← 所有文章

如何设一个强密码(以及为什么长度胜过符号)

2026-05-29

一句话答案: 强密码就是又长又随机的那种——长度远比塞一堆符号重要。最快又私密的生成办法是 ToolKoala 的密码生成器,它直接在你的浏览器里生成,所以密码从不被发到任何地方。对于要手动输入的密码,用 4 个以上随机单词组成的口令短语,既强又好记。

为什么长度胜过一堆符号

真正让密码难破解的是——一个花哨的词,意思是「攻击者得试多少次才能猜中」。每多一个字符,可能性的数量就翻倍增长,所以长度能很快地增加熵。

说个让人不舒服的事实:P@ssw0rd! 看起来很机灵,其实很弱。攻击者把所有替换花招都摸透了(a→@o→0s→$),而「password」高居每本破解字典的榜首。给一个常见词加个符号、加个大写字母,几乎拦不住任何人。

对比一下四个随机单词:velvet-anchor-puzzle-stove。它更长,里面没有字典里的现成短语,而且其实更好记。游戏规则就这么简单——随机性乘以长度。

一个快速的经验法则:

  1. 12 个字符 是任何重要东西的底线。
  2. 16 个以上字符 用于重要账户(邮箱、银行、密码管理器)。
  3. 一个 4 词口令短语(多疑的人用 5 词),用于你得经常输入的场合。

怎么生成一个(私密地)

  1. 打开 ToolKoala 的密码生成器
  2. 选个长度——随机字符串那种就滑到 16 或更高。
  3. 或者切到口令短语模式,生成 4–5 个随机单词。
  4. 复制它,直接粘到注册框里,然后把它存好(下面细说)。

这个生成器完全在你的浏览器里运行。没有服务器调用——你可以打开开发者工具、盯着网络(Network)标签页,确认生成过程中什么都没离开你的机器。这很重要:一个你从别人服务器上取来的密码,就是一个别人服务器见过的密码。

老实说的替代方案,以及存储这道坎

你严格来说并不需要工具。你的浏览器(Chrome、Safari、Firefox)会免费帮你建议并保存随机密码,对大多数人来说这真的够用了。专门的密码管理器做得更好:

  • Bitwarden —— 免费档很大方,开源,到处同步。
  • 1Password —— 约 $3/月,做工精致,很适合家庭。
  • KeePassXC —— 免费,完全离线,文件归你自己。

你也可以用 EFF 单词表掷骰子(搜「diceware」)——慢,但有种不可篡改的可爱劲儿。

下面是没人愿意挑明说的那部分:一个生成的密码,安全程度只取决于你把它存在哪里。 一个完美的 20 位随机字符串,要是写在便利贴上,或者在十个网站重复用,那还不如一个存在真正管理器里的平庸密码。生成它,存进管理器,绝不重复用,再开启双重验证。生成器只是链条上的一环——不是整条链。

常见问题

2026 年密码该多长? 至少 12 个字符,重要的东西 16 个以上。长度带来的保护是指数级的,比把字母换成符号管用得多。

口令短语真的和随机密码一样安全吗? 是的,前提是单词真随机、且用了四个以上。correct-horse-battery-staple 这种之所以管用,靠的是随机性,不是耍机灵。

用在线密码生成器安全吗? 只有它在你浏览器里本地生成才行,就像 ToolKoala 这个——你可以在开发者工具里确认什么都没发出去。任何会往返服务器的生成器都别用。

如果我能生成强密码,还需要密码管理器吗? 基本上需要。一个你记不住的强密码毫无用处,除非有东西帮你安全地存它。Bitwarden 的免费档是个不错的起点。

— Milo 🐨