如何創建難以破解的強密碼

長度、隨機性和唯一性是強密碼的三大支柱。了解密碼強度背後的科學,以及如何將其應用於您的所有帳戶。

Passphrase vs password — which is more secure? → Guide to Password Security
Strong password creation guide illustration
1密碼科學

密碼強度的科學:什麼真正使密碼安全

密碼強度由熵決定——一種衡量不可預測性的數學指標。密碼的熵越高,攻擊者需要的猜測次數就越多。熵由兩個因素決定:密碼的長度和使用的字符集的大小。僅從小寫字母(26個字符)抽取的密碼,每個字符的熵少於從所有可打印ASCII字符(95個字符)抽取的密碼,但長度對熵的影響遠大於字符集大小。

現代密碼破解硬件每秒可以測試數十億個密碼。安全研究人員和攻擊者常用的圖形處理器(GPU)集群,對常見哈希算法每秒可以測試約1000億個密碼。在這種背景下,8字符密碼——即使使用大寫、小寫、數字和符號——可以在幾小時內被破解。使用同樣字符集的16字符隨機密碼使用同樣的硬件需要數百萬年。區別在於長度。

這就是為什麼安全指南已從複雜度要求(混合字符類型)轉向長度要求。美國國家標準與技術研究所(NIST ↗)更新了其密碼指南,不再強調複雜度規則,而是建議沒有強制輪換的更長密碼。重要的是密碼長、隨機且唯一——而不是勾選關於它包含哪些字符類型的任意選項框。

  • 熵決定強度:長度和字符集大小決定攻擊者需要多少次猜測
  • 長度至關重要:每增加一個字符,可能的組合數量呈指數級增加
  • 現代破解速度:GPU集群對某些哈希類型每秒可測試1000億以上的組合
  • 8字符密碼:即使使用完整字符集複雜度,也可在幾小時到幾天內被破解
  • 16個以上字符密碼:使用當前技術暴力破解需要數百萬年
  • NIST指南:長度優先於複雜度——偏好更長的密碼而非強制字符混合規則
黑客如何破解密碼——技術詳解 →
Password entropy and strength diagram
2弱密碼與強密碼

什麼使密碼弱——需要避免的常見模式

分析洩露密碼 ↗數據庫的安全研究人員一再發現在全球最常用密碼中佔主導地位的相同模式。最常用的100個密碼在所有帳戶中佔不成比例的份額——如果攻擊者只針對洩露的用戶名數據庫測試這100個密碼,他們通常會立即入侵數百萬個帳戶。這就是為什麼攻擊中使用的密碼字典不僅包含簡單詞語,還包含可預測的變體:「Password1!」、「Summer2024」和「Welcome@1」都遵循人類本能使用的相同可預測替換模式。

個人信息是另一個主要弱點。攻擊者習慣性地從社交媒體收集公開可用的數據——名字、生日、周年紀念日、寵物名字、就讀學校、體育球隊——並將其輸入稱為「基於規則」或「個人化」攻擊的針對性密碼猜測攻擊。如果您的密碼包含您的名字、您孩子的出生年份或您最喜歡的體育球隊,它的強度遠低於其表面複雜度所示,因為這些信息通常很容易被發現。

鍵盤模式代表第三個主要漏洞。「qwerty」、「123456」、「asdfgh」和「zxcvbn」等序列出現在每個嚴重的密碼破解字典中。帶有附加數字或符號的短詞也是如此:「dragon1」、「sunshine!」、「letmein#」。即使是「聰明」的替換,如用「@」替換「a」或用「3」替換「e」,也是如此普遍地為人所知,以至於它們提供的額外保護微乎其微——攻擊者的規則引擎自動應用這些轉換。

  • 常見詞語:字典詞語——即使是晦澀的——在字典攻擊中首先被測試
  • 個人信息:名字、生日、寵物名字和學校可以輕易被研究和利用
  • 鍵盤模式:「qwerty」、「123456」和類似序列出現在所有密碼破解字典中
  • 可預測的替換:「@」代替「a」、「3」代替「e」、「0」代替「o」——攻擊者自動應用這些規則
  • 短密碼:少於12個字符的密碼通常可以用現代硬件在幾小時內暴力破解
  • 重複使用的密碼:在不同網站使用相同密碼意味著一次洩露就會暴露您的所有帳戶
使您面臨風險的15個密碼錯誤 →
Characteristics of a weak vs strong password
3強密碼方法

創建強密碼的三種方法

創建強密碼的黃金標準方法是使用密碼管理器的內置生成器。這會產生您指定長度的真正隨機字符串——20、24甚至32個字符。因為您永遠不需要打字或記住這些密碼(管理器自動填充它們),對每個帳戶使用非常長的複雜隨機字符串沒有實際的缺點。這是我們推薦用於所有帳戶密碼(除主密碼本身外)的方法。

