跳到主要内容

密码强度检测:熵值、破解时间、离线泄露匹配

密码强度检测:熵值、破解时间预估、常见泄露模式离线匹配。

  • 本地处理
  • 分类 编码加密
  • 适合 快速检查小 payload、令牌、哈希和编码值。
隐私:你的密码绝对不会离开浏览器:没有网络请求、不存储、不上报。关闭页面即彻底丢弃。
输入或粘贴密码
强度
试个例子:
熵值
0
字符空间: 0
离线 GPU (1e11/秒)
2^entropy / 2 / 1e11
在线爆破 (1e3/秒)
throttled web login

在上方输入密码开始分析。

这个工具能做什么

一个认真做的密码强度检测工具,100% 在浏览器本地运行:你的密码不会经过网络、 不写入存储、不上报任何统计。我们按你实际用到的字符集大小计算 Shannon 熵, 再对重复字符串、键盘序列、年份、字典词等可猜模式进行扣分。预估破解时间给 出两种攻击者模型:受限速的在线登录(约 1,000 次/秒)和离线 GPU 集群 (约 1,000 亿次/秒)。我们内置了 1,000+ 条最常见泄露密码(RockYou 高频项、 厂商默认口令、中英文经典弱口令),使用 Set.has 在本地 O(1) 命中,零网络 请求、不走 k-anonymity API。问题与建议都给具体可执行项:「扩展到 14 位」、 「再加一个符号」、「去掉年份,太容易猜」。在你设定新密码前先来这里跑一遍, 或者审一下你正在用的那个。

工具细节

输入
表单输入
页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出
即时结果 + 复制
结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
隐私
浏览器本地处理
主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
保存 / 分享
免账号使用
打开页面即可使用;刷新后是否保留结果取决于具体工具。
性能预算
首屏 JS ≤ 30 KB
没有声明 WASM 依赖,适合快速打开和移动端使用。
适用场景
编码加密 · 程序员
分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。

怎么用

  1. 1. 输入

    把内容粘贴或拖入工具面板。

  2. 2. 处理

    点击按钮,在浏览器内本地处理,文件不上传。

  3. 3. 复制 / 下载

    一键复制结果或下载到本地。

密码强度检测 适合怎么用

适合做浏览器本地的编码、解码、哈希、令牌检查和可分享转换。

适合编码任务

  • 快速检查小 payload、令牌、哈希和编码值。
  • 把值整理好再放进 API、URL、文档或客服工单。
  • 输入可能敏感时,尽量避开账号型在线工具。

编码检查项

  • 真实密钥不要随便粘贴,除非确认能接受本地浏览器处理。
  • 分享结果前确认这个操作是否可逆。
  • 哈希值要核对算法和大小写是否符合对方要求。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

  1. 1 Bcrypt 生成器 bcrypt 密码哈希生成 + 校验:选轮数,浏览器内 hash 与对比。 打开
  2. 2 密码生成器 基于 crypto.getRandomValues 的专业级密码生成器,强密码 + Passphrase 双模式,纯浏览器运行。 打开
  3. 3 MD5 / SHA 哈希 一次算出 MD5 / SHA-1 / SHA-256 / SHA-384 / SHA-512 五种摘要,全在浏览器本地 打开

真实使用场景

  • 保存生产库新口令前先验一遍

    你正要给生产数据库设 root 密码,先把候选口令贴进来。工具算出只有 38 位熵, 还标出了结尾的「2024」。你换成 5 个单词的 passphrase,熵值直接冲过 80 位, 离线 GPU 的破解预估也从「几分钟」变成「几个世纪」,这才放心提交。

  • 给团队讲清「Summer2024!」为什么不强

    安全入职培训上,新同事坚持自己的密码很复杂,因为大小写、数字、符号都齐了。 你当场把它贴进来:泄露列表命中了「季节+年份」模式,离线攻击者的破解时间显示 不到一秒。这个具体数字比任何一页制度 PPT 都更能说服人。

  • 给密码管理器挑一个主口令

    你要迁到一个 vault,需要一个能记住好几年的主口令。你在这里反复试,直到找到 一个 5 词加 1 位数字的组合,熵值过 90 位、离线模型下是「数十年才能破」。因为 全程不离开这个标签页,你不会把未来的主口令喂进任何服务端日志。

  • 审一个你已经在用的重复密码

    你怀疑某个老密码太弱,但又不想把它输进一个来路不明的网站。本工具完全离线运行, 所以你可以放心检测:结果是 44 位熵,还因为含有「qwerty」片段被扣了键盘序列分。 这个信号足够让你把它在所有复用处轮换掉,先从邮箱和网银开始。

常见踩坑

  • 只看长度判断强度。16 位的「aaaaaaaaaaaaaaaa」几乎没有熵,本工具会对重复串扣分,所以要看熵的位数,而不是字符个数。

  • 迷信「P@ssw0rd」这种 l33t 替换。攻击者默认就会跑这些变形规则,泄露检测照样命中。请改用互不相关的随机单词。

  • 只读在线登录那一档破解时间。「1,000 次/秒」是假设有速率限制;一旦 hash 泄露,要看离线 GPU 那一档,可能快上几十亿倍。

隐私说明

你的密码不会离开这个浏览器标签页。整个分析(熵值、破解时间、1,000+ 条泄露列表匹配) 都是本地 JavaScript 完成,没有 fetch、没有 WebSocket、没有携带输入的统计上报。它不写入 localStorage 或 sessionStorage,也不放进 URL,所以分享链接绝不会带出你的密码。关闭标签页, 你输入的内容就彻底消失。你可以自己在 DevTools 网络面板里验证。

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

看这个职业的全部工具
Made by Toolora · 100% client-side · Updated 2026-06-13