昨天群里有人讨论使用汉语拼音构建长密码，认为比较安全。但实际是真的很安全吗？

汉语拼音大约有410-420种，为了计算方便，取最大值420。例如对于拼音密码daxueba进行分析，它是有三个拼音构成，包括7个字母。其复杂程度是420的3次方，即七千万（74088000）。而同样7位英文字母的复杂度是26的7次方，即八十亿（8031810176）。而实际，6位的英文字母的复杂度也有三亿多。

在实际破解中，8位以下的英文密码非常脆弱。所以要达到同等8位英文密码的密码强度，就需要4-5个拼音构成密码。平均一个拼音包含3个字母，所以需要构建的密码长度是12-15位。

千万不要认为国外软件不考虑中文拼音情况。在前一段时间john测试过程中，拼音meituan的Hash值破解只需要3分钟，比数字123的破解仅仅多一分钟，并且测试环境VMware的虚拟机。