MT
My Toolbox

密码生成器 — 一键生成高强度随机密码

生成真正难以破解的密码。选好长度和字符类型,一键得到加密随机结果。所有操作在浏览器里完成,我们永远看不到你的密码。

密码设置
配置您的密码要求
864
生成的密码
您的安全密码

提示: 使用至少 16 个字符,包含大小写字母、数字和符号的组合以获得最大安全性。

密码安全到底是怎么回事

密码强度归根结底就一件事:熵——攻击者需要尝试的组合数量。一个 12 位纯小写密码大约有 56 位熵(26^12 种组合)。加上大写、数字和符号,同样 12 位就跳到约 79 位(95^12)。这是"几小时破解"和"几百年破解"的区别。

算法很简单:熵 = 长度 × log2(字符池大小)。16 位密码用全部 95 个 ASCII 可打印字符,给你约 105 位熵。作为参考,比特币私钥用 256 位。你的视频网站密码不需要那么强,但你的主密码至少要 80 位以上。

NIST SP 800-63B(美国政府的数字身份指南,2024 年最新版)已经废弃了"每 90 天换一次密码"的建议。现在的推荐是:密码要长(最少 8 位,建议 15+),不要强制复杂度规则,要对照已知泄露密码库检查。长度永远比复杂度重要。

使用方法

  1. 设置长度——大多数账户用 16 位就够了。
  2. 开关字符类型。除非网站有奇怪的限制,否则四种全开。
  3. 点生成。密码用 crypto.getRandomValues() 创建——不是 Math.random()。
  4. 复制密码存到密码管理器里。别试着记住随机密码。

什么时候会用到

注册新账户

生成一个 16-20 位的唯一密码,粘贴到注册表单,保存到密码管理器。10 秒搞定,以后再也不用想这个事。

创建 API 密钥和 token

需要一个随机字符串做 API secret、webhook 签名密钥或 JWT secret?生成一个 32-64 位全字符类型的字符串。虽然不叫"密码",但生成方法一样。

给客人用的 WiFi 密码

生成一个 10-12 位、不含歧义字符(去掉 0/O、1/l/I)的密码,这样别人从路由器上贴的纸条上能准确输入。

替换泄露的密码

收到"你的密码出现在数据泄露中"的通知?立刻生成一个新的。别只是在旧密码后面加个"2"。

密码安全真正重要的事

1.

长度 > 复杂度,永远如此

"Tr0ub4dor&3"(11 位,看起来复杂)只有约 28 位熵,因为它基于字典词加可预测的替换。"correct horse battery staple"(28 位,全小写)有约 44 位。一个随机 16 位全字符密码?约 105 位。别把"难记"和"难破解"搞混了。

2.

用密码管理器——认真的

如果你在生成随机密码(你应该这么做),你不可能记住它们。用 1Password、Bitwarden 或 KeePass。你的主密码是唯一需要记住的——用一个长的随机词组(5 个以上随机单词)。

3.

绝对不要跨站重用密码

当 LinkedIn 被攻破时(确实发生过,2012 年泄露了 1.17 亿密码),攻击者会拿这些凭据去试所有其他网站。如果你的 LinkedIn 密码也是 Gmail 密码,你的邮箱就没了。每个站点唯一密码,没有商量余地。

4.

重要账户开启双因素认证

再完美的密码也能被钓鱼。双因素认证(TOTP 应用如 Authy,或硬件密钥如 YubiKey)意味着光偷到密码还不够。至少在邮箱、银行和云账户上开启。

示例输出

标准强密码(16 位,全字符类型)

适合大多数在线账户。约 105 位熵。

Input

长度: 16, 大写: ✓, 小写: ✓, 数字: ✓, 符号: ✓

Output

k7#Qm9$vLx2&pN4w

WiFi 友好密码(12 位,无歧义字符)

容易从纸条上辨认和输入。排除了 0/O/l/1/I。

Input

长度: 12, 大写: ✓, 小写: ✓, 数字: ✓, 符号: ✗, 排除歧义字符: ✓

Output

Kx7mR4nP9wBt

功能特点

  • 使用 crypto.getRandomValues(),不是 Math.random()(后者可预测)
  • 长度可调 8 到 64 位
  • 大写、小写、数字、符号独立开关
  • 强度指示器显示实际熵值(位)
  • 一键复制,密码不进入剪贴板历史
  • 页面加载后离线运行,零网络请求

常见问题

2026 年密码应该多长?

重要账户(邮箱、银行)至少 16 位。低价值账户 12 位可以接受。如果某个网站限制最多 8 位(有些银行还这样),这本身就是安全隐患,但在允许范围内用最长的加全字符类型。

随机词组(passphrase)比随机密码好吗?

对于你的主密码(唯一需要记住的那个),是的——"correct horse battery staple"风格的词组更容易记住,如果用 5 个以上真正随机的词也很强。其他所有密码,让密码管理器生成和存储随机字符串。

为什么强度指示器说我的 8 位密码"弱"?

8 位全字符密码约有 52 位熵。现代 GPU 每秒能测试数十亿个哈希。按这个速度,52 位可以在几小时到几天内暴力破解(取决于哈希算法)。你需要 80 位以上才安全。

还需要每 90 天换一次密码吗?

不需要。NIST 几年前就废弃了这个建议。强制轮换导致更弱的密码(人们只是在后面加个数字)。只在以下情况换密码:(1) 怀疑泄露,(2) 服务通知你被攻破,(3) 你把密码分享给了不再需要的人。

这个工具能生成满足特定网站要求的密码吗?

可以——根据网站的规则开关字符类型。如果要求"至少一个大写、一个数字、一个符号",保持所有类型开启,12 位以上通常第一次生成就满足要求。

使用技巧与相关工作流