C CalcKit
中文
密码强度指南:如何创建无法破解的密码 | CalcKit Blog

密码强度指南:如何创建无法破解的密码

by CalcKit
密码安全网络安全

每年都有数十亿密码在数据泄露中被曝光。尽管安全专家警告了多年,“123456” 和 “password” 仍然位居全球最常用密码排行榜前列。如果你还在多个账户中重复使用同一个密码——或者只是用宠物名字加上出生年份——是时候认真升级你的密码策略了。

本指南将深入解析密码强度的科学原理、攻击者实际使用的破解手段,以及你可以采取的实用措施来创建真正无法破解的密码。

为什么密码强度比以往任何时候都重要

普通互联网用户拥有超过 100 个在线账户,每一个都是攻击者的潜在入口。一个弱密码在跨平台复用时,可能引发连锁反应,导致全面的身份盗用。

仅 2024 年一年,全球就有超过 220 亿条记录在数据泄露中被曝光。攻击者不需要从零开始猜测你的密码——他们通常从其他服务泄露的凭据入手,然后在所有平台上尝试。这种技术叫做撞库攻击,当人们重复使用密码时,它的破坏力惊人。

黑客如何破解密码

了解攻击者的手段是防御的第一步。以下是攻击者最常用的方法:

暴力破解

暴力破解尝试每一种可能的字符组合,直到找到正确的密码。利用现代 GPU 硬件,攻击者每秒可以测试数十亿个密码。不同长度密码的破解时间如下:

密码类型示例破解时间
6 位小写字母abcdef不到 1 秒
8 位混合字符Kx9!mP2q约 3 小时
12 位混合字符Rv7$nK2!pL9w约 200 年
16 位混合字符jT5&kM3#nR8!pQ2x数百万年

结论很明确:长度是你最大的盟友。 每增加一个字符,可能的组合数都会呈指数级增长。

字典攻击

字典攻击不尝试每一种组合,而是使用常见单词、短语和已知密码模式的列表。这包括像 “p@ssw0rd” 这样的替换——攻击者同样了解这些技巧。字典攻击可以在几秒内破解选择不当的密码。

撞库攻击

当某个服务被攻破后,窃取的用户名-密码对会被在其他平台上测试。如果你在邮箱和某个论坛使用相同的密码,论坛被攻破就意味着攻击者获得了你的邮箱访问权——进而通过密码重置控制你的所有其他账户。

密码长度 vs 复杂度

多年来,安全建议一直是混合使用大写字母、小写字母、数字和符号。但研究表明,长度远比复杂度重要

Tr0ub4dor&3 这样的密码看起来很复杂,但只有 11 个字符,而且遵循可预测的模式(Leet 替换)。而 correct-horse-battery-staple 有 28 个字符,即使只使用小写字母和连字符,破解难度也远高于前者。

数学很简单: 使用所有 95 个可打印 ASCII 字符的 8 位密码有 95^8 ≈ 6.6 千万亿种组合。仅使用小写字母的 16 位密码有 26^16 ≈ 4.4 × 10^22 种组合——破解难度高出数十亿倍。

12 字符原则

让每个密码至少 12 个字符长。这是在当前技术条件下使暴力破解不可行的最低限度。使用 16 个或更多字符则提供更大的安全余量。

密码短语:更好的选择

密码短语(passphrase)是由多个随机单词串联组成的密码。它们更长、更强,而且比传统复杂密码更容易记忆。

强密码短语的示例:

  • 紫色-老虎-跳舞-月光
  • 咖啡-河流-日落-自行车
  • 海洋-雷声-花园-枕头

密码短语之所以有效,是因为:

  1. 足够长 —— 通常 20 个字符以上
  2. 容易记 —— 生动的画面容易留在脑海中
  3. 方便输入 —— 不用在手机键盘上寻找特殊字符

关键在于随机性。不要使用名言或常见短语——“天生我材必有用”这种句子会在每个字典攻击列表中出现。使用真正随机的词语组合。

常见密码错误

在多个账户中重复使用密码

这是最危险的习惯。一次泄露就会暴露所有使用相同密码的账户。为每个账户使用唯一密码——没有例外。

使用个人信息

你的生日、宠物名字、家乡和喜欢的球队都可以在社交媒体上找到。攻击者利用这些信息构建针对性的密码列表。

做微小变化

在现有密码末尾加 “1” 或 ”!” 并不能显著增强安全性。如果 “sunshine” 已被泄露,“sunshine1” 和 “sunshine!” 会立即被测试。

分享密码

即使是你信任的人。共享的密码会被写下来、通过不安全的渠道发送,或存储在未保护的消息中。

使用密码管理器

密码管理器是你能采用的最高效的安全工具。它通过为每个账户生成和存储复杂密码,解决了”每个账户使用唯一密码”的问题。

密码管理器的工作原理

  1. 你只需记住一个强主密码(或使用生物识别)
  2. 管理器为每个账户生成唯一的随机密码
  3. 自动填充登录表单,你无需手动输入
  4. 密码经过加密并在你的设备间同步

选择密码管理器的要点

  • 零知识架构 —— 服务提供商无法查看你的密码
  • 跨平台支持 —— 在所有设备和浏览器上都能使用
  • 安全共享 —— 如需共享密码,通过管理器进行
  • 泄露监控 —— 当你的凭据出现在已知泄露中时发出警报

常见选择包括 Bitwarden(开源)、1Password 和 KeePassXC(离线)。

双因素认证(2FA)

即使最强的密码也可能通过钓鱼、键盘记录器或数据泄露被攻破。双因素认证通过要求你拥有的东西(手机)或你本身的东西(生物特征)来增加第二层防御。

2FA 的类型

类型安全级别示例
短信验证码短信验证码
认证器应用Google Authenticator、Authy
硬件密钥YubiKey、Titan
生物识别中高指纹、面容 ID

认证器应用对大多数人来说是安全性和便利性的最佳平衡。硬件安全密钥提供最强的保护,推荐用于邮箱和银行等高价值账户。

哪些账户需要开启 2FA

优先为以下账户启用 2FA:

  • 邮箱 —— 所有其他账户密码重置的入口
  • 银行和金融 —— 直接涉及你的资金
  • 云存储 —— 你的个人文件和文档
  • 社交媒体 —— 你的身份和社交关系
  • 密码管理器 —— 保护你所有其他密码

创建强密码的步骤

  1. 使用密码管理器来生成和存储密码
  2. 将生成密码的最小长度设为 16 个字符
  3. 包含所有字符类型 —— 大写字母、小写字母、数字和符号
  4. 绝不跨账户重复使用密码
  5. 在支持 2FA 的每个账户上启用双因素认证
  6. 在 haveibeenpwned.com 检查你的邮箱是否出现在泄露中
  7. 立即更新被泄露的密码 —— 不要拖延

即时生成强密码

不要依赖自己的想象力来创建强密码——人类生成的密码总是比我们以为的更弱。使用我们的免费密码生成器来创建真正随机、无法破解的密码,支持自定义长度和字符集。密码在浏览器本地生成,不会通过互联网传输任何内容。

保持安全,保持独特,让工具来承担繁重的工作。

---