2026 年密码安全：开发者必知核心

现代密码安全更注重长度、随机性和抗钓鱼能力，而非复杂度规则。开发者需同时兼顾用户体验和防御强度。

长度最重要

长密码短语通常比短而复杂的密码更强。核心是减少可预测的模式。

存储必须用慢速哈希

密码存储应使用 Argon2 或 bcrypt，而非 SHA-256 等快速哈希。salt 是基本要求，必要时还可考虑 pepper。

MFA 与 passkey

重要账户仅凭密码还不够。WebAuthn 和 passkey 的抗钓鱼能力最强，是最优选择。

运营检查清单

• 允许长密码
• 拒绝已泄露的密码
• 减少无依据的强制定期更换
• 对登录和重置接口启用限流