什么是密码强度检测器?
密码强度检测工具可以实时分析您的密码,评估其抵御破解攻击的能力。它会检查常见模式、字典词汇和信息熵,为您提供准确的强度评分。使用本工具确保您的密码符合现代安全标准。
工具使用 Dropbox 开源的 zxcvbn 库,内置 3 万常用密码、泄漏数据库、英文词典和姓氏列表,还能识别日期、键盘连击、l33t 替换等可预测模式。评分 0-4,同时给出四种攻击场景下的破解时间:在线限速、在线无限速、离线慢哈希、离线快哈希。
使用方法
- 在输入框中输入或粘贴您的密码,即可开始分析
- 查看强度评分、预计破解时间以及关于弱点的具体反馈
- 根据建议改进密码,直到达到「强」或「非常强」的评级
何时使用
- 在把一条好记的密码用作密码管理器主密码前,先做一次理智检查。
- 测试公司的密码策略:「CompanyName2024!」真的够强吗?
- 向不太懂技术的家人演示,为什么用宠物名当密码不安全。
结果
输入 'Tr0ub4dor&3' 会发现它的评分仅为中等——虽然使用了混合字符,但遵循了可预测的替换模式。相比之下,像 'correct-horse-battery-staple' 这样的随机短语密码虽然只使用小写字母和连字符,评分反而更高。
常见问题
- 评分 0 到 4 各自代表什么?
- 0 太容易猜中,任何在线攻击不到一秒搞定;1 在线攻击需要数小时,离线几秒就破;2 能扛住在线攻击但离线一击即破;3 是合理安全;4 即使面对每秒 100 亿次尝试的 GPU 农场也要几个世纪。
- 为什么「Tr0ub4dor&3」比「correct horse battery staple」分数还低?
- 前者遵循一个被攻击者熟知的模式:字典单词 + 可预测替换(0 换 o、4 换 a)+ 特殊符号 + 数字,攻击规则表会优先尝试这种组合。4 个随机常见单词组合多得多,熵反而更高。
- 我输入的密码会被发送到服务器吗?
- 强度评分完全在你的设备上、当前页面的 JavaScript 里完成,输入时不会触发任何网络请求。唯一可选的例外是泄漏检测:点击后只会发送密码 SHA-1 哈希值的前 5 个字符(k-匿名),密码本身始终不离开输入框。关闭页面后也不留任何记录。
- 提示说我的密码在数据泄漏里出现过,真的吗?
- 有两层判断。即时警告来自 zxcvbn 内置的 3 万条常用密码列表(来自 RockYou 等泄漏),在本地离线匹配。想要实时结果,请点击「检测是否泄漏」——它用 k-匿名方式查询 HaveIBeenPwned 数据库(只发送哈希前 5 个字符),并告诉你该密码在真实泄漏中出现了多少次。
- 应该参考哪一种破解时间场景?
- 大多数账户关注「离线慢哈希」这一项,因为数据库泄漏后攻击者跑 hashcat 就是这种场景。目标至少达到「数个世纪」,通常意味着评分 3-4 且长度 12 位以上。