密码应有多长

密码保护着我们几乎所有的在线活动——电子邮件、银行、社交媒体、云存储、开发者平台等等。选择合适的密码长度（和组成）是提高安全性最简单的方法之一，而不用过多改变日常工作流程。

本文解释了密码应该有多长，为什么长度重要，领先的标准机构的推荐，以及如何创建强大、独特且易于管理的密码。

什么是强密码？

强密码是攻击者难以猜测或计算的密码。强度来自两个主要因素：

• 长度：更多的字符会显著增加可能的组合数量。
• 不可预测性：随机性和避免常见模式或个人信息。

当这两个因素都有时，密码可以抵抗暴力破解（系统尝试所有组合）、字典攻击（尝试常见词和模式）以及许多自动化破解技术。

最低密码长度：目标是 16 个字符（或更多）

安全专家一致强调长度的重要性。美国网络安全与基础设施安全局（CISA）建议选择“长的——至少 16 个字符长（甚至更长更好）”的密码。你可以在这里阅读他们的指导：https://www.cisa.gov/secure-our-world/require-strong-passwords

国家标准与技术研究所（NIST）在其数字身份指南中持有类似立场，强调密码长度是决定密码强度的重要因素，并建议在可行的情况下鼓励用户创建更长的密码。详见：https://pages.nist.gov/800-63-4/sp800-63b.html

在实践中，14 个字符应被视为下限，而 16+字符更好作为默认值。对于特别敏感或存活时间长的账户，如果站点允许并且你能安全存储密码，使用更长的密码是有益的。

最长的密码总是最好的吗？

更长的密码几乎总是能更好地抵抗暴力破解，但有一些实际的考虑：

• 网站限制：某些服务限制最大长度或限制某些字符。在这种情况下，使用允许的最大长度，并保持高随机性。
• 可用性：如果你在小设备上输入密码，或者在受限制的环境下输入，极长的字符串可能会很麻烦——除非你使用密码管理器自动填充。
• 威胁模型：对于那些有强力速率限制和多因素认证（MFA）的账户，超过 20–24 个字符可能效果不明显，相比启用 MFA 和确保唯一性。

底线是：使用符合网站政策和你工作流程的最长且随机的密码，并在可用时添加 MFA。

我需要数字、大写字母和特殊字符吗？

许多网站要求混合字符集（小写、大写、数字、符号）。包括多个字符集通常会增加搜索空间并阻止猜测攻击。然而，“复杂性规则”不如长度和随机性重要。一个仅由字母组成的 20 字符随机密码可能比一个含有所有字符类型的 8 字符字符串更强。

如果一个网站实施了组成规则，让你的密码管理器生成满足这些规则的随机密码。如果没有，优先考虑长度和随机性而不是强迫的复杂性。

经常被引用的四个字符集：

1. 数字（0–9）
2. 小写字母（a–z）
3. 大写字母（A–Z）
4. 符号（如! $ % & ? # @）

随机性：真正强度的关键

仅有长度如果密码遵循可预测的模式也是不够的。避免：

• 键盘序列，如1qaz2wsx或qwertyuiop
• 常见单词和短语（即使是非常长的）
• 个人信息（姓名、日期、地址）

两个让你能够接受随机性的好方法：

• 随机密码：让一个密码生成器创建包含多个字符集的 16–24 字符字符串。将它们存储在密码管理器中，这样你就不必记住它们。
• 密码短语：使用 4–6 个随机选择的单词（不是常见的引用或歌曲歌词）。像tunnel-magnet-silk-oxygen-duet这样的随机词语短语可以既长又更容易记住。添加分隔符，并在允许的情况下加入一两个符号或数字。

为什么“非常长”仍然可能很弱

一些长字符串容易成为目标，因为它们遵循明显的模式或出现在泄露的数据集中。例如，长键盘序列、重复的字符块或广泛共享的“技巧”是现代破解工具尝试的第一个目标。长度必须与不可预测性相结合才能有效。

在使用密码之前，确保它没有出现在已知的泄露数据集中是明智的。许多密码管理器和安全工具提供“我是否被入侵”检查或类似筛选。你也可以使用密码强度测试器来评估你的密码。

超越猜测：网络钓鱼和重用风险

并非所有账户接管都涉及猜测。网络钓鱼和重用是常见的妥协原因：

• 网络钓鱼：即使是 30 字符的密码，如果你在假网站上输入也可能被窃取。尽可能使用 MFA，考虑为高价值账户使用硬件安全密钥。
• 重用：如果你重用密码，一个网站的泄露可能会波及到其他网站。每个网站使用唯一的密码以控制损害范围。

长度对抗猜测有帮助，但网络钓鱼和重用可以通过 MFA 和密码管理器来缓解，使得使用独特凭证变得轻而易举。

强密码最佳实践

• 使用密码管理器：为每个账户生成和存储独特、随机的密码。这消除了记住它们的需要，并简化了长字符串的使用。
• 偏重长度和随机性：目标是 16+个字符。如果可能，包含多个字符集，但不要为了满足任意规则而牺牲长度。
• 在各处开启 MFA：基于应用的 TOTP、推送认证器或硬件密钥显著降低风险。
• 不要重用密码：一个网站，一个密码——永远。
• 避免个人信息和模式：不使用姓名、生日、地址或键盘路径。
• 定期审查关键账户：电子邮件、金融服务、开发者平台和管理控制台需要特别关注。

为每个账户管理独特、强密码

在数十个（甚至数百个）网站使用 16–24 字符独特密码的实际方法是使用密码管理器。使用管理器，你可以：

• 生成强密码，适合每个网站的政策（试试我们的密码生成器）
• 自动填充以避免输入错误（并减少肩窥暴露）
• 在设备间安全同步
• 检查重复、弱或被泄露的密码（使用我们的密码强度测试器）

如果一个网站限制长度或符号，根据需要配置生成器——但仍优先考虑最大长度。

快速建议

• 日常账户：16–20 个随机字符
• 高价值账户（电子邮件、银行、云管理）：20–24 个随机字符+MFA
• 长期秘密（API 密钥、SSH 密钥）：使用管理器存储；遵循平台指导；仅在真正随机时优先使用密码短语

最后的想法

密码应有多长？尽可能长——至少 16 个字符——并确保其随机且独特。添加 MFA 作为强有力的第二层。由密码管理器处理生成和存储，你可以拥有强大的安全性而无需额外的认知负担。