RUNWEBTOOLS
简体中文
安全与隐私

如何创建和管理强密码

更新 2026-07-06

几乎人人都知道自己 应该 用强密码,可最常见的密码仍然是 123456password。问题的一部分是糟糕的建议:多年来我们被告知要用一小串符号的杂烩并每月更换,结果既难记又并不特别安全。本指南讲清究竟什么让密码变强,以及如何在不发疯的情况下管理密码。

什么让密码变强

当一个密码既难猜又难以暴力破解时它就强 —— 当可能性多到把它们全试一遍不现实时。有两样东西决定这一点:长度不可预测性

长度胜过复杂度

每多一个字符,可能的密码数量就翻倍,所以长度是单一最强大的因素。一句由普通单词组成的长口令,远比一串短而晦涩的字符更强 —— 而且好记得多:

更弱:  P@ss1!        (8 个字符,看着“复杂”)
更强:  correct-horse-battery-staple   (长)

晦涩的那个更弱,是因为攻击者知道所有惯用的把戏 —— 把 a 换成 @、在末尾加 1! —— 他们的软件会先试这些模式。纯粹的长度胜过可预测的替换。

不可预测性(熵)

另一半是随机性。由真正随机的字符混合,或随机挑选的单词构成的密码,具有高 —— 衡量它有多不可预测的指标。任何基于个人信息(你的名字、生日、宠物、喜欢的球队)的密码熵都很低,因为即便看着乱,也是可猜的。

攻击者实际上如何破解密码

理解威胁能让建议讲得通:

  • 撞库(credential stuffing) —— 当某个网站被攻破,攻击者会把泄露的邮箱/密码对拿到其他每个网站去试。这就是 重复使用 密码如此危险的原因。
  • 字典攻击 —— 尝试常见密码和单词的列表,包括上面那些可预测的替换。
  • 暴力破解 —— 尝试每一种组合。长度正是让这对攻击者变得无望的东西。

最重要的三条规则

  1. 让它们长 —— 目标是 16 位以上,或一句多词口令。
  2. 让每个都唯一 —— 绝不跨站重复使用密码,这样一次泄露解不开其余。
  3. 让它们随机 —— 不要基于任何关于你的东西。

快速生成一个同时满足这三条的方法,是我们的 密码生成器:它完全在你的浏览器中创建强随机密码(什么都不发送到任何地方),并让你调节长度和字符类型。对像 API 密钥这样的机器对机器密文,随机字符串生成器 做同样的事。

怎么记住全部:别记

上面的规则跨几十个账户靠脑子是不可能遵守的 —— 这正是人们重复使用密码的原因。答案是别再试图记住它们:

  • 用密码管理器。 它为每个网站生成、存储并填入一个唯一的强密码,你只需记住一个强主密码。
  • 开启双重验证(2FA)。 即使密码泄露,第二重因素(一个应用验证码或硬件密钥)也能阻止攻击者登录。在所有提供它的地方开启,尤其是邮箱和银行。
  • 首先保护你的邮箱。 你的邮箱账户能重置你大多数其他密码,所以它值得你最长的唯一密码和 2FA。

你可以不再做的事

现代安全指南(包括 NIST)已经抛弃了两个旧习惯:强制定期更换(它把人推向薄弱、可预测的变体)和以 必需的符号/数字规则 来代替长度。有理由时 —— 一次泄露、一台共用设备 —— 再改密码,而不是照日历。把精力集中在长度、唯一性和一个密码管理器上,你就会领先于网上绝大多数账户。

更多 安全与隐私

查看全部 安全与隐私 指南 →

本指南提到的工具