安全指南

密碼長度應該是多少？

了解何時選擇12、16、20或32個字元，以及為什麼密碼長度、唯一性和儲存方式比視覺複雜性更重要。

摘要

對於大多數現代帳戶，16個隨機字元是實用的基本標準。重要的個人、電子郵件、銀行、工作或管理員帳戶請使用20個或更多字元。當密碼將儲存在密碼管理器中並保護高價值存取時，請使用32個字元。

試試 16字元、20字元 或 32字元 產生器。

長度區間

短密碼因可能的組合較少而更容易被猜中。6到9個字元通常對帳戶安全來說太短。10到14個字元可能被許多服務接受，但不應視為重要帳戶的首選。

當密碼管理器儲存密碼時，16個隨機字元是良好的預設值。20個字元增加了安全餘裕，同時仍與許多網站相容。32個字元適用於管理面板、加密檔案、資料庫憑證和本地機密。

隨機長度 vs 人為長度

隨機的16字元密碼與人為創造的16字元短語截然不同。人類的選擇通常包含單詞、日期、名字和可預測的結尾。攻擊者在嘗試盲目暴力破解之前，會先測試這些模式。

實用建議

• 使用16個字元作為一般基準。
• 高價值帳戶使用20–32個字元。
• 如果需要記憶，使用密碼短語。
• 僅在相容性要求時使用無符號或無易混淆字元的預設。
• 切勿因為密碼長就重複使用。

詳細指南

本指南重點在於根據不同帳戶風險選擇密碼長度。它是為比較12、16、20、24和32字元選擇的讀者所寫，因此實際目標並非提出戲劇性的安全主張，而是選擇一種能在日常使用中存活下來的密碼習慣：登入表單、密碼管理器、行動鍵盤、帳戶恢復、共享設備，以及偶爾遇到驗證規則奇怪的服務。只有當真實的人能夠一致遵循時，安全的建議才有用。

最安全的起點是隨機性加上唯一性。隨機性意味著密碼是從一個大空間中由密碼學安全的隨機源選出，而非來自生日、寵物名、鍵盤模式或喜愛的名言。唯一性意味著同一個密碼不會在其他地方使用。一個長但重複使用的密碼可能在一次不相關的洩露後迅速失效，而唯一的隨機密碼則將損害限制在單一帳戶內。

針對這個主題，實用的預設是：一般帳戶16個字元，重要帳戶20個或更多，儲存而非輸入的機密使用32個字元。你可以使用 32字元密碼產生器 套用此預設，然後將最終值儲存在可信的密碼管理器中。PwdGen 在瀏覽器中透過 Web Crypto 本地產生密碼；產生的密碼不會發送到 PwdGen 伺服器。這種本地設計減少了伺服器端的暴露，但無法防範所有威脅。惡意的瀏覽器擴充功能、受感染的設備、釣魚頁面或不安全的剪貼簿處理仍可能在密碼產生後將其暴露。

最常見的問題包括：隨機值太短、最大長度限制、舊式表單，以及假設固定長度對所有系統都安全。這些問題之所以重要，是因為當人類習慣提供捷徑時，攻擊者很少需要暴力破解所有可能的密碼。憑證填充、釣魚、洩露的密碼列表和帳戶恢復濫用通常比純數學搜尋更實際。這就是為什麼最佳建議將密碼品質與帳戶層級控制（如 MFA、通行金鑰、恢復碼儲存，以及定期檢查恢復電子郵件或電話設定）相結合。

在應用建議時，請使用此檢查清單：

• 當不允許符號時，增加長度。
• 在儲存前檢查目標最大長度。
• 避免為了方便而縮短密碼。
• 當需要記憶時，使用密碼短語。

如果網站拒絕理想設定，請不要手動將密碼強行改為較弱的模式。一次調整一個變數。如果符號被拒絕，保留大寫、小寫和數字並增加長度。如果最大長度較低，使用允許的最大長度並確保值唯一。如果密碼必須朗讀、列印或在電視或路由器螢幕上輸入，考慮排除易混淆字元並增加長度以補償較小的字母集。

最後，記住密碼建議的界限。強密碼只是一層防禦，而非保證。它無法使釣魚頁面安全、修復惡意軟體，或補償儲存憑證不當的服務。有用的習慣雖然無聊但持久：產生唯一值、安全儲存、保護恢復路徑，並在懷疑暴露時迅速更換。

常見問題

12個字元夠嗎？

隨機的12字元密碼在相容性上有用，但當服務接受時，16個或更多是更好的預設。

何時應該使用20或32個字元？

重要帳戶使用20個或更多字元；管理員、加密檔案或開發者機密工作流程（儲存在密碼管理器中）使用32個字元。

密碼可以太長嗎？

有些服務會施加最大長度或拒絕符號。請使用目標接受的最長唯一隨機值。