密码强度怎么判断

密码强度到底是什么？

密码强度是衡量一个密码被暴力破解难度的指标。主要从三个维度评估：

• 长度：越长越难猜（每多一位，组合数指数级增加）
• 复杂度：是否混用大小写字母、数字、特殊符号
• 可预测性：是否用了常见单词、生日、键盘顺序等易猜的组合

核心原则：长度 > 复杂度。一个 16 位纯字母密码比 8 位混合格式密码更难破解。

破解难度对比（理论计算）：
密码: password        → 约 10^10 次尝试（秒级破解）
密码: P@ssw0rd        → 约 10^12 次尝试（分钟级）
密码: correcthorsebatterystaple → 约 10^28 次尝试（宇宙级）

密码长度与安全性的关系：
8位：2.8万亿种组合
12位：95万亿亿种组合
16位：3.4万亿亿亿种组合

如何判断密码强度？

方法一：使用密码强度检测工具

在线工具可以实时分析密码的组成，给出强度评分和建议：

• 密码强度检测工具 — 输入密码，实时显示强度等级（弱/中/强/极强）
• 密码生成器 — 一键生成随机强密码，避免人为设置的规律性

方法二：自行检查密码组成

对照以下清单，给自己的密码打分（每满足一项得 1 分，总分 5 分）：

✓ 长度 ≥ 12 位
✓ 包含大写字母（A-Z）
✓ 包含小写字母（a-z）
✓ 包含数字（0-9）
✓ 包含特殊符号（!@#$%^&*...）

评分结果：
1-2分：弱密码 ❌
3分：中强度 ⚠️
4分：强密码 ✓
5分：极强密码 ✓✓

常见弱密码模式（千万别用）

# 键盘顺序类
❌ qwerty、asdfgh、123456、password、admin

# 个人信息类
❌ 生日、姓名+年份、手机号、身份证号

# 常见单词类
❌ iloveyou、welcome、monkey、dragon

# 数字递增类
❌ 123123、111111、000000、121212

# 以上所有类型的变体（p@ssw0rd、adm1n）仍然容易被字典攻击破解

密码强度与加密方式的关系

即使密码很强，如果存储方式不安全也白搭。推荐使用：

• Bcrypt：自适应哈希，自带盐值，可配置计算成本
• Argon2：目前最优选择，抗 GPU/ASIC 攻击
• Bcrypt 加密工具 — 安全哈希密码

# Bcrypt 加密示例（Node.js）
const bcrypt = require('bcrypt');
const hash = await bcrypt.hash('MyStr0ng!Pass', 10);
// $2b$10$KFJ6Z8K3Z... 自动加盐，10 轮迭代

最佳实践：如何设置真正强密码

• 用密码管理器：生成并存储随机密码，避免重复
• 使用助记符：选一句你记得的话，取首字母+数字+符号，如"我2018年在上海工作！→ W2018nZSHgJ!"
• 每个网站单独密码：绝不重复，避免一个泄露全军覆没
• 开启两步验证（2FA）：密码 + 动态验证码，双重保险
• 定期用 密码强度检测 工具审计已有密码