安全密码应该有多少个字符？

至少 12 个字符，建议 16 个字符以上。虽然 NIST 指南将 8 个字符设为最低标准，但目前安全专家普遍建议 16 个字符以上。

在密码中加入符号就安全了吗？

仅添加符号是不够的。像"password1!"这样只在末尾添加符号的密码很容易被字典攻击破解。重要的是密码整体的随机性。

我记不住密码生成器创建的密码，该怎么办？

建议使用密码管理器。您只需记住一个主密码，其他所有密码都会自动填充。请将主密码设置为 20 个字符以上的随机字符串。

安全密码的创建方法

本文约需 6 分钟阅读

在安全使用互联网服务方面，密码强度至关重要。然而，许多人因为优先考虑易记性，设置了容易被猜到的密码。根据 NordPass 2024 年的调查，全球最常用的密码仍然是「123456」，破解时间不到 1 秒。更多令人震惊的案例请参阅最糟糕密码排行榜。本文将介绍创建难以被攻击者破解的密码的具体方法，以及利用 passtsuku.com 的实用方案。

为什么需要强密码

常见的密码破解方法包括暴力破解攻击（穷举攻击）和字典攻击。暴力破解攻击会按顺序尝试所有可能的字符组合。而字典攻击则使用「password」「123456」「qwerty」等常用密码列表来尝试破解。

这些攻击之所以有效，归根结底是计算量的问题。密码的组合数由「可用字符数的密码长度次方」决定。仅使用 26 种英文小写字母的 6 位密码，组合数为 26 的 6 次方 = 约 3 亿种，但现代 GPU 每秒可进行数十亿次哈希计算，不到 1 秒即可尝试所有组合。这就是短密码危险的本质原因。

根据日本信息处理推进机构 (IPA) 的调查，仅由英文小写字母组成的 6 位密码可能在几秒内被破解。Hive Systems 2025 年的调查报告指出，使用最新 GPU (NVIDIA RTX 5090) 时，仅由英文小写字母组成的 8 位密码只需几分钟即可暴力破解。与上一代 RTX 4090 相比，处理性能大幅提升，短密码的危险性逐年增加。另一方面，如果使用大小写字母、数字和符号组合的 16 位以上密码，即使使用最新 GPU 也需要数万亿年才能破解。密码的长度和字符种类的多样性是安全的关键。

想要系统学习密码强度基础知识的读者，安全入门相关书籍 (Amazon)也可作为参考。

强密码的 3 个条件

条件 1：确保足够的长度

对密码强度影响最大的因素是「长度」。NIST（美国国家标准与技术研究院）的 SP 800-63B 指南规定密码最低为 8 个字符，但目前安全专家的共识是最少 12 个字符，推荐 16 个字符以上。每增加 1 个字符，组合数就会乘以字符种类数 - 例如使用 95 种字符时，仅增加 1 个字符就能使候选数增加 95 倍。在 passtsuku.com 上，只需操作滑块即可自由设置 4 到 128 个字符的长度。请先以 16 个字符以上为目标进行设置。

条件 2：组合多种字符类型

包含大写字母 (A–Z)、小写字母 (a–z)、数字 (0–9)、符号 (!@#$% 等) 全部 4 种类型，可以大幅提升密码强度。在 passtsuku.com 上，可以通过屏幕上方的开关选择要使用的字符类型。除非有特殊原因，建议开启全部 4 种类型。

例如，仅使用英文小写字母的 8 位密码约有 2,090 亿种组合 (26 的 8 次方)，而使用全部 4 种类型 (约 95 种) 的 8 位密码则增加到约 6 京 3,000 万亿种组合 (95 的 8 次方)。仅增加字符种类就能使破解难度成倍增长。要从数值上理解这种强度差异，请参阅密码熵的解说文章。

条件 3：使用随机字符串

人类想出的密码会不自觉地产生规律。姓名和生日的组合、按键盘排列的字符串（如「asdfghjk」）、仅在单词末尾加数字的密码（如「Summer2024」）都很可能被包含在攻击者的列表中，非常危险。

passtsuku.com 使用加密安全的随机数生成密码。由于完全不受人类习惯和偏好的影响，可以获得真正随机的字符串。所有生成处理都在浏览器内完成，密码不会通过网络发送到外部。

活用 passtsuku.com 的强度计

passtsuku.com 配备了实时显示生成密码强度的强度计。该强度计基于信息论指标「熵」进行计算。

熵以比特数表示，值越大意味着密码越难被猜测。具体来说，熵每增加 1 比特，候选数就翻倍。也就是说，80 比特的密码比 40 比特的密码多 2 的 40 次方倍（约 1 万亿倍）的候选数。请参考以下标准。

35 比特以下：弱 - 不足以用于在线服务
36～59 比特：较弱 - 对于不重要的服务尚可接受
60～119 比特：强 - 适用于一般网络服务到金融服务
120 比特以上：非常强 - 最高级别的安全性

使用大小写字母、数字和符号全部 4 种类型生成 16 位密码，可获得约 105 比特的熵。这对于金融服务也具有足够的强度。重要账户请以 80 比特以上为目标。

常见误解：「加入符号就安全」是真的吗

「在密码中加入 1 个符号就安全」这种误解根深蒂固。例如，像「password1!」这样仅在末尾添加数字和符号的密码，很容易被攻击者的基于规则的字典攻击破解。攻击者熟知「常用单词 + 数字 + 符号」的模式，并将这类转换规则纳入了字典中。

真正重要的不是增加字符种类本身，而是密码整体的随机性。「P@ssw0rd!」虽然包含了 4 种字符类型，但由于原始单词「Password」很容易被猜到，实际强度并没有看起来那么高。使用 passtsuku.com 这样的随机生成工具，生成完全脱离人类预测模式的字符串，才能实现真正的安全。

