Security
2026年强密码指南:普通人也能看懂的简明清单
长度与复杂度的权衡、密码管理器、多因素认证,以及如何在不泄露密码的情况下测试密码强度。
5分钟阅读
"必须包含一个大写字母和一个符号"这类密码规则,在攻击者只能尝试几千次猜测的年代还算合理。如今,撞库攻击(利用泄露的邮箱/密码组合)和离线哈希破解才是主流威胁。现代安全建议更推崇长且唯一的密码以及第二重验证,而不是所谓"聪明"的短密码。
长度胜过"技巧"
随机选取的四词密码短语加分隔符(例如 correct-horse-battery-staple 风格,但需随机生成),或使用密码生成器创建的 20位以上密码,都比 P@ssw0rd!1 更难破解——而后者早已出现在各种数据泄露列表中。
最好的密码是你从不重复使用、也无需记忆的那种——在数十个网站上,请使用密码管理器。
密码管理器
- 为每个网站生成唯一密码。
- 在支持的平台上存储 TOTP 种子或通行密钥(passkey)。
- 使用强主密码和设备安全措施保护密码库。
多因素认证(MFA)
短信验证码聊胜于无,但容易受到 SIM 卡劫持攻击。对于高价值账户(邮箱、银行、域名注册商、云管理员),建议优先使用身份验证器应用或硬件密钥(WebAuthn/FIDO2)。
本地测试密码强度
那些会将你的密码上传到服务器的"强度检测工具"完全不可取。请使用完全在浏览器中运行、从不传输密码的工具。
我们的 Password Generator 可以生成随机字符串,支持自定义长度和字符集;Password Strength Checker 则以纯客户端方式评估密码的熵值等指标,确保你的候选密码始终保持私密。
对于需要存储密码的开发者:绝对不能存明文。请使用慢速哈希算法(Argon2、scrypt 或 bcrypt)配合每位用户独立的盐值。Hash Generator 适用于校验和与 HMAC 概念演示,不适合用于生产环境的密码存储——请在你的技术栈中使用经过验证的专业库。
用户应当采取的实际行动
- 为邮箱和金融账户开启 MFA。
- 使用密码管理器,让它生成 20 位以上的密码。
- 当员工或承包商离职时,及时撤销其访问权限;轮换在聊天中共享过的密钥。
- 关注数据泄露通知,仅修改受影响的密码(或依赖密码管理器生成唯一密码来规避风险)。
良好的习惯比完美的记忆更可靠——当你需要快速、离线友好的帮助时,以上免费工具也能与之完美配合。