什麼是密碼強度檢測器?
密碼強度檢測工具可即時分析您的密碼,評估其抵禦破解攻擊的能力。它會檢查常見模式、字典詞彙和資訊熵,為您提供準確的強度評分。使用本工具確保您的密碼符合現代安全標準。
工具使用 Dropbox 開源的 zxcvbn 函式庫,內建 3 萬條常用密碼、外洩資料庫、英文詞典和姓氏列表,並可辨識日期、鍵盤連擊、l33t 替換等可預測模式。評分 0-4,同時給出四種攻擊情境的破解時間:線上限速、線上無限速、離線慢雜湊、離線快雜湊。
使用方法
- 在輸入欄位中輸入或貼上您的密碼,即可開始分析
- 檢視強度評分、預估破解時間以及關於弱點的具體回饋
- 根據建議改進密碼,直到達到「強」或「非常強」的評級
何時使用
- 把一條好記的密碼設為密碼管理員主密碼前,先做一次理性檢查。
- 測試公司密碼政策:「CompanyName2024!」這種真的算強嗎?
- 向不熟技術的家人解釋,為什麼用寵物名當密碼不安全。
結果
輸入 'Tr0ub4dor&3' 會發現它的評分僅為中等——雖然使用了混合字元,但遵循了可預測的替換模式。相較之下,像 'correct-horse-battery-staple' 這樣的隨機短語密碼雖然只使用小寫字母和連字號,評分反而更高。
常見問題
- 0 到 4 的分數分別代表什麼?
- 0 太容易猜,任何線上攻擊不到 1 秒破解;1 線上要數小時、離線只需幾秒;2 能擋住線上但離線立刻倒;3 安全合理;4 即使對抗每秒 100 億次嘗試的 GPU 群也得花上幾世紀。
- 為什麼「Tr0ub4dor&3」分數比「correct horse battery staple」還低?
- 前者照搬攻擊者熟悉的模式:字典單字 + 可預測替換(0 換 o、4 換 a)+ 特殊符號 + 數字,攻擊規則表會優先嘗試這種組合。4 個隨機常見單字組合數量大得多,熵自然更高。
- 我輸入的密碼會傳到伺服器嗎?
- 強度評分完全在你的裝置上、當前頁面的 JavaScript 裡完成,輸入時不會發送任何網路請求。唯一的可選例外是外洩檢測:按下後只會傳送密碼 SHA-1 雜湊值的前 5 個字元(k-匿名),密碼本身絕不離開輸入框。關閉頁面後也沒有任何記錄。
- 提示說我的密碼出現在資料外洩中,真的可信嗎?
- 有兩層判斷。即時警告來自 zxcvbn 內建的 3 萬條常見密碼清單(來自 RockYou 等外洩),於本地離線比對。想要即時結果,請按「檢查是否外洩」——它以 k-匿名方式查詢 HaveIBeenPwned 資料庫(只傳送雜湊前 5 個字元),並告訴你該密碼在真實外洩中出現過幾次。
- 破解時間應該以哪一種情境為準?
- 多數帳號參考「離線慢雜湊」這項,因為資料庫外洩後攻擊者就用這種方式跑 hashcat。目標至少達到「數世紀」,通常代表分數 3-4 且長度 12 位以上。