2026年密码安全：真正有效的方法

Security lock

这条建议20年来从未改变：使用强密码。但威胁环境已发生了翻天覆地的变化。以下是2026年真正有效的方法——以及为什么旧规则往往已经失效。

密码是如何被破解的

了解攻击方式，才能有针对性地防御：

撞库攻击 — 攻击者将某次数据泄露中获取的用户名/密码组合（公共数据库中已有数十亿条）用于尝试登录其他网站。如果你重复使用密码，一次泄露就会导致所有账户沦陷。

暴力破解 — 系统性地尝试每一种组合。对于长随机密码几乎无效，但对短密码或有规律的密码极为致命。

字典攻击 — 使用常见密码及其变体列表（如 password、P@ssw0rd、password123）。那些产生这类模式的复杂度规则只会带来虚假的安全感。

网络钓鱼 — 诱骗你在伪造网站上输入密码。再强的密码在这里也无济于事。

凭据泄露 — 来自被入侵服务的数据库。访问 haveibeenpwned.com 查看你的邮箱是否出现在已知泄露事件中。

经典规则——"必须包含大写字母、小写字母、数字和符号"——往往产生可预测的模式：

这些规则是为方便人类记忆而设计的，之所以失效，是因为人们总是遵循相同的模式。规则本身反而成了攻击的切入点。

2024年密码破解速度（基于GPU，bcrypt哈希）：

长度胜过复杂度。 一个20位的纯小写字母密码比一个8位的"复杂"密码更安全。每增加一个字符，搜索空间就成倍扩大。

Diceware 通过随机选词生成密码短语：

correct-horse-battery-staple

这个由4个单词组成的短语具有以下特点：

加入第5个单词可将信息熵提升至约64位——比大多数12位"复杂"密码更强，且更容易记忆。

试试我们的 Diceware Password Generator——它采用密码学随机性和EFF词表。

对于不需要手动输入密码的账户（占网站的90%），密码管理器可以生成并存储完全随机的密码：

K7#mP2xQnL9vR4tY

你永远不需要查看或手动输入这些密码，密码管理器会自动填充。我们的 Password Generator 支持自定义长度和字符集来生成此类密码。

核心原则： 每个网站使用唯一密码，没有例外。重复使用密码是最大的单一密码安全错误。

并非所有密码强度检测工具都同样可靠。一个好的工具应评估：

我们的 Password Strength Checker 使用 zxcvbn——这是 Dropbox 开发的同款库，它对真实攻击场景进行建模，而不是简单地勾选规则。

启用2FA是你能采取的对账户安全影响最大的单一行动。即使密码已泄露，没有第二重验证也无法登录。

TOTP（基于时间的一次性密码） — Google Authenticator 等应用每30秒生成一个6位验证码。我们的 TOTP Generator 可让你使用密钥测试 TOTP 流程。

优先开启2FA的账户：

对于服务器访问和API认证，请使用密钥对而非密码：

密钥从根本上比密码更安全，因为它们太长无法手动输入，太随机无法猜测，且从不通过网络传输。

按影响力排序的安全层级：

复杂度规则、定期强制修改密码和安全问题都是过时的安全表演。真正保护你的是：长度、唯一性和2FA。