安全指南

密碼 vs 密碼短語

比較隨機字元密碼與隨機單詞密碼短語，包括記憶性、熵值、儲存方式及安全使用情境。

摘要

密碼通常是一串隨機字元。密碼短語通常是一串單詞。只要隨機生成、獨一無二，並安全儲存或記憶，兩者都可以很安全。正確的選擇取決於您需要的是最大緊湊性、易輸入性，還是易記憶性。

當您想要隨機單詞時，請使用密碼短語產生器；當網站要求緊湊的字元密碼時，請使用密碼產生器。

隨機字元密碼

隨機字元密碼效率高：每個字元都能增加搜尋空間。它們非常適合密碼管理器、管理後台、WiFi、銀行、電子郵件和開發者機密。缺點是難以記憶，且在小鍵盤上輸入不便。

隨機單詞密碼短語

密碼短語更容易閱讀和輸入。關鍵字是「隨機」。您自己編寫的句子、名言、歌詞或熟悉的短語可能會被基於模式的工具猜中。密碼短語應由從足夠大的詞彙表中獨立選取的單詞組成。

實用建議

• 對於儲存在管理器中的大多數帳戶，使用隨機字元密碼。
• 對於可能需要記住的憑證，使用密碼短語。
• 不要重複使用任何一種格式。
• 避免使用個人短語、引文、姓名和日期。
• 檢查目標系統是否接受空格或分隔符。

詳細指南

本指南重點在於決定使用隨機字元密碼還是隨機密碼短語。它針對需要同時兼顧安全儲存密碼與可記憶登入機密的人們撰寫，因此實際目標並非提出戲劇性的安全主張，而是選擇一種能在日常使用中存活下來的密碼習慣：登入表單、密碼管理器、行動鍵盤、帳戶復原、共用裝置，以及偶爾遇到驗證規則怪異的服務。只有當真人能夠一致遵循時，安全的建議才有用。

最安全的起點是隨機性加上獨特性。隨機性意味著該值是由密碼學上合適的隨機源從大空間中選取，而不是從生日、寵物名、鍵盤模式或最喜歡的名言中發明。獨特性意味著同一個密碼不會在其他地方使用。一個長但重複使用的密碼可能在一次無關的資料外洩後迅速失效，而獨一無二的隨機密碼則將損害限制在單一帳戶內。

針對這個主題，實用的預設值是四到六個隨機單詞以利記憶，或隨機字元以利密碼管理器儲存。您可以使用密碼短語產生器套用此預設值，然後將最終值儲存在可信的密碼管理器中。PwdGen 在瀏覽器中使用 Web Crypto 在本機產生值；產生的密碼不會傳送到 PwdGen 伺服器。這種本機設計減少了伺服器端的暴露，但無法防範所有威脅。惡意的瀏覽器擴充功能、受感染的裝置、釣魚頁面或不安全的剪貼簿處理，仍可能在密碼產生後將其暴露。

最常見應避免的問題是手寫短語、名言、歌詞、個人標語以及由人類選擇的字典短語。這些問題之所以重要，是因為攻擊者很少需要暴力破解所有可能的密碼，而人類習慣給了他們捷徑。憑證填充、釣魚、洩漏的密碼列表和帳戶復原濫用通常比純數學搜尋更實際。這就是為什麼最佳建議將密碼品質與帳戶層級控制（如 MFA、通行金鑰、復原碼儲存，以及定期檢視復原電子郵件或電話設定）相結合。

在應用建議時，請使用此檢查清單：

• 使用隨機選取的單詞，而不是您自己編寫的句子。
• 保持分隔符與目標表單一致。
• 不要跨帳戶重複使用密碼短語。
• 使用管理器來管理長隨機密碼。

如果網站拒絕理想設定，請不要手動將密碼強行改為較弱的模式。一次調整一個變數。如果拒絕符號，請保留大寫、小寫和數字，並增加長度。如果最大長度很短，請使用允許的最大長度，並確保該值是獨一無二的。如果密碼必須朗讀、列印或在電視或路由器螢幕上輸入，請考慮排除容易混淆的字元，並增加長度以補償較小的字母表。

最後，請記住密碼建議的邊界。強密碼只是防禦的一層，並非保證。它無法讓釣魚頁面安全、修復惡意軟體，或彌補服務儲存憑證不當的問題。有用的習慣雖然無聊但持久：產生獨一無二的值，安全儲存，保護復原路徑，並在懷疑暴露時迅速更換。

常見問題

密碼短語一定比密碼強嗎？

不一定。隨機密碼短語可以很強，但熟悉的名言或句子並不等同於隨機選取的單詞。

何時應該選擇密碼短語？

當您可能需要手動記憶或輸入時，尤其是密碼管理器的主憑證，請選擇密碼短語。

密碼短語應該使用多少個單詞？

四個隨機單詞是實用的起點；對於更高價值的用途或較小的詞彙表，請增加單詞數量。