安全指南

電子郵件的最佳密碼長度

了解為什麼電子郵件帳戶需要長且獨特的密碼、多因素驗證（MFA）、安全的恢復方式，以及謹慎檢查轉寄和應用程式存取權限。

摘要

您的電子郵件帳戶通常是您數位生活中其他帳戶的恢復金鑰。請使用獨特的隨機密碼，最好長度為 20 個字元以上，並在可用時啟用多因素驗證（MFA）或通行金鑰。

使用電子郵件密碼產生器。

為什麼電子郵件具有高價值

電子郵件會收到密碼重設連結、登入警報、發票、文件以及帳戶恢復訊息。如果攻擊者控制了電子郵件，他們可能重設其他帳戶，即使這些帳戶使用了強密碼。

實用建議

• 使用長且獨特的密碼。
• 啟用 MFA 或通行金鑰。
• 檢查恢復電子郵件和電話設定。
• 檢查轉寄規則和委派存取權限。
• 撤銷可疑的應用程式密碼或 OAuth 授權。

詳細指引

本指南專注於為電子郵件帳戶選擇密碼長度。它針對了解電子郵件通常是其他服務恢復中心的用戶而撰寫，因此實際目標並非提出戲劇性的安全主張，而是選擇一種能應付日常使用的密碼習慣：登入表單、密碼管理器、行動鍵盤、帳戶恢復、共用裝置，以及偶爾遇到驗證規則奇怪的服務。只有當真實的人能夠持續遵循時，安全的建議才有用。

最安全的起點是隨機性加上獨特性。隨機性意味著數值是由密碼學上合適的隨機來源從大空間中選出，而不是從生日、寵物名、鍵盤模式或喜愛的名言中發明。獨特性意味著同一個密碼不會在其他地方使用。一個長但重複使用的密碼可能在一次無關的資料外洩後迅速失效，而獨特的隨機密碼則將損害限制在使用它的單一帳戶。

針對這個主題，一個實用的預設值是 20 到 32 個隨機字元，儲存在管理器中，並啟用 MFA。您可以使用電子郵件密碼產生器套用此預設值，然後將最終值儲存在可信賴的密碼管理器中。PwdGen 在瀏覽器中使用 Web Crypto 在本機產生數值；產生的密碼不會傳送到 PwdGen 伺服器。這種本機設計減少了伺服器端的暴露，但無法防範所有威脅。惡意的瀏覽器擴充功能、受感染的裝置、釣魚頁面或不安全的剪貼簿處理仍可能在密碼產生後將其暴露。

最常見需要避免的問題包括帳戶恢復濫用、憑證填充、攻擊者新增的收件匣規則，以及來自舊資料外洩的重複使用密碼。這些問題之所以重要，是因為當人類習慣提供捷徑時，攻擊者很少需要暴力破解所有可能的密碼。憑證填充、釣魚、外洩密碼清單和帳戶恢復濫用通常比純數學搜尋更實際。這就是為什麼最佳建議結合了密碼品質與帳戶層級的控制措施，例如 MFA、通行金鑰、恢復碼儲存，以及定期檢查恢復電子郵件或電話設定。

在套用建議時，請使用此檢查清單：

• 將電子郵件視為最高優先順序的帳戶。
• 使用獨特的長密碼。
• 檢查恢復電話和備用電子郵件。
• 在懷疑發生外洩後檢查轉寄和登入活動。

如果某個網站拒絕理想的設定，請不要手動將密碼強制改為較弱的模式。一次調整一個變數。如果拒絕符號，請保留大寫、小寫和數字，並增加長度。如果最大長度較低，請使用允許的最大長度，並確保數值是獨特的。如果密碼必須大聲朗讀、列印或在電視或路由器螢幕上輸入，請考慮排除容易混淆的字元，並增加長度以補償較小的字元集。

最後，請記住密碼建議的界限。強密碼只是防禦的一層，並非保證。它無法讓釣魚頁面安全、修復惡意軟體，或補償儲存憑證不當的服務。有用的習慣雖然無聊但持久：產生獨特的數值、安全儲存、保護恢復路徑，並在懷疑暴露時迅速更換。

安全的下一步

閱讀本指南後，請進行一次小型帳戶審計，而不是試圖一次修復所有問題。選擇一個如果被接管會造成最大麻煩的帳戶，確認其密碼是獨特的，並檢查恢復電子郵件、恢復電話、MFA 方法和備份碼儲存。如果該鏈條的任何部分薄弱，請先改善該部分，再處理風險較低的帳戶。這個順序讓工作易於管理，並保護攻擊者最可能用作跳板的帳戶。對於電子郵件的最佳密碼長度，最好的結果是形成可重複的習慣：在本機產生、小心儲存、避免重複使用。

常見問題

電子郵件密碼應該多長？

在允許的情況下，使用至少 20 個隨機字元，因為電子郵件通常控制其他帳戶的密碼重設。

為什麼電子郵件特別重要？

電子郵件可以接收重設連結、安全警報、發票、身份證明文件和帳戶恢復訊息。

我應該檢查轉寄規則嗎？

是的。惡意的轉寄、篩選器或委派存取權限可能在密碼變更後仍然存在。