密码生成器安全指南：长度、熵和浏览器端随机性检查

密码生成器只有在生成结果足够随机、足够长、每个账号唯一，并且后续保存方式安全时才有意义。一个看起来很复杂的密码，如果模式可预测，仍然可能很弱；一个强密码，如果被复制到错误位置、重复使用或明文保存，也会变得不安全。

密码强度先看随机性和长度

密码强度很大程度取决于熵，也就是攻击者需要尝试多少种可能。通常情况下，长度比在短密码里多加几个符号更重要。一个 16 位随机密码，通常比一个 8 位但带符号的可预测密码安全得多。

当你需要为某个账号或测试环境生成新密码时，可以使用 Password Generator。但不要把同一个生成结果重复用在多个服务上。

字符集不能替代长度

很多网站要求密码包含大写、小写、数字和符号。这些规则能避免最弱的密码，但不代表密码一定强。比如 `Password2026!` 符合多字符类型要求，但模式非常明显。

更稳的做法是：

| 设置 | 更安全的选择 | |---|---| | 长度 | 在网站允许范围内尽量更长 | | 字符集 | 保持足够复杂，同时避免复制错误 | | 复用 | 不在不同账号之间复用 | | 保存 | 放进可信密码管理器 | | 分享 | 避免通过聊天或邮件发送 |

浏览器端生成也要注意环境

浏览器端生成可以减少把密码传到服务器的需求，但仍然要看使用环境。工具应该使用安全随机数；你也应该避免在不可信设备、公共电脑或安装了可疑扩展的浏览器里生成重要密码。

复制密码也有风险。剪贴板历史、远程桌面、屏幕共享或浏览器扩展都可能暴露复制内容。生成后最好直接粘贴到目标账号或密码管理器里，并在必要时清理剪贴板历史。

不要把密码生成、哈希和加密混为一谈

密码生成器生成的是一个需要保存的 secret。哈希工具生成的是输入内容的单向摘要。Bcrypt 工具用于应用系统保存密码校验值。这几件事不是同一个任务。

如果你要理解应用如何存储密码，可以看 Bcrypt Hash。如果你要做校验和或签名，应该用 Hash Generator 或 HMAC Generator，而不是把它们当账号密码生成器。

什么时候应该使用密码管理器

生成器负责创建密码，密码管理器负责保存和填充。真实账号更推荐的流程是：生成唯一密码，保存到密码管理器，能开启多因素认证就开启，不手动复用密码。

团队场景下，不要把生成的密码粘贴到文档、工单或聊天记录里。应该使用团队认可的密码库、密钥管理器或凭据保险箱。

FAQ

生成密码应该多长？

在服务允许的范围内越长越好。多数现代账号可以把 16 位以上随机密码作为实用基线。

强密码一定要有符号吗？

符号有帮助，但长度和随机性通常更重要。短而可预测的密码，即使带符号也不安全。

浏览器密码生成器安全吗？

在可信浏览器环境中，并使用安全随机数时可以安全。不要在公共电脑、不可信设备或可疑扩展环境中生成重要密码。

可以把生成的密码存在文本文件里吗？

不建议。应使用可信密码管理器或密钥保险箱，不要用明文文件、笔记或聊天记录保存密码。