密碼熵計算器 - 分析密碼強度
根據字元集組成與密碼長度,計算密碼熵(bit),評估強度並估算暴力破解時間。
輸入密碼即可自動偵測其字元類別,也可手動指定字元池大小和長度。熵值越高,密碼就越能抵禦暴力破解。
密碼熵計算器 - 分析密碼強度
根據字元集組成與密碼長度,計算密碼熵(bit),評估強度並估算暴力破解時間。
關於密碼熵計算器
密碼熵是衡量密碼有多難以預測的一種指標,以比特表示。熵越高,攻擊者透過暴力破解猜中的次數就越多。公式很直接:熵 H = L × log₂(N),其中 L 是密碼長度,N 是每個字元可從中選取的字元池大小。
字元池大小取決於使用了哪些字元類別。小寫字母(a–z)提供 26 個字元。大寫字母(A–Z)再增加 26 個。十進位數字(0–9)提供 10 個。標準鍵盤符號,例如 !、@、#、$、%、^、&、*、(、) 以及類似字元,約提供 32 個字元。使用全部四類字元的密碼,其字元池約有 94 個字元——這也是每個字元可獲得最大熵值的組合。
作為實用基準,94 個字元的字元池搭配 12 個字元長度,熵值約為 78.7 比特。安全專業人士通常將 60 比特視為強密碼的最低門檻,將 80 比特視為即使面對國家級對手也很強的等級。NIST 數位身分指南(SP 800-63B)已經從複雜度規則轉向強調長度,這也說明了原因:替一個 94 字元池的密碼多加 1 個字元,往往比把一個字母換成符號更有價值。
破解時間的估算假設攻擊者以現代 GPU 的速度進行窮舉暴力破解,約每秒 100 億次(10^10)嘗試,這對 MD5 等快速雜湊函式來說是合理的。對於 bcrypt、Argon2 或 scrypt 這類較慢、且較吃記憶體的演算法,有效嘗試速率會降至每秒數百萬甚至數千次,因此這裡顯示的破解時間其實非常保守。
熵值計算假設每個字元都是獨立且均勻隨機選取的。人類自行設定的密碼往往不符合這個假設——字典單字、鍵盤模式和可預測替換都會讓有效熵遠低於理論上限。因此,這裡計算出的熵值對使用者自設密碼而言只是上限;只有由密碼管理器產生的密碼學隨機密碼,才真正接近此計算器顯示的數值。
密碼熵範例
三個複雜度遞增的密碼範例,展示熵值與破解時間如何隨長度與字元多樣性變化。
| 密碼設定 | 熵值 | 強度 / 破解時間 |
|---|---|---|
| 8 碼,僅數字(池大小 = 10) | 26.6 bits | 非常弱。8 位數字的 PIN 風格密碼組合少於 1 億種,任何現代電腦都能在 1 秒內破解。 |
| 10 碼,僅小寫字母(池大小 = 26) | 47.0 bits | 一般。10 個小寫字母組成的密碼大約有 141 兆種組合。以每秒 100 億次嘗試計算,窮舉大約需要 4 小時。 |
| 14 碼,大小寫 + 數字 + 符號(池大小 = 94) | 91.8 bits | 非常強。組合數超過 10²⁷。即使每秒 10¹⁰ 次嘗試,窮舉搜尋也會比宇宙年齡更久。 |
| 16 碼,大小寫 + 數字(池大小 = 62) | 95.3 bits | 非常強。移除符號但再增加兩碼長度,仍然可達到 95 比特以上的熵值——這說明長度往往比複雜度更重要。 |
如何使用密碼熵計算器
- 在「密碼」欄位中輸入或貼上你的密碼。計算器會自動偵測包含了哪些字元類別,並據此設定字元池大小。
- 如果你不想輸入真實密碼,也可以切換到手動模式,直接指定字元池大小和密碼長度。
- 點擊「計算」即可查看熵值(比特)、強度評級、偵測到的字元類別,以及預估的暴力破解時間。
- 如果密碼較弱,可以增加字元類別或加長密碼;熵值會立即更新,方便你看到影響。
- 點擊「重設」可清空所有輸入並開始新的分析。
密碼熵計算器常見問題
密碼的熵值多少才算好?
安全從業者通常將 60 比特視為線上帳戶的基本門檻,80 比特或以上則可視為強密碼。NIST SP 800-63B 建議密碼至少 8 個字元,但更強調長度而非複雜度。使用大小寫字母、數字與符號的 12 碼密碼大約可達到 78 比特——對大多數用途來說已屬強密碼範圍。
熵值能保證密碼安全嗎?
熵值衡量的是在隨機選字元前提下的理論不可預測性。人類自設密碼往往遠低於理論上限,因為人們常使用字典單字、人名、日期和可預測模式。密碼管理器產生的真正隨機密碼才能達到此計算器顯示的完整熵值;同樣長度的人類自設密碼,其有效熵通常低得多。
為什麼符號對熵值影響這麼大?
加入符號類別後,字元池會從大約 62 個字元(大小寫 + 數字)擴展到約 94 個字元。此時每個字元承載的熵從 log₂(62) ≈ 5.95 比特增加到 log₂(94) ≈ 6.55 比特,每個字元增加約 0.6 比特。對一個 12 碼密碼來說,這大約相當於多出 7 比特,幾乎等同再增加 1 個字元。長度和字元類別都很重要。
破解時間是怎麼估算的?
破解時間假設攻擊者以每秒 100 億次(10^10)嘗試的速度進行窮舉暴力破解,這大致反映了目前 GPU 對 MD5 或 SHA-1 這類快速雜湊的能力。對 bcrypt(cost 12)或 Argon2 這類慢雜湊,有效速率會降到每秒約 10,000–100,000 次,因此這裡顯示的破解時間其實是非常保守的下限。
我應該把真實密碼輸入到這個計算器嗎?
所有熵值計算都完全在瀏覽器中完成——不會把任何資料送到伺服器。不過,如果你想更謹慎,也可以使用手動模式,只輸入字元池大小和長度,不暴露密碼本身。由於熵值只取決於長度和字元池大小,兩種方式的結果是一樣的。
熵值和密碼強度評級有什麼差別?
熵值是一個以比特表示的精確數學量。Very Weak、Weak、Reasonable、Strong、Very Strong 這類強度評級只是把熵值區間映射成容易理解的判斷。這裡使用的邊界是:低於 28 比特為 Very Weak,28–35 比特為 Weak,36–59 比特為 Reasonable,60–127 比特為 Strong,128 比特以上為 Very Strong。