安全指南

什么是密码破解时间？

了解密码破解时间估算的含义、攻击速率假设的重要性，以及为什么估算不是保证。

摘要

密码破解时间是在特定模型下猜测攻击可能花费的时间估算。模型很重要。针对在线服务的在线猜测与针对泄露密码哈希的离线破解不同。没有假设的通用“破解时间”数字具有误导性。

使用密码破解时间计算器和强度检查器在本地比较不同场景。

在线猜测

在线猜测受服务限制。速率限制、锁定、监控、MFA和异常检测可以减缓或阻止攻击。短PIN可能仅因为系统限制尝试次数而可接受。

离线破解

当攻击者拥有密码哈希或加密材料时，会发生离线破解。速度取决于哈希算法、成本因子、盐值、硬件和攻击策略。慢速密码哈希（如Argon2id、bcrypt或PBKDF2）旨在减少每秒猜测次数。

随机性和模式

破解时间数学仅在密码真正随机时才有意义。Password123!可能看起来复杂，但它在基于模式的猜测中早期出现。随机的20字符密码不同，因为它缺乏人类结构。

详细指南

本指南侧重于负责任地解读密码破解时间估算。它面向那些看到基于年份的估算并想知道其真正含义的用户，因此实际目标不是制造戏剧性的安全声明。目标是选择一种能够在日常使用中生存的密码习惯：登录表单、密码管理器、移动键盘、账户恢复、共享设备以及偶尔具有奇怪验证规则的服务。只有真实的人能够一致地遵循，安全建议才有用。

最安全的起点是随机性加唯一性。随机性意味着值是从一个大空间中由密码学上合适的随机源选择的，而不是从生日、宠物名、键盘模式或最喜欢的引用中发明的。唯一性意味着同一密码不在其他地方使用。一个长但重复使用的密码在一次无关的泄露后可能很快失效，而唯一的随机密码将损害限制在使用它的单个账户。

对于这个主题，一个实用的预设是基于场景的估算，包括在线限制、慢速哈希和快速离线猜测。您可以使用密码破解时间计算器应用该预设，然后将最终值存储在受信任的密码管理器中。PwdGen在浏览器中使用Web Crypto本地生成值；生成的密码不会发送到PwdGen服务器。这种本地设计减少了服务器端暴露，但不能防范所有威胁。恶意浏览器扩展、受损设备、钓鱼页面或不安全的剪贴板处理仍可能在生成后暴露秘密。

最常见的要避免的问题是通用破解时间声明、仅硬件假设、泄露的哈希、弱存储和可预测的用户模式。这些问题很重要，因为当人类习惯给攻击者提供捷径时，攻击者很少需要暴力破解每个可能的密码。凭证填充、钓鱼、泄露密码列表和账户恢复滥用通常比纯数学搜索更现实。这就是为什么最佳建议将密码质量与账户级控制（如MFA、通行密钥、恢复代码存储以及定期检查恢复电子邮件或电话设置）相结合。

应用建议时使用此清单：

• 比较多个攻击场景。
• 不要将大数字视为保证。
• 无论估算如何，避免重复使用密码。
• 对支持MFA的账户使用MFA。

如果网站拒绝理想设置，不要手动将密码强制转换为更弱的模式。一次调整一个变量。如果拒绝符号，保持大写、小写和数字启用并增加长度。如果最大长度较低，使用最大接受长度并确保值唯一。如果密码必须朗读、打印或在电视或路由器屏幕上输入，考虑排除混淆字符并增加长度以补偿较小的字母表。

最后，记住密码建议的边界。强密码是一层防御，而不是保证。它不能使钓鱼页面安全、修复恶意软件或补偿存储凭证不当的服务。有用的习惯是无聊但持久的：生成唯一值，安全存储，保护恢复路径，并在怀疑暴露时快速替换。

安全的下一步

阅读本指南后，做一个小型账户审计，而不是试图一次性修复所有问题。选择被接管后会造成最大麻烦的账户，确认其密码唯一，并检查恢复电子邮件、恢复电话、MFA方法和备份代码存储。如果该链的任何部分薄弱，在转向低风险账户之前改进该部分。这个顺序保持工作可管理，并保护攻击者最可能用作跳板的账户。对于什么是密码破解时间？，最佳结果是可重复的习惯：本地生成，小心存储，避免重复使用。

常见问题

为什么破解时间计算器结果不一致？

它们对随机性、哈希类型、硬件、在线限制以及密码是否已从泄露中已知使用不同的假设。

离线破解比在线猜测更快吗？

通常是的。离线攻击者可以在没有速率限制的情况下尝试猜测，而在线系统可以限制、锁定和监控尝试。

我应该相信单一的“百万年”结果吗？

将其视为在所述假设下的估算，而不是安全保证。