密碼生成器(加密安全 + 強度評估)

採用 crypto.getRandomValues(銀行級別的隨機源),不是 Math.random。可調節長度與字元種類,熵值顯示直觀告訴你密碼有多強。

運作原理

為什麼本生成器真的安全

網上多數「密碼生成器」使用 Math.random(),其輸出可被攻擊者根據少量歷史值預測。本工具使用 Web Crypto API 的 crypto.getRandomValues,這與 HTTPS 會話和作業系統金鑰鏈使用的是同一套加密隨機源。每個字元都從所選字元集中均勻取樣。

生成完全在您的瀏覽器中完成。密碼不會透過網路傳輸,也不會接觸我們的伺服器。即使域名被入侵,攻擊者也沒有任何可竊取的資料,因為我們什麼都不存。

強度評估的演算法

強度標籤由熵決定: bits = log₂(字元集大小) × 長度。10 位僅小寫字母的密碼 = log₂(26) × 10 ≈ 47 位,容易被攻擊者離線破解。16 位包含全部 4 類字元的密碼 ≈ 105 位,足以應對絕大多數威脅。區間為: <50 弱、50–80 中、80–128 強、≥128 極強。

對應到現實: 弱 = 中等攻擊者數日可破; 中 = 殭屍網路數年; 強 = 當前不存在現實威脅; 極強 = 包括量子計算在內的未來威脅也有充足餘量。

長度比複雜度更重要

數學上,長度每加一個字元,搜尋空間約翻倍(取決於字元集);字元集每增加一類只是略微擴大空間。20 位僅小寫比 12 位混合大小寫+符號熵更高且更易輸入。若想記憶,從 7000 詞列表裡隨機選 4 個詞 ≈ 51 位熵,與 8 位強混合密碼相當。

「排除易混淆字元」選項會去除 0/O、I/l/1 等易混淆字元,密碼強度略降但更易朗讀或抄寫。列印或轉錄時建議開啟,密碼管理器場景下建議關閉。

常見問題

›這真的安全嗎?

是的。使用 Web Crypto API 的安全隨機源,與 HTTPS 基礎設施同源。瀏覽器廠商提供的實現經過審計。

›密碼會離開我的瀏覽器嗎?

永遠不會。生成、熵值計算、複製到剪貼簿都在本地完成。我們沒有接收端點。

›16 位夠用嗎?

對線上賬號幾乎總是夠。密碼管理器主密碼或加密金鑰建議 24+,或 6 個詞的密碼短語。

›強度評估為何對我的長密碼不積極?

評估只看你啟用了哪些字元類。僅小寫時字元集只有 26,長度增加的收益有限。

›「位」是什麼意思?

你的設定可能產生的密碼總數的 log₂。80 位 ≈ 1.2 × 10²⁴ 種可能,遠超當今暴力破解能力。

›應該啟用符號嗎?

條件允許時建議啟用。每個符號大致增加一個數字+字母的熵。某些網站不允許時,增加長度補足。

›「排除易混淆字元」值得用嗎?

需要手動輸入或抄寫時啟用。僅密碼管理器使用時關閉即可——可讀性收益沒意義。

›同樣的密碼可能生成兩次嗎?

理論上可能,但即便 50 位熵,每兩次生成碰撞的機率也是 1/2⁵⁰ ≈ 10¹⁵ 分之一,實際不可能發生。