密码短语与密码：技术安全比较

密码是一种简短的身份验证字符串，通常为8至16个字符，由字母、数字和符号组合而成。密码短语是由多个单词组成的较长序列——通常为20至40个字符——其安全性来源于长度而非字符复杂性。从直接的安全角度来看，构造良好的密码短语在密码学上优于典型密码，因为熵随长度呈指数级增长，而非随符号替换而增长。

如果您正在决定为账户安全、服务器身份验证或SSH密钥保护采用哪种方式，答案几乎总是密码短语——但其原因需要理解大多数比较文章完全跳过的底层数学原理、攻击向量和实际部署约束。

什么是密码？

密码是用于向系统验证用户身份的固定长度字符串。大多数传统系统强制执行的惯例模型要求至少8个字符，其中至少包含一个大写字母、一个数字和一个特殊字符。

典型特征：

• 长度：8至16个字符
• 字符集：大写字母、小写字母、数字、符号（!@#$%^&*）
• 常见示例：P@ssw0rd123!

这种模式的问题在于其结构性缺陷。复杂性要求迫使用户采用可预测的替换模式：a 变成 @，o 变成 0，s 变成 $。攻击者十多年前就已知晓这一点。Hashcat等现代基于规则的破解工具会自动应用这些替换模式，这意味着 P@ssw0rd! 与 Password 相比，在面对准备好的字典列表时并没有实质性的破解难度差异。

典型密码的熵

熵以比特为单位衡量：H = L × log2(N)，其中 L 为长度，N 为字符集大小。

使用95个可打印ASCII字符集的随机10字符密码可产生约65.7比特的熵。这听起来很强——但要考虑到用户并非随机选择密码。现实中的密码往往集中在某些模式周围，这会大幅降低有效熵，通常降至30比特以下。

什么是密码短语？

密码短语是由多个字典单词组成的身份验证凭据，通常以空格、连字符或其他分隔符分隔。由安全研究员Randall Munroe在XKCD #936漫画中推广的典型示例是 correct horse battery staple。

典型特征：

• 长度：20至40个以上字符
• 结构：4至6个不相关的常用单词
• 示例：CorrectHorseBatteryStaple

密码短语的安全性来源于单词选择的组合爆炸效应。如果从7,776个单词的列表（专为Diceware设计的EFF大型词表）中随机抽取4个单词，可能的组合数量为7,776^4，约为3.6万亿。这产生约51.7比特的熵——增加第五个单词可将其推过64比特，在保持完全可记忆的同时，达到或超过复杂随机密码的安全水平。

为何长度胜过复杂性

核心数学现实是：每增加一个字符都会使搜索空间成倍增加，但倍增系数取决于字符集。在密码短语中增加一个常用单词（乘以约7,776）远比在密码中增加一个符号（对于常见符号集乘以约32）更有效。长度是抵抗暴力破解攻击的主导变量。

密码短语与密码：技术比较

攻击向量：密码和密码短语如何被破解

在选择凭据格式之前，了解威胁模型至关重要。三种主要攻击类别对密码和密码短语的行为方式截然不同。

暴力破解攻击

暴力破解攻击会遍历每种可能的字符组合。针对随机8字符密码，运行Hashcat的现代GPU集群可在一小时内穷举整个MD5哈希空间。而针对使用bcrypt（成本因子12）哈希的4词Diceware密码短语，同样的硬件需要数百万年——这不仅仅是因为哈希算法本身，而是因为搜索空间大了数个数量级。

实际含义：密码长度是防御针对泄露凭据数据库的离线暴力破解攻击的最重要因素。

字典和基于规则的攻击

这是简单密码短语可能失败的地方。如果用户从名言中构造密码短语（ToBeOrNotToBeThatIsTheQuestion），使用基于短语的字典列表或马尔可夫链模型的攻击者会很快找到它。防御措施是单词选择的随机性——具体来说，使用Diceware风格的方法，通过掷实体骰子或使用密码学安全随机数生成器来选择单词，而非基于个人联想。

用户因为”听起来随机”而自创的密码短语 purple elephant jumps moon 远弱于Diceware工具生成的 wrist panel clam orbit，因为人类对随机性的直觉存在系统性偏差。

凭据填充和网络钓鱼

密码和密码短语都无法防御凭据填充（重放泄露的凭据）或网络钓鱼（直接捕获凭据）。唯一有效的缓解措施是每个服务使用唯一凭据和多因素身份验证（MFA）。然而，密码短语确实降低了重复使用问题，因为与随机字符串相比，它们更容易为每个账户创建唯一的记忆。

