密码熵用 bits 衡量是什么意思?

熵衡量的是不可预测性,单位是 bits。每多 1 bit,攻击者要试的猜测次数就翻一倍。40 bits 的密码大约要试 2^40 次,约一万亿次才能穷举;60 bits 要试一百亿亿次。所以 bits 只涨一点,工作量却暴涨。举例:从 50 bits 涨到 60 bits,攻击者的工作量乘以 1024。

熵的公式怎么算?

公式是长度乘以 log2(字符池大小)。字符池是密码可能取用的字符集合:小写 26、大写 26、数字 10、ASCII 符号约 33。一个用小写加数字的 10 位密码,字符池是 36,熵就是 10 乘以 log2(36),约等于 51.7 bits。

多少 bits 的熵才算安全?

一个粗略尺子:低于 28 bits 很弱,36 到 59 中等,60 以上能扛住大多数离线攻击。重要账号最好做到 80 bits 以上;128 bits 对几乎所有场景都属过剩,相当于强加密密钥的强度。一个在 94 字符池里随机选的 16 位密码约 105 bits,稳稳落在强区间。

暴力破解耗时怎么估?

破解耗时假设攻击者平均搜索一半密钥空间就命中,即 2^bits 除以 2,再除以每秒猜测次数。本工具给出四种速度:在线限速登录每秒 1e3、离线慢哈希 1e9、快速 GPU 阵列 1e12、国家级集群 1e15。一个 60 bits 的密码在 1e15 集群上几分钟就破,在线攻击下却能撑几个世纪。

理论熵和真实强度为什么不一样?

公式假设每个字符都从字符池里随机选。真实密码很少这样。如果你的 12 位密码是 correcthorse 加一个年份,熵公式会报出一个很高的数,但攻击者跑字典或规则化的 wordlist 几秒就破了。把结果当成「真随机密码」的上限,而不是对你实际选的那个密码的保证。

决定下一个密码该多长

你要设一个主密码,希望它扛得住离线 GPU 破解。逐个试不同长度,看着熵和每秒 1e12 的破解耗时往上爬,等离线估算越过「几个世纪」再停手。一个四类字符都用上的 16 位密码能过 100 bits,在暴力破解面前基本不可破,这就是你存进密码管理器前该定下的长度。

信任生成器之前先核一遍

生成器给你一串字符,说它很强。把它粘进来直接读 bits,而不是盲信那个标签。如果 14 位的输出只有 60 bits,说明生成器的字符池很窄;如果有 90 以上, 密钥空间才是真的宽。组合总数和检测到的字符类会告诉你生成器实际用了什么。

给团队或课堂讲清楚密码的数学

你要跟同事讲为什么长度比复杂度更重要。把一个 8 位、堆满符号的密码,和一个 20 位、全小写的密码并排放:论熵,更长更简单的那个每次都赢。实时的 bits 读数和四种攻击速度,把一个抽象论点变成大家能亲眼看着变化的数字。

为应用设定最低熵策略

你需要给注册规则一个具体数字,而不是含糊的「强」字。拿用户真实会选的那类密码来测,读出 bits,定一个下限,比如注册时要求 50 bits。破解耗时那几行会告诉你这个下限对每一类攻击者各能扛多久,让策略落在时间上,而不是凭感觉。

密码熵计算器与暴力破解耗时估算

把密码换成硬指标:熵 bits、字符池大小、组合总数,再按四种攻击速度估出暴力破解平均耗时,全程浏览器本地运算

本地处理
分类开发运维
适合格式化、校验、压缩或检查和代码相关的文本。

隐私密码完全在本浏览器标签页里用纯算术分析。任何内容都不会发往服务器,不保存、不记录,也不写进网址。关闭页面,所有痕迹随之消失。

要分析的密码

检测到的字符类:小写大写数字符号扩展

在上方输入密码,即可看到它的熵和暴力破解估算。

这个工具能做什么

一个把密码换成硬指标的密码熵计算器:它有多少 bits 的熵、字符池有多大、可能的组合总数是多少,以及在四种攻击速度下暴力破解的平均耗时。熵按标准公式算,长度乘以 log2(字符池大小),所以一个用到小写、大写、数字和符号的 12 位密码大约落在 78 bits。破解耗时取平均搜索量,也就是一半的密钥空间, 再除以每秒猜测次数:在线限速登录按每秒 1e3、离线慢哈希按 1e9、GPU 阵列按 1e12、国家级集群按 1e15 分别给出。结果是假设密码完全随机时的理论上限。所有计算都在你的浏览器标签页里用纯算术完成。密码不会发往任何地方,不保存, 也不会写进网址。把它当成衡量随机密码强度的尺子,真实密码若含字典词会弱得多。

