密码强度检测器常见问题解答（FAQ）

Q: 工具宝的密码强度检测器安全吗？

本工具默认在浏览器内完成本地结构分析，不会把密码本身上传到服务器。只有在您主动点击“泄露检查”后，系统才会使用 HIBP 的 k-匿名方式查询公开泄露记录，发送的也只是密码哈希的一小段前缀，而不是原始密码。

Q: 为什么检测器同时显示“密码熵”和“密码强度”？

密码熵是理论上的随机性估算，而密码强度分还会结合字典词、日期、键盘路径、重复片段等现实中常见的可预测模式。两个指标一起看，能更接近真实风险。

Q: 我的密码很长，为什么评分还是不高？

长度本身并不能消除可预测模式带来的风险。如果密码包含常见单词、年份、键盘序列、重复结构，或者在泄露数据中出现过，即使看起来复杂，也可能得到较低评价。

Q: 工具宝是否保存或记录我的密码？

页面不会保存您输入的密码，也不会在默认分析流程中把密码发送到服务器。关闭页面后，这些输入不会作为站点历史记录保存。对于主动运行的泄露检查，系统使用的是不暴露原始密码的查询方式。

Question

1 什么是密码强度检测器？

Answer 1

密码强度检测器是一种安全工具，可帮助您评估密码的安全性。它通过分析多个因素来评估密码强度：

密码长度
字符多样性（大写字母、小写字母、数字、特殊符号）
密码熵值（复杂度和不可预测性）
常见密码模式或字典词汇

根据这些指标，工具会估算密码被暴力破解所需的时间，并提供改进建议，帮助您创建更安全的密码，防止账户被入侵。

Answer 2

本工具默认以本地分析为主，并把泄露检查设计成可选步骤。 这意味着您输入密码后，强度评估、模式识别、熵值估算和深度分析报告都会先在浏览器内完成。

🔒 默认先做本地分析，泄露检查需手动触发

安全与隐私特性：

本地结构分析：默认流程不会把密码本身上传到服务器。
不保存输入内容：页面不会记录您输入的密码或分析结果。
可选泄露查询：只有在您主动点击“泄露检查”后，工具才会使用 Have I Been Pwned 的 k-匿名 方式查询公开泄露记录。
查询不暴露原始密码：泄露检查发送的是密码哈希的一小段前缀，而不是完整密码。

这并不等于“网络上绝对没有任何风险”，但从工具设计上看，默认分析已经尽量留在本地，而可选的泄露查询也采用了更克制的隐私保护方式。

Answer 3

强密码通常具备以下特点：

长度足够 - 建议至少12个字符，16个以上更佳。
随机性高 - 避免使用生日、姓名、常见单词或可预测的序列。
避免可预测模式 - 比起单纯堆字符种类，更重要的是不要使用常见词、日期、姓名和键盘路径。
独一无二 - 不在多个网站或服务中重复使用同一个密码。

弱密码示例: 弱 password123

破解时间: 几秒钟

强密码示例: 强 orbit-lantern-river-mint

破解时间: 数百年

使用我们的在线密码安全评估工具可以快速得出密码强度等级和破解估算时间。

Answer 4

密码强度评分不高可能有以下原因：

密码太短 - 少于12个字符的密码通常较弱
字符种类单一 - 只使用字母或数字
使用常见模式 - "123456"、"qwerty"等易猜组合
包含个人信息 - 姓名、生日、电话号码等
重复字符 - "aaaa"或"1111"等简单重复

现在的检测器不会只建议“多加符号”，而是会尽量指出主要弱点属于哪一类，例如字典词、可预测模式或整体随机性不足。

增加不相关内容

优先增加长度或加入不相关单词，而不是只做符号替换

增加长度

从8位密码扩展到12位以上

移除可预测模式

避免姓名、生日、年份、键盘路径和重复片段

Answer 5

密码熵是衡量密码复杂度和不可预测性的数学指标。它基于以下因素计算：

密码中使用的字符集大小（例如：小写字母26种，大小写+数字+符号=70+种）
密码长度
字符的随机分布程度

熵值越高，说明密码越难被猜中或暴力破解。计算公式为：

Entropy = log₂(字符集大小^密码长度)

