Diceware 口令短语为什么比一串随机字符更好?

两者都可以很强, 区别在于"每 bit 熵的可记忆性"。一个 6 词口令像 cedar-violet-mantle-quartz-ember-trout 携带约 62 bits,念几遍就能记一辈子。同样 62 bits 的随机字符串大概是 10 位全 ASCII (kR7!mQ9@zX),强度一样,但要背、要电话口述、要在电视遥控器上不出错地敲,难太多了。Diceware(Arnold Reinhold 1995 年提出)的设计初衷就是让人选一个真能记住的高熵秘密,而不是一个只是"记得住" 的弱密码。对于必须装在脑子里的凭证(密码管理器主密码、磁盘加密密钥),口令短语更优;对于管理器替你存的凭证,长随机串也完全可以。

我到底需要多少 bits 的熵?

粗略的现代参考线:低于 40 bits 算弱(离线几秒到几小时就破), 40~60 对低价值账号算中等,60~80 算强(本工具 6 词英文默认约 62), 80+ 算极强 / 能抵御对慢哈希的离线 GPU 攻击。这里的破解时间假设攻击者每秒 10^11(一千亿)次尝试(对 bcrypt 这类哈希的现实离线攻击), 且平均搜索一半的密钥空间。主密码或密码库根凭证建议 7 个以上英文词(约 72+ bits)。加一个数字或符号各只贡献约 3~4 bits, 所以"多加一个词"优于"加一个聪明的后缀"。

词表有多大?熵是怎么算的?

英文词表正好 1296 个词(= 6^4,是常用 3~9 字母词的 EFF short 风格精选子集),所以每个词加 log2(1296) ≈ 10.34 bits。中文词表是 387 个常用双字词,每词约 8.60 bits。熵 = 词数 × log2(词表大小),启用 "追加数字"再加 log2(10)、"追加符号"再加 log2(13)。首字母大写 *不计入*,因为它是攻击者已知的固定变换。说清楚:这不是完整的 EFF 7776 词"long"词表(那是约 12.92 bits/词,但会让页面变臃肿)。我们如实披露真实大小,而不是夸大。想要等同 EFF long 词表的熵, 多加一两个词就行。

能离线用吗?我的口令会离开浏览器吗?

两个问题答案都是肯定的。词表打包进了页面,所有随机性来自浏览器的 crypto.getRandomValues,没有任何网络请求。页面加载完后断网也能继续生成。口令本身绝不被传输、绝不被存储(无 localStorage、无历史列表),而且(不像本站大多数输入)绝不写进 URL。只有非敏感的设置(词数、分隔符、语言、大小写、附加项)会进入分享链接,所以分享你的配置不会泄露凭证本身。

生成一个真能背下来的主密码

密码管理器的主密码是唯一一个你不能存进管理器里的凭证, 得记在脑子里, 还要在手机、被锁住的电脑、别人机器上手敲。一串 20 位随机字符在这种场景下太难顶。换个做法: 选英文模式、6 个词、连字符, 附加项全关, 得到类似 `cedar-violet-mantle-quartz-ember-trout`, 62 bits, 评级"强", 今晚念三遍就能记一辈子。把它敲进管理器的主密码框, 然后关掉这个页面。整个过程口令没有被保存, 也没有发到任何地方。

生成一个家里人不会念错的 Wi-Fi / 物联网密码

访客 Wi-Fi 密码写成 `xK9#mq$2Lp!`, 贴在冰箱上每次都被照着抄错, 客人直接放弃。生成一个 4 词口令并打开"追加随机数字": `garden-rocket-pillow-lemon7`。隔着房间也读得清, 用电视遥控器输也不上火, 而 ~42 bits 远超路过型攻击者对 WPA2 的暴力尝试。把这四个单词用大白话写在便利贴上, 谁都不会敲错。

为共享团队密码库准备一个应急恢复短语

你在给团队的密钥库设置一个"破玻璃"应急凭证, 而它在事故时要靠电话口述, 不是粘贴。用 7 个词、空格分隔、每词首字母大写: `Harbor Velvet Cinder Maple Otter Quartz Drift`。电话里把每个词拼一遍, 对方复述确认。~72 bits 足够做密码库根凭证, 而且"拼七个词典单词"在延迟和压力之下, 比"拼 H、大写 K、美元符号、九……" 靠谱得多。

