无需登录 数据私有 本地保存

密码强度实时检测器 - 估算破解时间

10
0
0
0
密码仅在您的浏览器中检测,不会上传或存储
强度分数 / 100
等待输入...
密码熵 (bits)
安全检查项
至少 8 个字符
包含小写字母 (a-z)
包含大写字母 (A-Z)
包含数字 (0-9)
包含特殊字符 (!@#$%^&*)
不是常见弱密码
长度达到 12 个字符 (推荐)
估算破解时间
在线攻击 ~1,000次/秒
针对登录表单的速率受限攻击
离线快速攻击 ~100亿次/秒
数据库泄露后破解MD5/SHA哈希
离线慢速攻击 ~10,000次/秒
针对bcrypt/PBKDF2强哈希算法
密码安全常见问题
一个强密码通常具备以下特征:长度至少12个字符,同时包含大小写字母、数字和特殊字符(共4种字符类型中的至少3种)。更重要的是,密码不应包含个人信息(如生日、姓名)、不应是常见词汇或键盘序列(如qwerty、123456)。使用随机生成的密码或由多个随机单词组成的密码短语(passphrase)也是很好的选择。密码强度通常用"熵"(entropy)来衡量,熵值越高,破解难度越大。
长度比复杂度更重要。从数学角度看,密码的可能组合数 = 字符集大小长度。增加长度会使组合数呈指数级增长,而扩大字符集只是线性增加底数。例如,一个16位的纯小写字母密码(2616 ≈ 4.4×1022种组合)比一个8位的混合字符密码(958 ≈ 6.6×1015种组合)强约670万倍。因此,推荐使用较长的密码(至少12-16个字符),即使字符类型不那么丰富。
暴力破解(Brute Force Attack)是通过穷举所有可能的字符组合来猜测密码的方法。攻击者通常会先从常见密码列表(字典攻击)开始,然后按顺序尝试所有组合。破解速度取决于攻击场景:在线攻击受限于网络延迟和服务器速率限制(约1,000次/秒),而离线攻击(获取到哈希后的数据库)可以利用GPU集群达到每秒数十亿甚至万亿次尝试。使用bcrypt、Argon2等慢速哈希算法可以显著降低离线攻击速度。
在线攻击直接针对运行中的Web服务,每次猜测都需要发送网络请求并等待服务器响应,通常受到速率限制(rate limiting)、账户锁定策略和网络延迟的约束,实际速度约1,000次/秒。而离线攻击发生在攻击者已经获取到密码哈希数据库之后,他们可以在本地使用高性能GPU(如RTX 4090)或专用ASIC矿机进行无限制的高速计算。以MD5为例,单张高端GPU可达每秒数百亿次哈希计算。这也是为什么网站应该使用bcrypt、Argon2id等内存硬性哈希算法来存储密码。
记住所有网站的不同强密码确实困难,推荐使用密码管理器(如Bitwarden、1Password、KeePass、LastPass等)。它们可以:自动生成高熵随机密码、安全加密存储所有密码、跨设备同步、自动填充登录表单。您只需要记住一个主密码(master password)即可。另一种方法是使用密码短语(passphrase)——将4-6个随机单词用分隔符连接(如"correct-horse-battery-staple"),既安全又好记。
双因素认证(2FA)为您的账户增加了额外一层安全保护。即使密码被泄露或破解,攻击者仍然需要第二个因素(通常是手机验证码、TOTP动态码或硬件安全密钥)才能登录。这极大降低了账户被盗风险。推荐使用TOTP应用(如Google Authenticator、Authy)或硬件密钥(如YubiKey),比短信验证码更安全。对于重要账户(邮箱、银行、域名管理),务必开启2FA。
🔧 相关工具