如何在线生成安全密码

为什么密码强度比以往更重要

弱密码仍然是数据泄露的头号原因。攻击者使用凭据填充——在数百个网站上尝试泄露的邮箱/密码组合——来大规模入侵账户。一个重复使用的密码可能导致整个身份被接管。

强密码生成器消除了人为创建密码的偏差。与其使用 "Summer2026!"（可预测，几秒内被破解），不如生成类似 k7#Bx9$mPq!2nRw 的密码——随机、独特且几乎无法破解。我们的 密码生成器 在浏览器中即时创建这些密码。

什么让密码变强？

密码强度取决于熵——衡量不可预测性的指标。熵越高，攻击者需要尝试的组合就越多：

• 8 位纯小写：26⁸ = 约 2080 亿种组合（GPU 几小时内可破解）
• 12 位大小写+数字：62¹² = 约 3.2 × 10²¹ 种组合（需要数百年才能破解）
• 16 位全字符类型：95¹⁶ = 约 4.4 × 10³¹ 种组合（超出宇宙热寂时间）

熵 = log₂(字符池大小 ^ 长度)

示例：16 个字符，来自 95 个可打印 ASCII 字符
熵 = log₂(95^16) ≈ 105 位

随机密码 vs 可记忆密码

随机密码

完全随机的字符串提供最大安全性。它们非常适合密码管理器，因为你不需要手动输入。缺点：无法记忆。

Xk9#mP$vN2@wRj7!   (随机，16 位)
correct-horse-battery-staple   (密码短语，4 个随机单词)

密码短语

密码短语将随机单词串联在一起——更容易记忆，同时仍提供强大的熵。从 7776 个单词的词典中随机选择 4 个单词，可提供约 51 位的熵，对于可记忆密码来说已经不错了。

常见密码错误

• 使用个人信息：宠物名、生日和运动队名都很容易被猜到。
• 简单的替换："P@ssw0rd" 这种符号替换在 2026 年骗不了任何人——彩虹表覆盖了所有变体。
• 重复使用密码：一次泄露就会暴露你使用相同密码的所有网站。
• 顺序模式："Abcd1234!" 看起来复杂，但对现代破解工具来说几乎没有熵。

密码生成器的工作原理

优质的密码生成器使用加密安全的随机数生成器（CSPRNG）来选择字符。在浏览器中，这意味着使用 crypto.getRandomValues()，而不是 Math.random()。

// 正确：加密安全
const array = new Uint8Array(16);
crypto.getRandomValues(array);
const chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*';
const password = Array.from(array, byte => chars[byte % chars.length]).join('');

// 错误：可预测，不可用于密码
const bad = Math.random().toString(36).slice(2);

密码管理器：最佳防线

理想的安全设置是将生成的主密码（记住但不存储）与密码管理器结合，后者为每个网站保存唯一的随机密码。这样你只需要记住一个强密码。

• 为每个账户生成唯一密码
• 尽可能启用双因素认证
• 使用密码管理器内置的生成器创建新账户密码

团队密码策略

现代安全指南（NIST SP 800-63B）已从强制复杂性规则转向：

• 最少 12 个字符（越长越好）
• 不需要定期轮换（除非怀疑泄露）
• 对照泄露数据库检查（Have I Been Pwned）
• 所有账户要求 MFA

常见问题

密码应该多长？

随机密码至少 16 个字符，密码短语至少 4 个随机单词。越长越好——长度比复杂度对熵的贡献更大。

使用在线密码生成器安全吗？

如果它完全在浏览器中运行就是安全的，比如我们的 密码生成器。随机性在客户端使用 Web Crypto API 生成——不会向任何服务器传输数据。

应该定期更换密码吗？

仅在怀疑泄露时更换。强制定期更换会导致更弱的密码（人们只是递增一个数字）。为每个网站使用唯一密码，在收到泄露通知时更换。

生物识别可以替代密码吗？

生物识别可以补充密码但不能替代它们。如果指纹泄露你无法更换。将生物识别用于便利性，以强密码作为基础。

总结

强而独特的密码是在线安全的基础。使用我们的 密码生成器 创建加密安全的密码，支持自定义长度、字符集和格式选项——全部在浏览器本地处理。