐户的独特密码在加密的密码库中.您使用一个主密码解锁密码库.管理器自动填写登录表格,因此您不需要记住或输入单独的密码.大多数使用零知识加密,这意味着即使是服务提供商也无法读取您的存储密码.
如果我的密码管理器被黑了呢?
值得信赖的密码管理器使用零知识加密 - - 您的密码在存储在服务器之前被本地用主密码加密.即使在服务器漏洞中,攻击者只获得他们无法读取的主密码的加密数据.这就是为什么强大的,独特的主密码 (理想情况下是5个字以上的密码短语) 是必不可少的原因.2022年LastPass漏洞证明了这一点:虽然加密的金库被盗,但使用强大的主密码加密的金库仍然是安全的.
让我的浏览器保存密码是安全的吗?
浏览器保存的密码方便,但不如专用密码管理器安全.浏览器存储密码与加密绑定到您的操作系统帐户,这意味着任何访问您的计算机会话的人都可以查看它们.专用密码管理器提供更强大的加密,跨浏览器支持,安全共享,违规监控和自动锁定功能.为了最大限度的安全性,请使用专用密码管理器并禁用浏览器密码保存.
如何创建一个我能记住的强大主密码?
使用 Diceware 方法:滚动五个 子以获得五位数的数字,在 Diceware 单词列表中查找相应的单词,并重复 5-6 个单词.将它们与连接符或空格连接.例如:"毯子-topaz-炉子- 果-悬崖"的 度约为 64 位,并且通过可视化相对容易记住.练习在几天内多次键入,直到它自动化.