实际部署场景

SSH密钥密码短语

生成SSH密钥对时，私钥可以用密码短语加密。这是密码短语最高价值的使用场景之一。如果您的私钥文件被窃取——来自被攻陷的工作站、配置错误的备份或被盗的笔记本电脑——密码短语是最后一道防线。

ssh-keygen -t ed25519 -C "your_email@example.com"

出现提示时，输入强Diceware密码短语。使用 ssh-agent 缓存它，这样您无需在每次连接时都输入：

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519

对于以SSH为主要访问方式的VPS托管环境，强制使用密码短语保护的密钥并完全禁用密码身份验证（在 /etc/ssh/sshd_config 中设置 PasswordAuthentication no）是基础加固步骤。

磁盘加密（LUKS）

LUKS（Linux统一密钥设置）使用密码短语通过PBKDF2或Argon2派生卷主密钥。迭代次数经过校准，在目标硬件上大约需要一秒钟，这意味着密码短语的熵直接决定了离线攻击抵抗力。4词Diceware密码短语提供足够的保护；6词密码短语在当前技术条件下实际上无法被破解。

Web应用程序身份验证

大多数Web应用程序使用bcrypt、scrypt或Argon2对密码进行哈希处理。这些算法的工作因子会减慢离线攻击速度，但密码短语的熵仍然很重要。即使在相同的成本因子下，具有60比特熵的bcrypt哈希密码短语也远比具有30个有效比特的bcrypt哈希8字符密码更具弹性。

服务器和基础设施凭据

在管理关键基础设施的独立服务器上，root和管理员账户凭据应始终使用密码短语——理想情况下是来自Diceware列表的5个以上单词。将此与PAM强制锁定策略和集中式日志记录相结合，以在身份验证层检测暴力破解尝试。

使用密码短语的常见陷阱

使用名言或歌词。攻击者维护着包含常见短语、书名、电影台词和歌词的字典列表。从流行文化中提取的密码短语远比其字符数所暗示的要弱得多。

可预测的单词组合。 SunnyDayHappyLife 使用了四个单词，但遵循语义连贯、乐观的模式，训练有素的语言模型可以高效地生成和测试这类模式。需要真正的随机性——而非”对我来说听起来随机”。

忽略系统字符限制。某些旧版企业应用程序、银行门户和嵌入式系统将密码上限设为16甚至12个字符，并静默截断较长的输入。在依赖密码短语之前，请务必验证系统是否完整存储您的密码短语。如果系统在不发出警告的情况下截断，您的30字符密码短语就变成了12字符密码。

密码短语中的空格和特殊字符。某些系统拒绝密码中包含空格。在单词之间使用一致的分隔符，如 - 或 _（例如 correct-horse-battery-staple），可在保持可读性的同时避免兼容性问题。

在多个服务中重复使用密码短语。密码短语的可记忆性优势可能矛盾地鼓励重复使用。在五个服务中重复使用的密码短语被泄露的可能性是单一使用的五倍。使用密码管理器为每个账户维护唯一的密码短语。

构建强密码短语：技术方法

密码短语生成的黄金标准是EFF Diceware方法：

1. 掷五个实体骰子（或使用等效的CSPRNG）。
2. 读取五位数结果并在EFF大型词表中查找对应单词。
3. 重复5至6次以生成5至6个单词。
4. 对于需要数字或符号的系统，可选择在单词之间插入数字或符号。

# Generate a Diceware-style passphrase using /dev/urandom on Linux
python3 -c "
import secrets
wordlist = open('/usr/share/dict/words').read().splitlines()
words = [secrets.choice(wordlist) for _ in range(5)]
print(' '.join(words))
"

对于生产环境使用，建议使用专用工具，如 diceware（Python包）或 passphraseme，它们使用官方EFF词表和密码学安全随机源。

密码管理器：弥合可用性差距

密码管理器完全消除了可记忆性限制，允许您为每个账户使用随机生成的、唯一的20个以上字符的凭据。保护管理器保险库的主密码应该是强Diceware密码短语——这是您必须记住的唯一凭据，它保护其他所有内容。

具有强安全记录的推荐选项：

• Bitwarden — 开源、经过审计、可自托管
• KeePassXC — 仅本地存储，无云依赖，适合气隙环境
• 1Password — 强大的企业功能，Secret Key架构