不用密码管理器也能给每个网站配独立口令

你就是不想装密码管理器, 但又想每个站点用不同凭证。给每个账号现生成一个 5 词口令(`bronze-meadow-saddle-twine-pelican`), 写进一本放在家里的纸质本子, 就完事。每个约 52 bits, 够强、偶尔重敲也记得住, 而且因为每个都是独立随机的, 一个站点泄露了也透露不出其他站点的任何信息。本子始终离线, 口令从不进 URL、不上服务器。

给不信熵值的同事做个现场演示

团队里有人坚持 `P@ssw0rd2024!` 已经"够复杂了"。把这个工具和密码强度检测器并排打开。给他看一个 6 词口令读数是 62 bits / 破解要几百年, 而他那个 11 位 l33t 密码只有 ~36 bits, 还在每一份泄露字典里。上下拖词数滑块, 看熵值每加一个词跳约 10.3 bits, 一个活的、诚实的演示, 说明"靠随机性堆长度"为什么胜过"字符大杂烩"。每词 bits 的读数让这套数学没法被糊弄过去。

Diceware 口令短语生成器

密码学安全的词组口令：自选词数、分隔符、大小写;实时熵值;全程浏览器本地,口令绝不进 URL。

本地处理
分类编码加密
适合快速检查小 payload、令牌、哈希和编码值。

隐私：全程在本标签页用 crypto.getRandomValues 生成。口令不发送到任何地方、不保存、也绝不写进 URL —— 分享链接里只有你的设置参数。复制到密码管理器后即可关闭页面。

词表

词数6 个词

310

分隔符

附加选项

每个词首字母大写追加一个随机数字 (0–9)追加一个随机符号 (!@#…)

你的口令短语

点击生成

强度中等

62 bits 熵值 (10.34/每词)274 天离线破解时间

说明：英文词表为 1296 个词(每词约 10.34 bits),是精选的 EFF short 风格子集,不是完整的 7776 词表。想达到 EFF "long" 词表的熵,多加 1~2 个词即可。

这个工具能做什么

基于 crypto.getRandomValues(密码学安全随机源,非 Math.random)的 Diceware 口令短语生成器。Diceware 的核心思想是:用真随机从一张固定词表里抽几个词拼成口令,而不是让人脑补一串"看着复杂"的字符。原因有两层。其一,人选的密码总会落在可预测的套路里(生日、键盘相邻键、l33t 替换), 真实熵远低于看上去的位数;其二,纯随机字符虽然强,却几乎背不下来,于是被写在便利贴或反复复用。词组口令两头兼顾:`cedar-violet-mantle-quartz` 这样的串念几遍就记住了,而每个词的随机性又把强度顶上去。工具从精选的 1296 词英文词表(或 387 个常用中文双字词)随机抽取 3~10 个词,自选分隔符(空格 / 连字符 / 点 / 无),可选首字母大写或追加随机数字 / 符号,并实时给出精确的熵值(bits)、强度评级和离线破解时间估算。熵与词数是线性关系:英文每加一个词约 +10.34 bits(log2(1296)),6 个词约 62 bits;中文双字词每词约 8.60 bits(log2(387)),词池更小所以读数会如实偏低,可多加词补足。我们诚实标注真实词表大小,而不是冒充完整的 EFF 7776 词表来夸大数字。生成的口令被当作敏感数据:绝不保存、绝不写进 URL, 只有设置参数可分享。100% 浏览器本地运行。

工具细节

输入: 数值; 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出: 即时结果 + 复制 + 预览; 结果区优先给出可操作结果，支持项会显示复制、下载或可视化预览。
隐私: 浏览器本地处理; 主工具逻辑未发现外部 API 调用，输入通常留在当前标签页内处理。
保存 / 分享: 可分享链接状态; 关键设置会进入 URL，复制链接后别人能复现同一组参数。
性能预算: 首屏 JS ≤ 14 KB; 没有声明 WASM 依赖，适合快速打开和移动端使用。
适用场景: 编码加密 · 程序员; 分类和职业标签用于推荐相关工具、组织内链，并帮助用户快速判断是否适合当前任务。

怎么用

1. 输入

把内容粘贴或拖入工具面板。
2. 处理

点击按钮,在浏览器内本地处理,文件不上传。
3. 复制 / 下载

一键复制结果或下载到本地。