免费在线密码生成器
即时创建强壮、独特的密码。调整长度、字符类型,一键复制。
什么才真正让密码变得强大
密码的强度来自熵,攻击者必须猜出的随机性比特数。计算公式为 log₂(字符集大小 ^ 长度):从 94 个可打印 ASCII 字符中均匀抽取的 12 位密码大约有 79 比特的熵;16 位的约为 105 比特。现代安全指南认为,超过 80 比特的强度在可预见的未来都能抵抗离线暴力破解攻击,即便面对专用硬件也是如此。NIST SP 800-63B(美国联邦数字身份现行指南,最初于 2017 年发布,至 2024 年持续修订)也明确建议同样的做法:最少 8 个字符,最多允许 64 个,接受所有可打印的 Unicode(包括空格)。关键的是,这份指南推翻了几十年来的糟糕密码建议,它告诉管理员停止强制定期更换密码,停止强制使用「必须包含一个符号」之类的组合规则,而是开始检查新密码是否出现在泄露语料库中(Have I Been Pwned 的 Pwned Passwords API,Troy Hunt 于 2018 年创建,是标准实现)。2026 年的实用建议:长、随机、每个账户唯一、保存在密码管理器中。
口令短语,Diceware 传统
口令短语是用随机词而非随机字符构造的密码。这一技术由 Arnold G. Reinhold 的 Diceware 于 1995 年正式提出(一个包含 7,776 个常用英文短词的词表,每个词都对应一个 5 位的骰子地址(5⁵ = 7,776)。掷五颗骰子,查找对应词,重复任意多次即可。六个 Diceware 词约提供 77 比特的熵)相当于一个 12 位的随机 ASCII 密码,但对人类来说更易输入和记忆。XKCD 漫画 #936(「correcthorsebatterystaple」,2011 年 9 月)让这一概念广为人知,改变了安全文化;密码管理器和 Bitwarden、1Password、KeePassXC、EFF 更新的词表等安全默认项目都支持口令短语生成。优势不在于安全性(熵相同的字符密码和单词密码在面对暴力破解时强度相当)而在于可输入性。当你确实需要手动输入密码时(密码管理器的主密码、整盘加密密码、密码管理器自动填充之前的一切),口令短语就是合适的格式。
为什么随机性至关重要,以及 CSPRNG 的问题
密码强度的前提是密码均匀随机。攻击者能预测的模式(键盘行走(qwerty)、日期、字典词、l33t 替换)会比单纯的字符计数所暗示的快得多地销毁熵。Hashcat 和 John the Ripper 这两款标准的密码破解工具会先尝试数百万种常见模式;遵循其中任一模式的 8 位密码会在几秒内被攻破。本生成器使用浏览器的 Web Crypto API,具体是 crypto.getRandomValues(),一个从操作系统熵池中获取数据的密码学安全随机数生成器(CSPRNG)。与 Math.random()(速度快但可预测,绝不能用于安全场景)不同,crypto.getRandomValues() 正是浏览器用来生成 TLS 会话密钥的同一原语。其随机性适用于任何密码学用途,包括密码生成。
不可或缺的伴侣:使用密码管理器
生成强而唯一的密码只有在你有地方存储它们时才有用。2026 年密码管理器的格局:Bitwarden(Kyle Spearrin,2016 年,开源,免费版可选付费升级)是占主导地位的开源选择。1Password(AgileBits,2006 年成立)是精致的商业选项。KeePassXC(KeePass 的社区分支,完全离线,基于文件的保险库)适合不信任云同步的人。Apple 的iCloud 钥匙串、Google Password Manager 和 Microsoft Edge 的密码管理器是各平台内置的零摩擦默认选项。Proton Pass(2023 年)是 Proton/ProtonMail 团队推出的注重隐私的新选项。浏览器内置管理器摩擦最小;专用管理器提供更好的跨平台同步和额外功能。2026 年的推荐做法:使用任何信誉良好的密码管理器 + 每个账户使用唯一生成的密码 + 一个强而唯一的主密码(这是你真正需要记住的唯一密码)+ 高价值账户搭配硬件安全密钥(YubiKey 或同类设备)。
您的密码有多强?
从 94 个可打印 ASCII 字符中均匀抽取的 12 位密码共有 94¹² ≈ 4.75 × 10²³ 种可能值,约 79 比特的熵。以每秒 1 万亿次猜测(高端 GPU 平台可实现)的速度暴力破解一个 79 比特空间,大约需要 19,000 年。每多一个字符,搜索空间就乘以 94,破解时间大约每 1.4 个字符翻一倍。一个 16 位密码以同样速度破解需要约 1.5 万亿年。结论:12 个字符对大多数账户来说已经足够;16 个或更多则适用于主密码、加密密钥和高价值账户。本生成器的强度计基于你启用的字符集和所选长度估算熵值。
常见问题
此密码生成器安全吗?
安全。我们使用 Web Crypto API (crypto.getRandomValues),它提供加密安全的随机数。不存储、不传输、不记录任何密码。所有操作都在您的浏览器中运行。
我应该使用多长的密码?
我们建议对重要账户至少使用 16 个字符。为获得最高安全性(主密码、加密密钥),请使用 20-32 个字符。密码越长,越难破解。
我应该包含符号吗?
尽可能包含。符号可以大幅增加可能的组合数量。然而,某些网站限制了可以使用的字符。如果网站拒绝符号,请取消选中该选项并增加长度以作补偿。
为什么我永远不应该重复使用密码?
如果一个网站遭到入侵,攻击者会在其他网站上尝试相同的电子邮件/密码组合(凭据填充)。为每个账户使用唯一的密码意味着单次入侵不会危及您的其他账户。