一键在浏览器中生成强密码。默认 32 字符,使用密码学安全随机数(CSPRNG),无服务器往返、无存储、无追踪。
使用 crypto.getRandomValues 配合拒绝采样(Rejection Sampling),让每个允许的字符获得完全相同的概率。
l 1 I O 0,便于手动输入。
许多在线生成器在服务端生成密码(密码会离开您的电脑),或使用并不安全的 Math.random()。两者都无法满足真正的安全需求。
crypto.getRandomValues 提供密码学级可靠的随机数,并由拒绝采样消除取模偏差。fetch,无第三方脚本,无 CDN,无 Cookie,无 LocalStorage。首要法则:长度胜过复杂度。一个长密码在数学上比一个含大量特殊字符的短密码更安全。
Sommer2024!),字典攻击几秒就能破解。在离线攻击中(攻击者拿到泄露的密码哈希并在本地穷举所有组合),现代 GPU 集群每秒可尝试约 1 万亿次(针对 MD5、SHA-1 等较弱哈希)。对于 bcrypt 或 Argon2 等优良算法则远低于此,但这里我们采用保守估算。
| 长度 | 字符集 | 可能性 | 破解时间(每秒 1 万亿次) |
|---|---|---|---|
| 8 | 仅小写字母 | 2 · 1011 | 0.2 秒 |
| 8 | 字母 + 数字 | 2 · 1014 | 3 分钟 |
| 12 | 字母 + 数字 | 3 · 1021 | 100 年 |
| 16 | 字母 + 数字 | 5 · 1028 | 15 亿年 |
| 20 | 字母 + 数字 | 7 · 1035 | 10²² 年 |
| 32 | 字母 + 数字(默认) | 2 · 1057 | 实际上无限 |
数值已四舍五入,按 62 个可能字符(a 至 z、A 至 Z、0 至 9)和每秒 10¹² 次尝试估算。
是的。我们仅使用浏览器提供的 Web Crypto API(crypto.getRandomValues),即密码学安全随机数生成器(CSPRNG)。此外采用拒绝采样规避其他实现常见的取模偏差,使每个允许的字符获得完全相同的概率。
不会。整个生成过程完全在您的浏览器本地运行。无网络请求,无 Cookie,无 LocalStorage,也无日志。
普通在线账户使用 16 个字符且字符集混合即可。邮箱、银行或主密码等关键凭据建议 24 至 32 字符。本生成器默认 32 字符,提供超过 190 位熵,能够抵御未来攻击。
不是必须。长度胜过复杂度:24 字符的字母数字密码远比 8 字符带特殊字符的密码安全。当服务要求时或长度受限时再使用特殊字符。
在德语 QWERTZ 键盘上 y 和 z 与英语 QWERTY 键盘相反。如果您有时在英语键盘上输入密码,可以选择排除这两个字母以避免输入错误。
l、1、I、O 与 0 等字符在某些字体下看起来非常相似。如果您要从纸条或屏幕上手动输入密码,排除这些字符会方便很多。
可以。首次加载后即可在无网络环境下使用。您也可以通过"另存为"将页面保存到本地后离线使用。
约 2017 年以来的所有现代浏览器(Chrome、Firefox、Edge、Safari、Brave、Opera)。前提是支持 Web Crypto API。
不只是工具?看看我们的商业托管方案。