应避免的密码模式

无论密码多长，以下模式都容易被攻击者识破，请务必避免。

人类在密码中常用的模式有其历史渊源，详情请参阅密码的历史与文化一文。

直接使用字典中的单词（「password」「dragon」「monkey」）
基于个人信息的字符串（姓名、生日、电话号码、宠物名）
按键盘排列的字符串（「qwerty」「1234567890」）
重复相同字符（「aaaaaa」「111111」）
重复使用过去泄露的密码
在多个服务中使用相同的密码

使用 passtsuku.com 生成的随机密码，就不必担心落入这些模式。为每个服务生成不同的密码，并使用密码管理器进行管理，这是最安全的运用方式。

需要注意的是，密码管理器本身的主密码需要设置得特别强。如果主密码被破解，所有保存的密码都将面临风险。建议主密码使用 20 个字符以上的随机字符串。

关于密码重复使用为何危险及其具体机制，网络安全实践书籍 (Amazon)中也有详细解说。

密码强度自检清单

请使用以下清单检查您当前使用的密码是否足够安全。如果有任何一项回答为「否」，建议使用 passtsuku.com 生成新密码。

是否有 12 个字符以上的长度？
是否包含大写字母、小写字母、数字、符号中的 3 种以上？
是否不包含字典中的原始单词？
是否不包含姓名、生日、电话号码等个人信息？
是否没有在其他服务中重复使用？
是否不是过去数据泄露中流出的密码？（可通过 Have I Been Pwned 等确认）
是否使用密码管理器进行管理？

密码管理方法比较

生成安全密码后，如何管理它们至关重要。下面比较主要管理方法的优缺点。

专用密码管理器：在加密保险库中集中管理，支持自动填充。主密码的管理是最重要的课题
浏览器内置保存功能：方便，但不同产品的同步和安全级别有所差异。详情请参阅浏览器密码保存功能的安全性
纸质记录：由于离线，不易受到远程攻击，但存在物理丢失或被盗的风险。需要保存在保险箱等安全的地方
电子表格或文本文件：由于未加密，不推荐使用。如果电脑感染恶意软件，所有密码可能一次性泄露

密码生成方法比较

密码的生成方法也有多种选择。了解各自的特点，选择适合自己的方法吧。

方式	随机性	便捷性	安全性	推荐对象
手动创建	低	高	低	不推荐（容易产生规律）
浏览器自动生成	高	高	中	希望在一个浏览器内完成的用户
专用密码管理器	高	中	高	管理大量账户的用户
passtsuku.com	高	高	高	希望在浏览器内完成并确认强度的用户

手动创建的密码不可避免地会反映人类的思维模式，因此更容易被攻击者猜到。浏览器自动生成虽然方便，但字符数和字符类型的自定义可能有限。passtsuku.com 使用加密安全的随机数，可以自由设置字符数和字符类型，还能通过强度计即时确认熵值。无需安装、直接从浏览器使用也是一大优势。

passtsuku.com 的推荐设置

最后，总结一下使用 passtsuku.com 生成安全密码时的推荐设置。

字符数：16 个字符以上（重要账户 20 个字符以上）
大写字母：开启
小写字母：开启
数字：开启
符号：开启（如果服务允许的话）

部分服务可能限制符号的使用。在这种情况下，关闭符号并将字符数增加到 20 个以上，即可确保足够的强度。如果 passtsuku.com 的强度计显示 80 比特以上的熵，就可以放心使用该密码。

到底该怎么做 - 分级建议

读到这里，您可能会觉得「信息太多，不知道从哪里开始」。下面按级别整理了应该立即着手的事项。

初学者：先做好这 3 件事

如果您是第一次关注密码安全，只需实践以下 3 点就能大幅提升安全性。

在 passtsuku.com 上生成 16 个字符以上的密码，并设置为主要邮箱账户的密码。邮箱账户用于其他服务的密码重置，因此应优先保护
将生成的密码保存在浏览器的保存功能中。比写在笔记本上更安全、更方便
为邮箱和银行账户设置两步验证。即使密码泄露，两步验证也能防止未经授权的登录

中级用户：迈向正式的密码管理

如果您已经做好了基本防护，让我们更进一步提升密码管理水平。

为每个服务使用不同的密码。密码重复使用意味着一个服务的泄露会直接导致所有账户被入侵
引入密码管理器，并使用 passtsuku.com 生成 20 个字符以上的随机主密码
定期在 Have I Been Pwned 上检查邮箱地址的泄露情况，发现泄露的服务立即更改密码
为重要账户（金融、邮箱、云存储）设置熵值 100 比特以上的密码

现在就能做的事

在 passtsuku.com 上生成 16 个字符以上的密码，并设置为主要邮箱账户的密码
为邮箱账户和银行账户启用两步验证
在 Have I Been Pwned (haveibeenpwned.com) 上检查自己邮箱地址的泄露情况
列出重复使用的密码，逐步为每个服务更换不同的密码
考虑引入密码管理器，并使用 passtsuku.com 生成主密码

常见问题

安全密码应该有多少个字符？: 至少 12 个字符，建议 16 个字符以上。虽然 NIST 指南将 8 个字符设为最低标准，但目前安全专家普遍建议 16 个字符以上。
在密码中加入符号就安全了吗？: 仅添加符号是不够的。像"password1!"这样只在末尾添加符号的密码很容易被字典攻击破解。重要的是密码整体的随机性。
我记不住密码生成器创建的密码，该怎么办？: 建议使用密码管理器。您只需记住一个主密码，其他所有密码都会自动填充。请将主密码设置为 20 个字符以上的随机字符串。

这篇文章对您有帮助吗？

生成密码 →