密码强度检测
实时检测密码强度,显示评分、破解时间估算和弱点分析,帮助创建更安全的密码
单个密码实时检测
zxcvbn 会检测密码是否包含这些个人信息
批量密码检测
关于密码强度检测
- 本工具使用 zxcvbn 算法,由 Dropbox 开发,能识别常见密码模式、键盘序列、字典词汇等弱点
- 评分从 0(极弱)到 4(非常强),破解时间基于不同攻击场景估算
- 提供具体的改进建议,帮助用户创建更安全的密码
操作说明
- 在上方输入框中输入密码,强度分析实时更新,无需点击按钮
- 可选填用户上下文(用户名、邮箱),提高检测准确性
- 批量检测:在下方文本框中每行输入一个密码,点击「批量检测」查看对比结果
- 点击眼睛图标可切换密码显示/隐藏
注意事项
- 破解时间为估算值,实际时间受攻击者算力、哈希算法等因素影响
- 评分 ≥ 3(强)才建议用于重要账户,评分 4(非常强)适合高安全需求场景
- 所有检测均在浏览器本地完成,密码不会上传到任何服务器
- zxcvbn 主要针对英文密码优化,中文密码的检测结果仅供参考
密码安全知识详解
密码强度评分说明
| 评分 | 等级 | 颜色 | 建议 |
|---|---|---|---|
| 0 | 极弱 | 红色 | 立即更换,极易被破解 |
| 1 | 弱 | 橙色 | 不建议使用,容易被破解 |
| 2 | 一般 | 黄色 | 仅适合低安全需求场景 |
| 3 | 强 | 蓝色 | 适合大多数场景 |
| 4 | 非常强 | 绿色 | 适合高安全需求场景 |
常见密码攻击方式
| 攻击方式 | 原理 | 防御方法 |
|---|---|---|
| 字典攻击 | 使用常见密码词典逐一尝试 | 避免使用常见词汇和短语 |
| 暴力破解 | 穷举所有字符组合 | 增加密码长度(每增加1位,难度×字符集大小) |
| 彩虹表攻击 | 预计算哈希值查表 | 服务端使用加盐哈希(bcrypt/Argon2) |
| 社会工程学 | 猜测生日、姓名等个人信息 | 避免使用个人信息作为密码 |
| 凭证填充 | 使用泄露的账号密码尝试登录 | 每个网站使用不同密码 |
密码最佳实践
✅ 推荐做法
- 长度至少 12 位,越长越好
- 混合大小写字母、数字、特殊符号
- 使用密码管理器生成和存储随机密码
- 每个账户使用唯一密码
- 启用双因素认证(2FA)
- 使用无意义的随机字符串(如
Kx9#mP2$vL)
❌ 避免做法
- 使用生日、姓名、手机号
- 使用
123456、password等常见密码 - 键盘序列(
qwerty、asdfgh) - 重复字符(
aaaaaa) - 多个账户使用相同密码
- 在不安全的地方记录密码
zxcvbn 算法原理
zxcvbn 由 Dropbox 工程师 Dan Wheeler 开发,采用基于模式匹配的密码强度估算方法:
- 字典匹配:检测密码是否包含常见词汇(英文词典、常见密码、名字等)
- 键盘序列检测:识别
qwerty、12345等键盘走位模式 - 重复模式检测:识别
aaa、abcabc等重复结构 - 日期检测:识别
19900101、2024/01/01等日期格式 - 熵值计算:基于最优猜测策略估算破解所需猜测次数,转换为破解时间