安全指南

如何建立強密碼

實用指南：透過本地生成、密碼管理器、多因素驗證（MFA）及安全復原習慣，建立強大且獨特的密碼。

摘要

強密碼不只是「看起來複雜」的字串。它必須夠長、隨機生成、每個帳戶唯一，並安全儲存。最可靠的日常流程很簡單：生成一個唯一的隨機值，儲存在密碼管理器中，並在服務支援時啟用 MFA 或通行密鑰。

需要新帳戶密碼時，請使用免費隨機密碼產生器或16 字元密碼產生器。

什麼讓密碼強大

最強的實用密碼是透過隨機程序選出，而非由人發想。人為建立的密碼常包含姓名、日期、鍵盤路徑、品牌、歌詞或常見替代字。攻擊者知道這些模式並會優先嘗試。

隨機生成改變了情況。一個 16、20 或 32 字元的隨機密碼沒有個人故事、沒有日期、也沒有方便的字典結構。但它只有在保持唯一且私密時才有用。

實用建議

1. 為每個帳戶生成新密碼。
2. 一般帳戶偏好至少 15–16 個隨機字元。
3. 電子郵件、銀行、工作及管理員帳戶，若允許，使用 20 個或更多字元。
4. 若目標系統接受，包含符號。
5. 將密碼儲存在受信任的密碼管理器中。
6. 啟用 MFA 或通行密鑰。
7. 檢查帳戶復原設定，因為攻擊者常針對復原路徑。

本地生成能解決與不能解決的問題

PwdGen 使用 Web Crypto 在本地生成值，且不會上傳生成的密碼。這可防止網站故意收集生成的值。但它無法防止受損的瀏覽器擴充功能、不安全的剪貼簿管理程式、惡意軟體、釣魚頁面，或處理密碼儲存不當的服務。

詳細指引

本指南專注於從零開始建立強密碼。它為正在替換弱或重複使用密碼的人而寫，因此實際目標不是做出戲劇性的安全宣稱，而是選擇一種能在日常使用中存活的密碼習慣：登入表單、密碼管理器、行動鍵盤、帳戶復原、共用裝置，以及偶爾遇到奇怪驗證規則的服務。只有當真人能一致遵循時，安全建議才有用。

最安全的起點是隨機性加上唯一性。隨機性表示該值是從一個大空間中，由密碼學上合適的隨機來源選出，而非來自生日、寵物名、鍵盤模式或喜愛的名言。唯一性表示同一個密碼不會在其他地方使用。一個長但重複使用的密碼，可能在一次不相關的資料外洩後迅速失效；而一個唯一的隨機密碼則將損害限制在單一帳戶。

針對此主題，實用的預設值是 20 個字元，包含大寫、小寫、數字，並在允許時加入符號。您可以使用20 字元密碼產生器套用此預設，然後將最終值儲存在受信任的密碼管理器中。PwdGen 使用 Web Crypto 在瀏覽器中本地生成值；生成的密碼不會傳送到 PwdGen 伺服器。這種本地設計減少了伺服器端的暴露，但無法防範所有威脅。惡意的瀏覽器擴充功能、受損的裝置、釣魚頁面或不安全的剪貼簿處理，仍可能在生成後洩露秘密。

最常見需避免的問題是個人姓名、生日、鍵盤路徑、重複結尾，以及可預測的替代（例如將 a 換成 @）。這些問題之所以重要，是因為當人類習慣提供捷徑時，攻擊者很少需要暴力破解所有可能的密碼。憑證填充、釣魚、外洩密碼清單及帳戶復原濫用，通常比純數學搜尋更實際。這就是為什麼最佳建議結合密碼品質與帳戶層級控制，例如 MFA、通行密鑰、復原碼儲存，以及定期檢查復原電子郵件或電話設定。

應用建議時請使用此檢查清單：

• 每個帳戶使用不同的值。
• 偏好隨機生成而非個人模式。
• 將結果儲存在密碼管理器中。
• 在可用時啟用 MFA 或通行密鑰。

如果網站拒絕理想設定，請勿手動將密碼強制改為較弱模式。一次調整一個變數。如果符號被拒絕，保留大寫、小寫和數字，並增加長度。如果最大長度很低，使用允許的最大長度，並確保該值唯一。如果密碼必須朗讀、列印或在電視或路由器螢幕上輸入，考慮排除易混淆字元，並增加長度以補償較小的字母集。

最後，記住密碼建議的邊界。強密碼只是防禦的一層，而非保證。它無法讓釣魚頁面安全、修復惡意軟體，或補償儲存憑證不當的服務。有用的習慣雖然無聊但持久：生成唯一值、安全儲存、保護復原路徑，並在懷疑暴露時迅速更換。

常見問題

最簡單的強密碼規則是什麼？

為每個帳戶使用長、隨機且唯一的密碼，並儲存在受信任的密碼管理器中。

複雜的短密碼比長的隨機密碼好嗎？

通常不是。長度和不可預測性比常見的替代（例如將字母換成符號）更重要。

我應該在強密碼之外使用 MFA 嗎？

是的。當密碼被釣魚、在其他地方重複使用，或因服務外洩而暴露時，MFA 或通行密鑰能提供額外保護。