在部署带cPanel的VPS或其他托管控制面板时，将面板的主凭据存储在由Diceware密码短语保护的密码管理器保险库中，并在面板本身启用MFA。

多因素身份验证的作用

对于高价值账户，密码和密码短语单独使用都不够。MFA（多因素身份验证）添加了第二个验证层——TOTP代码、硬件安全密钥（FIDO2/WebAuthn）或推送通知——使得在没有物理访问第二因素的情况下，被盗凭据变得无用。

关键账户的推荐配置：

• 身份验证因素1：强Diceware密码短语（您知道的东西）
• 身份验证因素2：FIDO2硬件密钥，如YubiKey或Google Titan（您拥有的东西）
• 备份：存储在加密保险库中的安全恢复代码

特别是对于电子邮件托管账户，MFA是不可或缺的。电子邮件是几乎所有其他账户的恢复途径——一旦被攻陷，将级联导致所有关联服务的账户被完全接管。

法规和合规性考虑

NIST SP 800-63B（2017年，2024年更新）明确摒弃了强制复杂性规则，转向基于长度的策略。NIST现在的主要建议包括：

• 允许密码长度至少达到64个字符（支持密码短语）
• 在没有被攻陷证据的情况下，不要求定期更换密码
• 将新密码与已知泄露凭据列表进行核对（例如HaveIBeenPwned API）
• 不强制实施会通过鼓励可预测模式来降低熵的组合规则（强制符号、数字）

仍在执行 minimum 8 characters with uppercase + symbol + number 策略的组织正在违背当前NIST指导方针。迁移到支持密码短语的策略，最少15至20个字符并进行泄露列表检查，既更安全又更易用。

决策矩阵：何时使用何种方式

对于域名注册账户，将注册商凭据视为一级机密。通过被攻陷的注册商账户进行DNS劫持可以重定向域名的所有流量和电子邮件，绕过所有其他安全控制。

实用要点清单

• 使用CSPRNG的Diceware方法生成密码短语，而非基于个人联想或名言。
• 对于保护敏感数据的任何凭据，最少使用5个单词（约64比特熵）。
• 在依赖密码短语之前，验证目标系统是否接受并完整存储您的密码短语长度。
• 对所有账户使用密码管理器（Bitwarden、KeePassXC），保险库主凭据除外。
• 使用密码短语保护SSH私钥，并使用 ssh-agent 进行会话缓存。
• 在所有生产服务器的 /etc/ssh/sshd_config 中强制执行 PasswordAuthentication no。
• 在每个支持MFA的账户上启用MFA，优先考虑电子邮件、注册商、托管控制面板和金融账户。
• 根据NIST SP 800-63B审计您的凭据策略：取消强制轮换和复杂性规则，添加泄露列表检查。
• 切勿在不同服务中重复使用密码短语，无论它感觉多么令人难忘或独特。

常见问题

密码短语是否总是比密码更安全？

由4个以上Diceware单词随机生成的密码短语几乎总是比用户自选密码更安全。然而，由密码管理器生成的真正随机20字符密码可以匹配或超过密码短语的熵。密码短语的实际优势在于在保持高熵的同时具有可记忆性——而非在所有情况下都具有固有优越性。

密码短语能被AI或语言模型破解吗？

现代大型语言模型可以生成语义连贯的单词序列，这意味着基于有意义句子或常见短语的密码短语比五年前更容易受到攻击。防御措施是严格的单词选择随机性——Diceware生成的、单词之间没有语义关系的密码短语，并不比以前更容易受到LLM辅助攻击。

SSH密钥保护的最小密码短语长度是多少？

对于SSH私钥加密，NIST和大多数安全框架建议长期机密至少具有128比特的熵。5词Diceware密码短语提供约64比特，对于交互式使用被认为是强安全的。对于高保障环境，使用6个单词（约77比特）或将密码短语与硬件安全密钥结合使用。

密码管理器会使密码短语过时吗？

不会。密码管理器为您的所有账户生成并存储高熵随机凭据，但保险库本身必须由您能记住的主凭据保护。该主凭据应该是强Diceware密码短语。这两种工具是互补的，而非竞争关系。

如何处理拒绝长密码短语或空格的系统？

使用大多数系统接受的一致单词分隔符，如 - 或 .（例如 correct-horse-battery-staple）。如果系统强制设置低于20个字符的硬性字符限制，请使用密码管理器生成的随机字符串达到允许的最大长度，并将该系统标记为不符合NIST SP 800-63B规范，以便进行整改。