🔐 密码强度检测
评估密码安全性,给出改进建议
字符池大小
62
可能组合数
3.23e+21
信息熵
71.5 bits
暴力破解时间
10千年
密码强度检测使用说明
密码强度检测工具通过分析密码长度和字符集组合来评估密码的安全性。选择密码长度和启用的字符类型(大小写字母、数字、特殊符号),工具会计算字符池大小、可能组合数、信息熵(Entropy)以及理论上的暴力破解时间。
信息熵是衡量密码强度的核心指标——熵值越高,密码越安全。本工具假设攻击者每秒尝试100亿次(10¹⁰)的暴力破解速度来估算破解时间,帮助用户直观理解不同密码配置的安全差异。
密码强度计算公式
【字符池大小】N = 各启用字符集的大小之和 小写26 + 大写26 + 数字10 + 特殊32 = 94(全开) 【可能组合数】Combinations = N^length 【信息熵】Entropy = log₂(N^length) = length × log₂(N) (单位:bits) 【破解时间】Time = N^length / 10^10 秒 【强度等级标准】 <28 bits:极弱 | 28-36 bits:弱 36-60 bits:中等 | 60-80 bits:强 >80 bits:极强
实际计算案例
📋
【案例1】8位纯数字密码
长度=8,仅数字(10个字符)
组合数 = 10^8 = 1亿
熵值 = 8 × log₂(10) ≈ 26.6 bits → 极弱
破解时间:约0.01秒
【案例2】12位混合密码(大小写+数字)
长度=12,字符池=62
组合数 = 62^12 ≈ 3.23×10²¹
熵值 = 12 × log₂(62) ≈ 71.5 bits → 强
破解时间:约10年
【案例3】16位全类型密码
长度=16,字符池=94
组合数 = 94^16 ≈ 4.27×10³¹
熵值 = 16 × log₂(94) ≈ 105.1 bits → 极强
破解时间:数十亿年+
常见注意事项
💡
- 密码长度比复杂度更重要——16位纯字母比8位混合字符更强
- 避免使用个人信息(生日、姓名、手机号)作为密码组成部分
- 不同账户应使用不同密码,避免"一码通天下"
- 建议使用密码管理器生成和存储高强度随机密码
- 定期更换重要账户密码(建议3-6个月一次)
- 启用双因素认证(2FA)可大幅提升账户安全性
应用场景列表
- - 个人账号:评估社交媒体、邮箱、网银等密码安全性
- - 企业安全:制定内部系统的密码策略最低要求
- - 合规审计:满足GDPR、等保2.0等安全合规要求
- - 安全教育:帮助非技术人员理解密码安全的重要性
- - 开发测试:验证密码强度校验逻辑是否合理
密码安全的最佳实践
除了增加长度和复杂度外,现代密码安全还应注意:(1) 使用 passphrase(密码短语)代替传统密码——如"Correct-Horse-Battery-Staple"既好记又长;(2) 每个网站使用唯一密码,配合密码管理器(如Bitwarden、1Password);(3) 关键账户务必开启两步验证;(4) 警惕钓鱼攻击——再强的密码在钓鱼面前也无能为力。
NIST最新指南(SP 800-63B)建议不再强制定期更改密码,而是鼓励使用长密码短语和密码管理器。频繁改密码反而导致用户选择更弱的模式化密码。