密码强度测试器 (熵 + 破解时间)

密码「熵」是什么

熵以位测量不可预测性。30 位熵的密码平均需要 2³⁰ ≈ 10 亿次猜测才能破解。70+ 位通常被视为强; 80+ 位优秀。

公式: 熵 = 长度 × log₂(字符集大小)。'abcdefgh' (8 字符, 仅小写) = 8 × log₂(26) ≈ 37.6 位。'aA1!aaaa' (8 字符, 全字符集) = 8 × log₂(95) ≈ 52.6 位 — 但破解时间比 52 位暗示的差得多, 因为 'aaaa' 是常见模式。

破解时间为何差异巨大

离线 GPU: 泄露的密码哈希被离线攻击。现代 GPU 每秒可猜 10⁹+ MD5 哈希; bcrypt 哈希每秒只 10⁴-10⁵。这里的预估假设 GPU 快速哈希。

在线快速: 攻击者直接攻击登录 API。多数 API 有某种速率限制; 1000 次/秒是防御薄弱端点的高端预估。

在线慢速: 有严格速率限制、账户锁定和 CAPTCHA 的良好防御端点。100 次/秒慷慨; 许多系统每分钟只允许 5-10 次。

这些预估忽略实际世界因素如字典攻击 (比暴力破解更快找到常见密码) 和密码重用 (破解一个网站的泄露帮助破解其他)。

什么使密码强

长度胜复杂度: 16 字符密码短语 'correct horse battery staple' 比折磨的 8 字符 'P@ssw0rd!' 更强。2011 年 XKCD 见解仍成立: 4 个随机单词给 ~44 位熵。

避免模式: 日期、名字、'123'、'qwer'、重复字符都减少实际熵到公式值以下。攻击工具包括广泛的「基于规则」变换 (如 'password' → 'P@ssw0rd!')。

用密码管理器: 人类选模式; 管理器不会。Bitwarden、1Password、KeePass 每个网站生成真随机 16+ 字符全字符集密码。你需要记住的只有主密码 — 那个应该是长记忆短语。