工具细节

输入: 表单输入; 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出: 即时结果; 结果区优先给出可操作结果，支持项会显示复制、下载或可视化预览。
隐私: 浏览器本地处理; 主工具逻辑未发现外部 API 调用，输入通常留在当前标签页内处理。
保存 / 分享: 可分享链接状态; 关键设置会进入 URL，复制链接后别人能复现同一组参数。
性能预算: 首屏 JS ≤ 9 KB; 没有声明 WASM 依赖，适合快速打开和移动端使用。
适用场景: 开发运维 · 程序员; 分类和职业标签用于推荐相关工具、组织内链，并帮助用户快速判断是否适合当前任务。

怎么用

1. 输入

把内容粘贴或拖入工具面板。
2. 处理

点击按钮,在浏览器内本地处理,文件不上传。
3. 复制 / 下载

一键复制结果或下载到本地。

密码熵计算器适合怎么用

适合穿插在写代码、查问题、做 Review、上线前的小任务里。

适合开发场景

格式化、校验、压缩或检查和代码相关的文本。
把片段整理好再放进文档、工单、提交或交接材料。
不切换工具,快速检查一个小 payload。

开发检查项

压缩、混淆这类不可逆处理,先对副本操作。
除非确认工具本地处理,不要粘贴密钥和敏感片段。
转换后的代码上线前,仍要跑自己的测试或 lint。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

真实使用场景

决定下一个密码该多长
你要设一个主密码,希望它扛得住离线 GPU 破解。逐个试不同长度,看着熵和每秒 1e12 的破解耗时往上爬,等离线估算越过「几个世纪」再停手。一个四类字符都用上的 16 位密码能过 100 bits,在暴力破解面前基本不可破,这就是你存进密码管理器前该定下的长度。
信任生成器之前先核一遍
生成器给你一串字符,说它很强。把它粘进来直接读 bits,而不是盲信那个标签。如果 14 位的输出只有 60 bits,说明生成器的字符池很窄;如果有 90 以上, 密钥空间才是真的宽。组合总数和检测到的字符类会告诉你生成器实际用了什么。
给团队或课堂讲清楚密码的数学
你要跟同事讲为什么长度比复杂度更重要。把一个 8 位、堆满符号的密码,和一个 20 位、全小写的密码并排放:论熵,更长更简单的那个每次都赢。实时的 bits 读数和四种攻击速度,把一个抽象论点变成大家能亲眼看着变化的数字。
为应用设定最低熵策略
你需要给注册规则一个具体数字,而不是含糊的「强」字。拿用户真实会选的那类密码来测,读出 bits,定一个下限,比如注册时要求 50 bits。破解耗时那几行会告诉你这个下限对每一类攻击者各能扛多久,让策略落在时间上,而不是凭感觉。

常见踩坑

把熵当成保证。这个数字假设密码在字符池里完全随机。字典词、或人名加年份,会报出很高的 bits,却几秒就被 wordlist 破掉。bits 是「真随机字符串」的上限,不是对你所选密码的判决。
只追复杂度不追长度。给 8 位密码加一个符号,bits 几乎不动;再加 4 个随机字符却能加 25 bits 以上。长度是最便宜的熵。一个长的全小写口令,几乎每次都赢过短而堆满符号的密码。
拿在线攻击那一行去判断已存哈希。每秒 1e3 模拟的是限速登录,不是被拖库的数据库。一旦密码哈希泄露,该看的是离线那几行,1e9 到 1e15,速度可能快上十亿倍,要按这些来判断抗性。

隐私说明

本页面上的每一个数字,熵 bits、字符池、组合总数,以及四个破解耗时估算, 都是浏览器标签页里运行的纯 JavaScript 算出来的。你输入的密码不会发往服务器, 不写入任何存储,不记录,也不会放进网址,因此没有任何可分享的链接会泄露它。关掉标签页,什么都不留下。要测一个你真打算用的密码,这里就是对的地方。

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

程序员

看这个职业的全部工具

密码熵计算器与暴力破解耗时估算

这个工具能做什么

工具细节

怎么用

1. 输入

2. 处理

3. 复制 / 下载

密码熵计算器 适合怎么用

适合开发场景

开发检查项

下一步可以接着做

真实使用场景

决定下一个密码该多长

信任生成器之前先核一遍

给团队或课堂讲清楚密码的数学

为应用设定最低熵策略

常见踩坑

隐私说明

常见问题

单位换算

进制转换器

密码强度检测

密码生成器

Diceware 口令短语生成器

密码泄露检测

AI Eval 计划生成器

API 密钥生成器

ASCII 表格生成器

ASCII 码表速查

awk + sed 命令速查

AWS CLI 命令速查

密码熵计算器适合怎么用