🔐 密碼強度分析器

即時分析密碼強度,估算破解時間,並提供具體改善建議

密碼分析在裝置上執行;洩露查詢僅傳送雜湊值前 5 碼(k-匿名),密碼本身不會離開裝置

{{ displayLabel }} 破解時間:{{ displayCrackTime }}
長度:{{ result.length }}
小寫字母 (a–z)
大寫字母 (A–Z)
數字 (0–9)
特殊符號 (!@#…)
熵值 ≈ {{ result.effectiveEntropy.toFixed(1) }} bits

偵測到問題

  • {{ item }}

改善建議

  • {{ item }}

優點

  • {{ item }}

 這個分析器怎麼打分數?

單看「有沒有大寫、有沒有符號」的傳統檢查器會把 P@ssw0rd1! 判成強密碼——它其實在駭客字典的第一頁。本工具的評分分兩步:

  • 先算理論熵值:長度 × log₂(字元集大小)。混用大小寫、數字、符號的 12 字元密碼約 78 bits。
  • 再依可預測規律扣分:命中常見密碼清單(含 p@ssw0rd 這類 leet 變形還原比對)、鍵盤走位(qwerty、1qaz2wsx)、連續重複字元、疑似年份(1990、2024)、純數字或純字母、長度過短——每項各有扣分權重,扣完才是「有效熵值」。

這就是為什麼有些看起來很長的密碼仍被判「弱」:qwerty1234567890 有 16 字元,但整串都是鍵盤走位+數字列,有效熵值遠低於表面組合數。破解時間以每秒 100 億次猜測(現代 GPU 離線攻擊)估算,用意是給相對強度的直觀感受,不是精確預言——實際還取決於網站用的雜湊演算法(bcrypt 比 MD5 慢上千倍)。

 五級強度對照表

等級有效熵值破解時間量級典型樣態
非常弱< 28 bits瞬間–幾秒常見密碼、純數字、極短
28–40 bits幾分鐘–幾小時單一字元類型、含鍵盤序列
中等40–60 bits幾天–幾個月混合字元但較短或有規律
60–80 bits幾年–幾十年多種字元混合且長度足夠
非常強> 80 bits數百年以上16 字元以上、多種字元、無規律

個人帳號目標放在「強」以上;主 email、網銀、密碼管理器主密碼建議「非常強」。

 洩露查詢的隱私機制:k-匿名

強度只是一半——一組 20 字元的隨機密碼若已出現在某次外洩清單裡,它就是弱密碼。本工具串接 Have I Been Pwned 的 Pwned Passwords 資料庫(收錄數十億筆真實外洩密碼)做即時比對,而且查詢方式刻意設計成你的密碼不可能被查詢方知道

  1. 密碼先在你的瀏覽器內做 SHA-1 雜湊。
  2. 只把雜湊值的前 5 個字元送出查詢——這個前綴平均對應約 800 組不同密碼的雜湊。
  3. 伺服器回傳整批候選清單,比對在你的裝置上完成。伺服器無從得知你查的是哪一組,甚至不知道有沒有命中。

這套「k-匿名」協定讓洩露查詢與隱私不衝突。若查詢結果顯示已洩露,代表這組密碼已在攻擊者的字典裡,撞庫攻擊會第一輪就試到它——不論它的熵值多高,請立即在所有用到它的服務更換。

 要好記又要強:改用「密語」(Passphrase)

絕大多數密碼應該交給密碼管理器產生與填入(可搭配本站的隨機密碼產生器);但少數必須用腦記的——管理器主密碼、電腦登入——建議用「多個隨機單字」組成的密語,例如 河馬-鐵塔-季風-算盤 這種型態。長度對強度是指數級貢獻,4–6 個隨機單字的熵值不輸短而複雜的密碼,卻好記得多。

  • 單字必須隨機挑:歌詞、成語、名言是字典攻擊的首要目標,通順的句子等於白費長度。
  • 可加變化再墊高熵值:單字間插數字或符號、大小寫交錯。
  • 設好後貼回上方驗證:分析器會告訴你有效熵值落在哪一級。

 常見問題

我輸入的密碼會被記錄或傳送出去嗎?

強度分析完全在瀏覽器執行,密碼不會送到本站伺服器。洩露查詢只送出 SHA-1 雜湊的前 5 碼(見上方 k-匿名說明),密碼本身與完整雜湊都不離開你的裝置。

密碼含中文字或 emoji 會更安全嗎?

理論上字元集大增、熵值更高,但實務上問題不少:部分系統直接拒收非 ASCII 字元、跨裝置輸入麻煩(手機切輸入法)、部分網站的長度計算會出錯。建議以「足夠長度+ASCII 大小寫數字符號」為主力,相容性最好。

需要定期更換密碼嗎?

現代指引(NIST SP 800-63B)不建議無事由的定期強制更換——那只會催生「舊密碼+1」。正確做法:一站一密+開啟雙重驗證(2FA)+密碼出現在外洩清單時立即更換。可順手到 Have I Been Pwned 訂閱自己 email 的外洩通知。

破解時間顯示「數千年」就絕對安全嗎?

那是「離線暴力破解」單一情境的估算。真實威脅多半不是暴力破解:釣魚網站騙走密碼、鍵盤側錄、網站明碼儲存被拖庫——這些跟密碼強度無關。強密碼是必要條件,不是充分條件;2FA 才是第二道保險。