安全指南

密码 vs 密码短语

比较随机字符密码和随机单词密码短语，包括可记忆性、熵、存储和安全使用场景。

总结

密码通常是一串随机字符。密码短语通常是一串单词。只要随机生成、唯一且安全存储或记忆，两者都可以很强。选择取决于你需要最大紧凑性、易输入性还是可记忆性。

当你想要随机单词时，使用密码短语生成器；当网站期望紧凑字符密码时，使用密码生成器。

随机字符密码

随机字符密码效率高：每个字符都能增加搜索空间。它们非常适合密码管理器、管理面板、WiFi、银行、电子邮件和开发者密钥。缺点是难以记忆，在小键盘上输入不便。

随机单词密码短语

密码短语更易读和输入。关键是“随机”。你编造的句子、引文、歌词或熟悉短语可能被基于模式的工具猜出。密码短语应由来自足够大词库的独立选择的单词组成。

实用建议

• 对存储在管理器中的大多数账户使用随机字符密码。
• 对可能需要记住的凭证使用密码短语。
• 不要重复使用任何一种格式。
• 避免使用个人短语、引文、姓名和日期。
• 检查目标系统是否接受空格或分隔符。

详细指南

本指南重点在于决定使用随机字符密码还是随机密码短语。它面向需要安全存储密码和可记忆登录密钥的人，因此实际目标不是制造戏剧性的安全声明，而是选择一种能在日常使用中生存的密码习惯：登录表单、密码管理器、移动键盘、账户恢复、共享设备以及偶尔有奇怪验证规则的服务。只有真实的人能一致遵循的建议才是有用的。

最安全的起点是随机性加唯一性。随机性意味着值是从一个大空间中通过密码学安全的随机源选择的，而不是从生日、宠物名、键盘模式或最喜欢的引文中编造的。唯一性意味着同一密码不在其他地方使用。一个长但重复使用的密码在一次无关的泄露后可能迅速失效，而唯一的随机密码将损害限制在使用的单个账户上。

对于这个主题，实用的预设是四到六个随机单词用于可记忆性，或随机字符用于密码管理器存储。你可以使用密码短语生成器应用该预设，然后将最终值存储在可信的密码管理器中。PwdGen在浏览器本地使用Web Crypto生成值；生成的密码不会发送到PwdGen服务器。这种本地设计减少了服务器端暴露，但不能防范所有威胁。恶意的浏览器扩展、受感染的设备、钓鱼页面或不安全的剪贴板处理仍可能在生成后泄露秘密。

最常见的要避免的问题是手写短语、著名引文、歌词、个人口号和由人类选择的字典短语。这些问题很重要，因为攻击者很少需要暴力破解每个可能的密码，当人类习惯给他们捷径时。凭证填充、钓鱼、泄露密码列表和账户恢复滥用通常比纯数学搜索更现实。这就是为什么最佳建议将密码质量与账户级控制（如MFA、通行密钥、恢复代码存储以及定期检查恢复邮箱或电话设置）结合起来。

应用建议时使用此清单：

• 使用随机选择的单词，而不是你编造的句子。
• 保持分隔符与目标表单一致。
• 不要跨账户重复使用密码短语。
• 对长随机密码使用管理器。

如果网站拒绝理想设置，不要手动将密码强制为更弱的模式。一次调整一个变量。如果拒绝符号，保留大写、小写和数字并增加长度。如果最大长度很短，使用允许的最大长度并确保值唯一。如果密码必须朗读、打印或在电视或路由器屏幕上输入，考虑排除易混淆字符并增加长度以补偿较小的字符集。

最后，记住密码建议的边界。强密码是一层防御，不是保证。它不能使钓鱼页面安全、修复恶意软件或补偿存储凭证不当的服务。有用的习惯是无聊但持久：生成唯一值，安全存储，保护恢复路径，并在怀疑泄露时迅速更换。

常见问题

密码短语总是比密码强吗？

不是。随机密码短语可以很强，但熟悉的引文或句子不等同于随机选择的单词。

何时应选择密码短语？

当你可能需要手动记忆或输入时选择密码短语，尤其是密码管理器主凭证。

密码短语应使用多少个单词？

四个随机单词是实用的起点；对于更高价值的使用或更小的词库，增加更多单词。