怎么在本地生成随机强密码？

一个好的随机密码，应该只用于一个账号，长度足够，字符没有明显规律，并且是在你信任的设备上生成的。对在线密码生成器来说，比较安全的方式是：密码在浏览器本地生成，而不是先发到服务器再返回。

实用规则很简单：普通账号至少 16 位；重要账号 24 位以上；每个网站都用不同密码；不要靠记忆管理所有密码，而是交给密码管理器。

BaseToolbox 的密码生成器可以选择长度、大小写、数字和符号，在浏览器里生成随机密码，适合注册账号、重置密码和创建临时测试账号。

随机比“聪明规则”更重要

人很难真正随机。我们会重复使用生日、姓名、键盘路径、常见单词、品牌名，也会把 a 换成 @、把 o 换成 0，以为这样更安全。攻击者和密码破解工具早就知道这些习惯。

像下面这样的密码不容易记：

V9q!tL6#xR2mP8zW

但这正是它的价值：没有个人线索，没有词典单词，也没有可预测模式。你不应该手动记住它，而应该把它保存到密码管理器里。

NIST 的数字身份指南 SP 800-63B 也强调密码长度、避免已泄露密码，以及不要用过度复杂的规则逼用户走捷径。日常账号里，“唯一”和“足够长”通常比花哨替换更重要。

推荐长度怎么选？

可以按场景选择：

场景	建议长度	说明
普通网站账号	16-20 位	每个网站都生成不同密码。
管理员、云服务、金融	24 位以上	必须保存到密码管理器。
临时测试账号	16 位以上	测试结束后及时轮换。
不支持符号的旧系统	20 位以上	字符集受限时，用长度补足。

如果网站允许更长密码，就优先增加长度。一个很长、随机、唯一的密码，通常比短而复杂的密码更容易评估。

字符集应该怎么勾选？

目标网站支持的话，可以同时包含大写字母、小写字母、数字和符号。字符种类越多，随机生成器可选择的组合越多。

但不要和糟糕的密码表单硬碰硬。有些旧系统会拒绝某些符号，偷偷截断长度，或者不支持空格。如果保存失败，就按它允许的字符集重新生成，并适当增加长度。

不要为了满足“必须有符号”而把密码做得很短。长度不足时，复杂字符并不能弥补所有问题。

为什么要本地生成？

密码从生成那一刻起就是凭证。如果某个生成器把结果发到服务器，服务器理论上就能看到这个密码。

本地生成可以减少这一步暴露：密码在浏览器中出现，你复制到注册或重置页面，再保存进密码管理器。仍然要注意设备环境，例如不要在共享电脑、录屏、远程会议、剪贴板历史工具里暴露密码。

更安全的账号设置流程

重要账号可以按这个流程：

先打开密码管理器里的账号条目。
在本地生成一个随机密码。
粘贴到注册或重置页面。
把完整密码保存到密码管理器。
如果账号支持，再开启 2FA。
清理临时笔记、聊天记录和剪贴板里的密码。

团队账号不要通过普通聊天发送密码。更好的做法是使用密码管理器的共享功能，或者使用带权限控制的密钥管理系统。

什么时候需要换密码？

强随机密码不一定要按日历频繁更换。真正需要轮换的情况包括：

密码发错人了。
网站或供应商报告泄露。
密码被粘到不安全的位置。
团队成员不再需要访问。
同一个密码曾经在别处复用。

轮换应该解决真实暴露，而不是制造仪式感。没有密码管理器时，频繁轮换反而容易让人形成可预测模式。

常见问题

随机密码需要记住吗？

通常不需要。你应该记住密码管理器的主密码，单个网站账号则使用随机生成并保存的密码。

密码一定要有符号吗？

网站支持就加符号。但不要只看符号。长度、随机性和唯一性更重要。

浏览器密码生成器安全吗？

如果生成过程发生在本地，并且你信任当前设备，就可以是安全的。普通密码生成不应该要求登录、上传或服务器生成。

实用规则很简单：普通账号至少 16 位；重要账号 24 位以上；每个网站都用不同密码；不要靠记忆管理所有密码，而是交给密码管理器。

BaseToolbox 的密码生成器可以选择长度、大小写、数字和符号，在浏览器里生成随机密码，适合注册账号、重置密码和创建临时测试账号。

随机比“聪明规则”更重要

像下面这样的密码不容易记：

V9q!tL6#xR2mP8zW

但这正是它的价值：没有个人线索，没有词典单词，也没有可预测模式。你不应该手动记住它，而应该把它保存到密码管理器里。

推荐长度怎么选？

可以按场景选择：

场景	建议长度	说明
普通网站账号	16-20 位	每个网站都生成不同密码。
管理员、云服务、金融	24 位以上	必须保存到密码管理器。
临时测试账号	16 位以上	测试结束后及时轮换。
不支持符号的旧系统	20 位以上	字符集受限时，用长度补足。

如果网站允许更长密码，就优先增加长度。一个很长、随机、唯一的密码，通常比短而复杂的密码更容易评估。

字符集应该怎么勾选？

目标网站支持的话，可以同时包含大写字母、小写字母、数字和符号。字符种类越多，随机生成器可选择的组合越多。

不要为了满足“必须有符号”而把密码做得很短。长度不足时，复杂字符并不能弥补所有问题。

为什么要本地生成？

密码从生成那一刻起就是凭证。如果某个生成器把结果发到服务器，服务器理论上就能看到这个密码。

更安全的账号设置流程

重要账号可以按这个流程：

先打开密码管理器里的账号条目。
在本地生成一个随机密码。
粘贴到注册或重置页面。
把完整密码保存到密码管理器。
如果账号支持，再开启 2FA。
清理临时笔记、聊天记录和剪贴板里的密码。

团队账号不要通过普通聊天发送密码。更好的做法是使用密码管理器的共享功能，或者使用带权限控制的密钥管理系统。

什么时候需要换密码？

强随机密码不一定要按日历频繁更换。真正需要轮换的情况包括：

密码发错人了。
网站或供应商报告泄露。
密码被粘到不安全的位置。
团队成员不再需要访问。
同一个密码曾经在别处复用。

轮换应该解决真实暴露，而不是制造仪式感。没有密码管理器时，频繁轮换反而容易让人形成可预测模式。

常见问题

随机密码需要记住吗？

通常不需要。你应该记住密码管理器的主密码，单个网站账号则使用随机生成并保存的密码。

密码一定要有符号吗？

网站支持就加符号。但不要只看符号。长度、随机性和唯一性更重要。

怎么在本地生成随机强密码？

随机比“聪明规则”更重要

推荐长度怎么选？

字符集应该怎么勾选？

为什么要本地生成？

更安全的账号设置流程

什么时候需要换密码？

常见问题

随机密码需要记住吗？

密码一定要有符号吗？

浏览器密码生成器安全吗？

想直接试试看？

怎么在本地生成随机强密码？

随机比“聪明规则”更重要

推荐长度怎么选？

字符集应该怎么勾选？

为什么要本地生成？

更安全的账号设置流程

什么时候需要换密码？

常见问题

随机密码需要记住吗？

密码一定要有符号吗？

浏览器密码生成器安全吗？

想直接试试看？