例如：

8位纯数字密码：log₂(10⁸) ≈ 26.5位熵值
12位混合字符密码：log₂(70¹²) ≈ 78位熵值

我们的检测工具会为您实时计算密码熵值，并结合破解时间进行综合评估。

Answer 6

因为这两个指标回答的是不同问题，所以我们会同时展示它们，而不是只给出一个单一分数。

评估过程分为多个阶段：

1. 模式检测： 本地识别字典词、日期、键盘路径、重复片段等现实中常见的可预测结构。
2. 熵值估算： 评估密码在理论上的随机性和暴力破解难度。
3. 综合评分： 把结构风险和理论随机性放在一起看，避免“熵高但模式明显”或“长度长但仍好猜”这类误判。
4. 可选泄露检查： 如果您主动运行泄露查询，系统会额外给出一个独立的历史暴露信号。

结论： 熵值更像“理论随机性”，强度分更像“现实使用风险”。把这两个结果分开看，再结合是否曾泄露，通常比只看单一指标更有参考价值。

Answer 7

因为“长”和“看起来复杂”并不一定等于“难猜”。如果评分仍低，通常是以下原因之一：

包含可预测模式： 例如常见单词、年份、日期、键盘序列或只做了表面替换的单词。
长度增长方式不够随机： 只是把同类字符重复很多次，或者在原密码后追加固定后缀，并不会显著提升真实安全性。
泄露检查发现风险： 如果您主动运行了泄露查询并命中公开泄露数据，这个密码应优先更换。

您可以通过“深度分析”查看当前密码更像哪种策略、主要问题是什么，以及下一步应该改成密码短语还是随机密码。

Answer 8

支持，并且支持度很高。 我们已将核心检测引擎升级为现代化的 @zxcvbn-ts/core，它包含了专门的中文词典和语言模型。

中文密码检测特性：

支持全中文字符密码评估。
能准确分析中英文、数字、符号混合的密码。
可识别常见的中文词汇、拼音组合等模式。
科学地计算包含中文字符的密码的熵值。

示例：

中文密码示例: 安全密码2024!

破解时间: 数十年

无论您使用纯中文密码还是中英文混合密码，我们的工具都能准确评估其安全性。

Answer 9

结果具有较高参考价值，但不应理解为绝对结论。 工具的目标是帮助您识别常见风险，而不是替代所有真实世界安全判断。

结构分析： 结合模式识别和熵值估算，而不是只看长度或字符种类。
分层结论： 把本地结构、改进建议和泄露状态分开展示，减少“一个分数代表一切”的误导。
明确边界： 页面也会提示“未发现泄露”不等于风险为零，“查询失败”也不等于安全。

“破解时间”本身只是基于假设模型的估算值，适合用来横向比较不同密码，而不是把它当作现实中的保证时间。对于重要账户，仍建议使用唯一密码并启用双重认证。

Answer 10

不需要。工具宝提供完全免费的在线密码检测服务：

无需注册账户
无需下载软件
无需安装插件
无使用次数限制

🆓 完全免费使用

只需打开密码强度检测器网页即可使用，快捷且安全。支持所有现代浏览器，包括Chrome、Firefox、Safari和Edge。

Answer 11

页面不会保存您输入的密码，也不会在默认分析流程中把密码发送到服务器。

强度评估、模式检测和深度分析默认都在本地执行
不记录密码输入内容和本地分析结果
可选的泄露检查需要手动触发，且不发送原始密码
关闭页面后，当前输入不会作为工具历史被保存

如果您对任何联网操作都非常敏感，可以只使用本地分析，不运行“泄露检查”按钮。

Answer 12

除了使用强密码外，我们推荐以下安全实践：

使用随机密码生成器

生成高强度、不可预测的密码

每个网站使用不同密码

防止一个网站泄露危及所有账户

定期更换密码

每3-6个月更新重要账户密码

使用密码管理器

安全存储和管理所有密码

启用双重认证(2FA)

为账户添加第二层保护

警惕钓鱼攻击

不点击可疑链接，不在非官方页面输入密码

结合这些措施，您可以大幅提升账户安全性，有效防范各种网络攻击。