📖 密码安全完全指南

什么决定了密码的强度？

密码强度的本质是信息熵（Entropy），即攻击者破解密码所需要尝试的可能组合数量。信息熵越高，密码越安全。影响密码熵的两个关键因素是：字符集大小（可选字符的种类数量）和密码长度（字符个数）。值得注意的是，密码长度对熵的贡献是指数级的，而字符集大小的贡献是线性的，因此长度比复杂度更重要。

举例来说：一个16位纯小写字母密码的熵为 16 × log2(26) ≈ 75.2 bits，而一个8位包含大小写字母、数字和符号的密码熵为 8 × log2(95) ≈ 52.6 bits。前者反而更难破解！这就是为什么现代安全标准越来越强调"长度优先"的原因。

密码熵的计算方法

不同密码配置的暴力破解时间估算

以下表格基于攻击者使用高端GPU集群（每秒尝试1000亿次哈希计算）的假设，展示不同密码长度和字符集组合的预估破解时间：

NIST密码指南要点（SP 800-63B 最新版）

美国国家标准与技术研究院（NIST）发布的数字身份指南是全球最权威的密码安全标准之一。以下是最新版本的核心建议：

• 最低长度要求：用户密码至少8个字符，建议支持最长64个字符以上
• 取消强制复杂性规则：不再要求必须包含大写、小写、数字、符号的混合（因为这类规则往往导致用户选择更容易记忆但实际更弱的密码，如"Password1!"）
• 取消定期更换密码：除非有证据表明密码已泄露，否则不应强制用户定期更换密码
• 黑名单检测：新密码应与已知泄露密码数据库（如 HaveIBeenPwned）进行比对
• 禁止密码提示：不应提供"密码提示"功能，因为这等于泄露了密码线索
• 支持粘贴密码：网站不应禁止密码框的粘贴功能，因为这会妨碍密码管理器的使用

全球最常见的泄露密码 TOP 10

根据多次大规模数据泄露事件的统计，以下密码反复出现在泄露数据库中。如果你的任何账户使用了这些密码，请立即更改：

密码管理器推荐与对比

手动记忆大量独立强密码几乎不可能，密码管理器是解决这一难题的最佳方案。你只需要记住一个足够强的"主密码"，其余密码全部由管理器自动生成和填充。

密码短语（Passphrase）方法

密码短语是由多个随机单词组合而成的密码，如"correct-horse-battery-staple"。这种方法由安全专家推荐，因为它同时具备高强度和易记忆的优点。

• 原理：假设从一个7776个单词的词典中随机选择4个单词，组合的熵为 4 × log2(7776) ≈ 51.7 bits；选择6个单词则达到 77.5 bits
• Diceware方法：使用五个骰子的组合来从预设词典中随机选取单词，确保真正的随机性
• 建议：至少使用5-6个随机单词，单词之间用连字符或空格分隔
• 增强技巧：在密码短语中随机插入一个数字或符号（如"correct-Horse7-battery-staple"），可进一步增加熵

多因素认证（MFA/2FA）

即使拥有强密码，单一的密码保护仍然存在风险（如钓鱼攻击、键盘记录器）。多因素认证通过要求额外的验证因素来提供深层防护：

• TOTP验证器应用：Google Authenticator、Authy等，推荐首选
• 硬件安全密钥：YubiKey、Google Titan Key，安全级别最高
• 短信验证码：安全性最低（易受SIM卡交换攻击），仅作为备选
• 生物识别：指纹、面部识别，作为便捷性补充