安全指南

密码中是否应该使用符号？

了解符号何时有帮助、何时会导致兼容性问题，以及为什么长度和随机性比视觉复杂性更重要。

摘要

符号可以增加可能的字符数量，因此有所帮助。但它们并非魔法。一个带有可预测符号的短密码仍然很弱，而一个没有符号的长随机密码可能很强。

尝试带符号和不带符号的预设。

符号何时有帮助

当生成器随机选择符号且服务接受它们时，符号有帮助。它们可以满足密码策略规则并增加理论搜索空间。

符号何时损害可用性

符号可能在旧表单、移动键盘、连接字符串、shell、配置文件和手动转录中引起问题。如果符号需要转义或容易误读，可能会带来操作风险。

实用建议

• 当服务接受符号时，包含符号。
• 为兼容性使用无符号预设。
• 当字符集受限时，增加密码长度。
• 避免手动编辑生成的密码。
• 对于打印或口述的密码，使用无歧义预设。

详细指导

本指南重点在于决定符号对密码策略是有帮助还是有害。它面向那些需要处理要求或拒绝特殊字符的服务的人，因此实际目标不是提出一个戏剧性的安全主张。目标是选择一种能够在日常使用中存活的密码习惯：登录表单、密码管理器、移动键盘、账户恢复、共享设备以及偶尔遇到的有奇怪验证规则的服务。一个安全的建议只有在真实的人能够一致地遵循它时才有用。

最安全的出发点是随机性加唯一性。随机性意味着值是从一个大的空间中由密码学上合适的随机源选择的，而不是从生日、宠物名、键盘模式或最喜欢的引文中发明的。唯一性意味着同一个密码不在其他地方使用。一个长但重复使用的密码在一次无关的泄露后可能很快失效，而一个唯一的随机密码将损害限制在使用了该密码的单个账户上。

对于这个主题，一个实用的预设是：当目标服务接受符号时启用符号，当它们被拒绝时使用更长的长度。你可以使用带符号的密码生成器应用该预设，然后将最终值存储在可信的密码管理器中。PwdGen在浏览器中使用Web Crypto本地生成值；生成的密码不会发送到PwdGen服务器。这种本地设计减少了服务器端暴露，但不能防范所有威胁。恶意的浏览器扩展、受感染的设备、钓鱼页面或不安全的剪贴板处理仍然可能在生成后暴露秘密。

最常见的要避免的问题是：高估短密码中的一个符号、shell转义问题、表单验证错误和手动输入错误。这些问题很重要，因为当人类习惯给攻击者提供捷径时，攻击者很少需要暴力破解每一个可能的密码。凭证填充、钓鱼、泄露密码列表和账户恢复滥用通常比纯数学搜索更现实。这就是为什么最佳建议将密码质量与账户级控制（如MFA、通行密钥、恢复代码存储以及定期检查恢复邮箱或手机设置）结合起来。

在应用建议时使用此检查清单：

• 当服务接受符号时，使用符号。
• 不要依赖单个符号来修复弱密码。
• 对于严格的系统，使用无符号预设。
• 当符号关闭时，增加密码长度。

如果网站拒绝了理想设置，不要手动将密码强制改为更弱的模式。一次调整一个变量。如果符号被拒绝，保持大写、小写和数字启用并增加长度。如果最大长度很短，使用接受的最大长度并确保值是唯一的。如果密码需要朗读、打印或在电视或路由器屏幕上输入，考虑排除混淆字符并增加长度以补偿较小的字符集。

最后，记住密码建议的边界。强密码是一层防御，而不是保证。它不能使钓鱼页面安全、修复恶意软件或补偿一个存储凭证不当的服务。有用的习惯是无聊但持久的：生成唯一值，安全存储，保护恢复路径，并在怀疑暴露时迅速更换。

安全的下一步

阅读本指南后，做一个小型账户审计，而不是试图一次性修复所有问题。选择如果被接管会造成最大麻烦的账户，确认其密码是唯一的，并检查恢复邮箱、恢复手机、MFA方法和备份代码存储。如果该链条的任何部分薄弱，在转向低风险账户之前先改进该部分。这个顺序使工作可控，并保护攻击者最可能用作跳板的账户。对于“密码中是否应该使用符号？”，最好的结果是形成一个可重复的习惯：本地生成，小心存储，避免重复使用。

常见问题

符号会让密码更强吗？

符号可以在随机选择时增加字符集大小，但长度和唯一性仍然比视觉复杂性更重要。

如果网站拒绝符号怎么办？

使用更长的无符号密码，并在接受的情况下保持大写、小写和数字启用。

歧义符号是问题吗？

可能是，特别是对于打印、口述或手动输入的密码。排除它们可以提高可用性，但会减少字符集大小。