每次注册新账号都要想一个密码,想简单了怕被盗,想复杂了又记不住。更头疼的是,安全专家建议每个网站用不同密码——几十个账号,怎么记得过来?
这篇文章帮你理清几件事:什么密码容易被破解、什么样的才算安全、怎么生成强密码、以及怎么管理几十个不同的密码而不崩溃。
这些密码几秒钟就能被破解
每年的"最常见密码榜"都是同一批选手:123456、password、qwerty。但除了这些明显的弱密码,还有很多人以为安全但其实不安全的密码模式:
| 密码示例 | 类型 | 破解时间 | 为什么不安全 |
|---|---|---|---|
| 123456 | 纯数字 | 瞬间 | 字典攻击第一批 |
| P@ssw0rd | 常见替换 | 瞬间 | 黑客字典包含所有常见替换 |
| Zhang1990! | 姓+年+符号 | < 1分钟 | 社工信息组合,字典攻击覆盖 |
| iloveyou123 | 短语+数字 | < 1秒 | 常见短语在彩虹表里 |
| Tr0ub4dor&3 | 8位混合 | 约 3 天 | 太短,现代硬件可暴力破解 |
| Kx7$mP2vL9!qR4nB | 16位随机 | 几百万年 | ✓ 足够安全 |
强密码的三个核心要素
密码安全不是靠"看起来复杂",而是靠熵值(entropy)——也就是随机性的程度。三个核心要素:
| 要素 | 建议 | 原理 |
|---|---|---|
| 长度 | 至少 12 位,建议 16+ | 每多一位,破解时间翻几十到近百倍 |
| 字符种类 | 大写 + 小写 + 数字 + 符号 | 字符池从 26 扩大到 90+ |
| 随机性 | 不含单词、规律、个人信息 | 字典攻击和社工攻击专门针对有规律的密码 |
一个 16 位包含全字符类型的真随机密码,即使用目前最快的超级计算机暴力破解,也需要几百万年。关键词是"真随机"——人类手动想出来的密码总是有规律的(偏好某些字母、按键盘顺序、用个人信息),所以最好用工具生成。
在线生成强密码
工具使用浏览器内置的 crypto.getRandomValues() 加密安全随机数生成器——和银行系统用同一套随机源,不是 Math.random() 那种伪随机。生成的密码不会发送到任何服务器,关闭页面即消失。
不同场景的密码策略
不是所有账号都需要最高级别的密码。根据账号重要性分级设置:
| 级别 | 账号类型 | 密码要求 | 额外建议 |
|---|---|---|---|
| 最高 | 邮箱、银行、密码管理器主密码 | 20+ 位随机 + 全字符类型 | 必须开双因素认证(2FA) |
| 高 | 社交媒体、电商、云存储 | 16+ 位随机 | 建议开 2FA |
| 中 | 论坛、新闻网站、工具类服务 | 12+ 位随机 | 用密码管理器自动生成 |
| 低 | 临时注册、一次性使用 | 12 位即可 | 别和重要账号共用密码 |
因为几乎所有账号的"忘记密码"功能都通过邮箱重置。如果你的邮箱被盗,攻击者可以重置你所有关联账号的密码。所以邮箱密码应该是最强的那个,而且必须开双因素认证。
几十个密码怎么管理
答案是密码管理器。你只需要记住一个主密码(Master Password),其他所有密码都由密码管理器加密存储和自动填充。
| 工具 | 价格 | 特点 | 适合谁 |
|---|---|---|---|
| Bitwarden | 免费 / $10/年 | 开源、全平台、自托管可选 | 大多数人的最佳选择 |
| 1Password | $36/年 | 体验最好、家庭共享 | 愿意付费、追求体验 |
| KeePass | 免费 | 完全本地、离线使用 | 不信任云服务的用户 |
| iCloud 钥匙串 | 免费(Apple 设备) | 系统级集成、无感使用 | Apple 全家桶用户 |
密码管理器的工作流是:注册新账号时用工具生成随机密码 → 密码管理器自动保存 → 下次登录自动填充。你不需要记住任何密码,只需要记住密码管理器的主密码。
关于双因素认证(2FA)
即使密码被泄露,开了 2FA 的账号也不会被直接盗用——攻击者还需要你手机上的动态验证码。强烈建议对所有重要账号开启 2FA。
推荐使用 Authenticator App(如 Google Authenticator、Microsoft Authenticator)而不是短信验证码——短信可能被 SIM 卡劫持(SIM swapping 攻击),App 更安全。
常见问题
密码管理器本身被黑了怎么办?
主流密码管理器采用零知识架构——服务商自己也无法解密你的密码库,因为只有你掌握主密码。即使服务器被入侵,攻击者拿到的也是加密后的数据,没有主密码就无法解开。
定期换密码有必要吗?
最新的安全研究(包括 NIST 2024 指南)已经不再推荐定期换密码了。频繁换密码反而导致人们选择更弱的密码。正确做法是:用强随机密码 + 开 2FA + 只在账号泄露时才换。
记不住主密码怎么办?
主密码建议用"随机词组"法:随机选 4-5 个不相关的词组成短语,比如 "correct horse battery staple"。长度够(25+ 字符)、容易记、很难猜。不要用名言、歌词或有意义的句子。
已经在用弱密码的账号怎么办?
不需要一次性改完所有密码。优先改最重要的:邮箱 → 银行 → 社交媒体 → 其他。每改一个就用密码管理器生成随机密码并保存,逐步迁移。