對於您需要記憶的密碼——您的主密碼、設備解鎖PIN,或您可能需要在沒有手機的情況下訪問的關鍵帳戶的密碼——密碼短語是最實際的方法。密碼短語是四個或更多隨機詞的序列:「ocean-lamp-tiger-clock」或「purple-train-seven-mango」。這些足夠長(通常帶分隔符25-35個字符),在計算上無法破解,同時足夠容易記憶。關鍵是詞語必須是真正隨機的——不是歌曲或書中的短語,那會在攻擊者的短語字典中。

對於相對少見的情況,您必須創建系統強制滿足特定複雜度要求的密碼——必須包括大寫、符號、數字,在8到16個字符之間——最好的方法是從隨機密碼短語片段開始並應用所需的修改:「Mango7!Tiger」滿足典型的複雜度規則,同時遠強於所需的最低限度。永遠不要讓複雜度要求導致您走向可預測的模式;在任何存在的約束內始終優先考慮長度和隨機性。

  • 密碼管理器生成器:最適合所有帳戶密碼——真正隨機、任意長度、自動填充、永遠不需要記憶
  • Diceware密碼短語:四個或更多真正隨機的詞——長、易記、非常適合主密碼
  • 手動隨機:如果沒有管理器可用,使用隨機詞生成器或實體骰子——避免心理模式
  • 最少16個字符:無論方法如何,對任何新密碼目標為16個以上字符
  • 測試您的密碼:使用zxcvbn等工具評估強度——如果它可以在1000億次嘗試以下被猜到,它就是弱的
  • 每次唯一:創建密碼的任何方法如果您在任何地方重複使用結果都是不完整的
密碼短語與密碼的詳細比較 →
Strong password creation methods illustration
4付諸實踐

在您所有帳戶中實施強密碼

大多數人面臨的挑戰不是知道如何創建強密碼——而是在數十個或數百個帳戶中從現有的弱密碼過渡到強密碼。關鍵是要優先考慮,而不是試圖一次完成所有事情。從您的最高風險帳戶開始:主要電郵地址(可用於重置所有其他密碼)、銀行和金融帳戶,以及主要社交媒體帳戶。首先更改這5到10個帳戶可以立即提供顯著的安全改進。

使用密碼管理器的安全審計或密碼健康儀表板識別具有重複使用、弱或被入侵密碼的帳戶。Bitwarden的保險庫健康報告、1Password的Watchtower和Dashlane的密碼健康都提供需要關注帳戶的優先列表。系統性地處理這些,首先關注金融帳戶、電郵和任何與支付方式關聯的帳戶。在您更新每個密碼時,直接將新的強密碼保存到您的管理器中。

展望未來,這個過程變得自動:每當您創建新帳戶時,使用密碼管理器的生成器創建強的唯一密碼並立即保存。在每個支持它的帳戶上啟用雙重認證,特別是金融服務、電郵和社交媒體。由密碼管理器處理生成和存儲,唯一持續的紀律是記住您的主密碼,以及將2FA備份代碼保存在安全位置。

  • 首先優先考慮高風險帳戶:電郵、銀行和社交媒體——立即更改這5到10個帳戶
  • 使用安全儀表板:讓您的管理器自動識別弱、重複使用和洩露的密碼 ↗
  • 在帳戶創建時生成:每次您注冊新服務時使用管理器的生成器
  • 在所有地方啟用2FA:強密碼加上雙重認證提供穩健的帳戶安全
  • 安全存儲備份代碼:在密碼管理器的安全備注或實體保險箱中保存2FA恢復代碼
  • 每年審查:每年運行一次安全審計,以發現任何新洩露或標記的密碼
了解密碼管理器如何使這一切自動化 →
Practical password security implementation

今天就開始創建更強的密碼

密碼管理器自動為每個帳戶生成並存儲強的唯一密碼——無需記憶。

尋找適合香港的最佳密碼管理器 → 密碼安全指南

Related VPN Articles

What Is a VPN?

The complete beginners guide to VPN technology.

How Does a VPN Work?

Encryption, IP masking and data tunnelling explained.

VPN Protocols Explained

OpenVPN, WireGuard, IKEv2 - which should you use?

Best VPNs for Hong Kong

Top-rated VPNs tested for HK users.

VPN for Streaming

Unblock Netflix, Disney+ and more from Hong Kong.

VPN on Public WiFi

Why public hotspots are dangerous and how VPN helps.

VPN for Business

Enterprise VPN and SME security guide.

15 VPN Mistakes to Avoid

Errors that undermine your protection.

How to Choose the Right VPN

The complete VPN selection checklist.