RUNWEBTOOLS
繁體中文
安全與隱私

如何建立和管理強密碼

更新 2026-07-06

幾乎人人都知道自己 應該 用強密碼,可最常見的密碼仍然是 123456password。問題的一部分是糟糕的建議:多年來我們被告知要用一小串符號的雜燴並每月更換,結果既難記又並不特別安全。本指南講清究竟什麼讓密碼變強,以及如何在不發瘋的情況下管理密碼。

什麼讓密碼變強

當一個密碼既難猜又難以暴力破解時它就強 —— 當可能性多到把它們全試一遍不現實時。有兩樣東西決定這一點:長度不可預測性

長度勝過複雜度

每多一個字元,可能的密碼數量就翻倍,所以長度是單一最強大的因素。一句由普通單字組成的長通關密語,遠比一串短而晦澀的字元更強 —— 而且好記得多:

更弱:  P@ss1!        (8 個字元,看著「複雜」)
更強:  correct-horse-battery-staple   (長)

晦澀的那個更弱,是因為攻擊者知道所有慣用的把戲 —— 把 a 換成 @、在末尾加 1! —— 他們的軟體會先試這些模式。純粹的長度勝過可預測的替換。

不可預測性(熵)

另一半是隨機性。由真正隨機的字元混合,或隨機挑選的單字構成的密碼,具有高 —— 衡量它有多不可預測的指標。任何基於個人資訊(你的名字、生日、寵物、喜歡的球隊)的密碼熵都很低,因為即便看著亂,也是可猜的。

攻擊者實際上如何破解密碼

理解威脅能讓建議講得通:

  • 撞庫(credential stuffing) —— 當某個網站被攻破,攻擊者會把外洩的信箱/密碼對拿到其他每個網站去試。這就是 重複使用 密碼如此危險的原因。
  • 字典攻擊 —— 嘗試常見密碼和單字的清單,包括上面那些可預測的替換。
  • 暴力破解 —— 嘗試每一種組合。長度正是讓這對攻擊者變得無望的東西。

最重要的三條規則

  1. 讓它們長 —— 目標是 16 位以上,或一句多詞通關密語。
  2. 讓每個都唯一 —— 絕不跨站重複使用密碼,這樣一次外洩解不開其餘。
  3. 讓它們隨機 —— 不要基於任何關於你的東西。

快速產生一個同時滿足這三條的方法,是我們的 密碼產生器:它完全在你的瀏覽器中建立強隨機密碼(什麼都不傳送到任何地方),並讓你調節長度和字元類型。對像 API 金鑰這樣的機器對機器密文,隨機字串產生器 做同樣的事。

怎麼記住全部:別記

上面的規則跨幾十個帳戶靠腦子是不可能遵守的 —— 這正是人們重複使用密碼的原因。答案是別再試圖記住它們:

  • 用密碼管理器。 它為每個網站產生、儲存並填入一個唯一的強密碼,你只需記住一個強主密碼。
  • 開啟雙重驗證(2FA)。 即使密碼外洩,第二重因素(一個應用驗證碼或硬體金鑰)也能阻止攻擊者登入。在所有提供它的地方開啟,尤其是信箱和銀行。
  • 首先保護你的信箱。 你的信箱帳戶能重設你大多數其他密碼,所以它值得你最長的唯一密碼和 2FA。

你可以不再做的事

現代安全指南(包括 NIST)已經拋棄了兩個舊習慣:強制定期更換(它把人推向薄弱、可預測的變體)和以 必需的符號/數字規則 來代替長度。有理由時 —— 一次外洩、一台共用裝置 —— 再改密碼,而不是照日曆。把精力集中在長度、唯一性和一個密碼管理器上,你就會領先於網上絕大多數帳戶。

更多 安全與隱私

查看全部 安全與隱私 指南 →

本指南提到的工具