← 所有文章

如何設一組強密碼(以及為什麼長度勝過符號)

2026-05-29

簡短回答: 強密碼就是又長又隨機的那種——長度遠比塞滿符號重要。最快又有隱私的產生方式是 ToolKoala 的密碼產生器,它直接在你的瀏覽器裡產生,所以密碼從不被送到任何地方。如果是要你手動輸入的,4 個以上隨機單字組成的通行詞組既強又好記。

為什麼長度勝過「符號大雜燴」

真正讓密碼難以破解的東西是——一個聽起來高級、其實就是「攻擊者得試多少次」的詞。每多一個字元就讓可能性翻倍,所以長度能很快地加熵。

說個不太中聽的事實:P@ssw0rd! 看起來很聰明,但它很弱。攻擊者知道所有替換把戲(a→@o→0s→$),而「password」高居每一本破解字典之首。在一個常見單字上加個符號和大寫,幾乎拖不住任何人。

對比一下四個隨機單字:velvet-anchor-puzzle-stove。它更長、裡面沒有字典片語、而且反而更好記。這就是整個遊戲的核心——隨機性乘以長度。

一個快速的經驗法則:

  1. 12 個字元 是任何重要東西的底線。
  2. 16 個以上字元 給重要帳號(email、銀行、密碼管理器)。
  3. 需要常常輸入時,用 4 個單字的通行詞組(多疑的人用 5 個)。

怎麼(有隱私地)產生一組

  1. 開啟 ToolKoala 的密碼產生器
  2. 選一個長度——隨機字串那種就把它拉到 16 以上。
  3. 或切換到通行詞組模式,產生 4–5 個隨機單字。
  4. 複製它,直接貼到註冊欄位裡,然後把它存好(下面會講)。

這個產生器完全在你的瀏覽器裡運作。沒有任何伺服器呼叫——你可以打開開發者工具、盯著 Network 分頁,確認產生過程中沒有任何東西離開你的機器。這很重要:一組你從別人伺服器拿來的密碼,就是一組別人伺服器看過的密碼。

老實說的替代方案,還有儲存的陷阱

你其實不一定需要工具。你的瀏覽器(Chrome、Safari、Firefox)會免費幫你建議並儲存隨機密碼,對大多數人來說這真的夠用了。專門的密碼管理器做得更好:

  • Bitwarden — 免費方案很大方、開源、到處都能同步。
  • 1Password — 約 $3/月、精緻、很適合家庭。
  • KeePassXC — 免費、完全離線、檔案歸你自己。

你也可以用 EFF 單字表擲骰子(搜「diceware」)——慢,但有種迷人的防竄改感。

這是沒人想大聲說出來的部分:一組產生出來的密碼,安不安全取決於你把它存在哪。 一組完美的 20 字元隨機字串,如果寫在便利貼上,或在十個網站重複用,那比一組存在真正密碼管理器裡的平庸密碼還糟。產生它、存進管理器、絕不重複用、並開啟雙重驗證。產生器只是這條鏈裡的一環——不是整條鏈。

常見問題

2026 年密碼該設多長? 至少 12 個字元,重要的東西用 16 以上。長度帶給你的保護是指數級的,遠勝於把字母換成符號。

通行詞組真的跟隨機密碼一樣安全嗎? 是的,前提是單字真的隨機而且你用了四個以上。correct-horse-battery-staple 這種風格之所以有效,是因為出力的是隨機性,不是小聰明。

用線上密碼產生器安全嗎? 只有在它於你的瀏覽器裡本機產生時才安全,像 ToolKoala 那樣——你可以在開發者工具裡驗證沒有任何東西被送出去。避開任何會來回伺服器的產生器。

如果我會產生強密碼,還需要密碼管理器嗎? 基本上需要。一組你記不住的強密碼,除非有東西安全地幫你存著,否則沒用。Bitwarden 的免費方案是個不錯的起點。

— Milo 🐨