我帮朋友找回过 3 次 RAR 密码,每次都花了不少时间踩坑。最离谱的一次——密码就是他的手机号后 6 位,试了 2 小时别的组合才想起来。这篇把合法找回密码的方法整理出来,避免你再走弯路。
声明:本文只讨论找回自己文件的密码。破解他人加密文件可能违法。
找回密码前先确认一件事
你是真的忘了密码,还是密码输对了但报错?我遇到过 3 次密码明明对的但一直报错:
- 输入法全角模式——中文输入法默认全角,全角数字"1234"和半角数字"1234"看起来一样但 RAR 不认
- 首字母大写——手机输入法自动首字母大写,密码含小写字母的注意检查
- 末尾空格——从网页复制密码时可能带入空格
最稳的输入方式:先在记事本里输入密码,确认全半角正确,再复制粘贴到 WinRAR 密码框。
方法一:试常见密码组合
很多人的密码有规律,花 5 分钟试一遍比跑工具快:
- 生日(自己、配偶、孩子的)
- 手机号后 6 位
- 姓名拼音
- 123456、password、888888
- 之前用过的其他密码
- 6 个 0、6 个 8、6 个 6
我帮朋友找回的 3 次密码分别是:手机号后 6 位、老婆生日、公司工号。都是常见组合。
方法二:检查密码记录
密码可能记在这些地方:
- 浏览器保存的密码(chrome://passwords)
- 密码管理器(1Password、Bitwarden、LastPass)
- 手机备忘录 / 微信收藏 / 便签 APP
- 邮件里发给自己的备忘
很多时候你其实记过密码,只是忘了记在哪。
方法三:ARCHPR 密码恢复工具
Advanced RAR Password Recovery(ARCHPR)是找回 RAR 密码最常用的工具。原理是暴力枚举或字典攻击——逐个尝试可能的密码直到找到正确的。
攻击模式选择
| 模式 | 适合场景 | 速度 |
|---|---|---|
| 暴力破解 | 知道密码长度和字符类型 | 慢 |
| 掩码攻击 | 知道密码的部分内容 | 较快 |
| 字典攻击 | 密码是常见单词或组合 | 快 |
掩码攻击举个例子:你记得密码是 6 位数字,前两位是 19,后四位忘了。设置掩码 19??(? 代表未知字符),只试 0000-9999 共 10000 种,几秒就跑完。
实测速度
我的电脑 i5-12400,ARCHPR 跑 RAR3 格式:
| 密码类型 | 组合数 | 耗时 |
|---|---|---|
| 4 位纯数字 | 10000 | 3秒 |
| 6 位纯数字 | 100万 | 5分钟 |
| 6 位小写字母 | 3亿 | 25小时 |
| 8 位字母数字 | 2.8万亿 | 数年 |
RAR5 格式加密比 RAR3 慢约 10 倍,同样的密码需要 10 倍时间。
免费替代
ARCHPR 完整版约 $30。免费替代:
- RAR Password Unlocker:免费版支持 3 位以内密码
- PassFab for RAR:免费版有长度限制
- John the Ripper:开源免费,命令行工具,需要一定技术基础,但功能最强大没有长度限制
我的建议:如果你只是偶尔找回一次密码,先试方法一和方法二(5 分钟搞定),不行再下 ARCHPR 试用版试试简单密码。8 位以上复杂密码直接放弃,问发送方或重新获取文件。
方法四:确认文件来源问发送方
如果是别人发给你的加密文件,直接问对方密码。听起来傻但真的有人忘了问——我同事收到加密设计稿,自己折腾 2 小时找密码,最后发现发件人就在邮件正文里写了密码,他没看到。
网上那些"在线破解"网站靠谱吗
不靠谱。原因:
- 隐私风险——你要把整个 RAR 文件上传到第三方服务器,文件内容可能被扫描或保存
- 文件大小限制——大部分网站限制 10-50MB
- 成功率低——只支持简单密码(4-6 位数字),复杂密码跑不了
- 收费陷阱——“免费检测"后告诉你密码找到了,付钱才能看
本地工具不需要上传文件,速度快且安全。能用本地工具就用本地工具。
防止以后再忘记密码
- 用密码管理器——1Password、Bitwarden 等自动记录密码,以后不怕忘
- 密码和文件分开保存——微信发文件、短信发密码,不要放一条消息里
- 用固定记忆法——所有压缩包用同一个易记的密码模板(如首字母+生日+特殊字符),不要每换一个文件换一个密码
- 重要文件加备注——在文件名里加提示,如"合同_密码手机后6位.rar”
我帮人找回密码的 3 个真实案例
案例1:6 位数字密码,5 分钟找回 同事的 RAR 密码是手机号后 6 位。直接用 ARCHPR 暴力跑 6 位纯数字,5 分钟出结果。如果一开始就想到手机号,1 秒就能打开——花在试其他组合上的 2 小时纯属浪费时间。教训:先试个人常用密码再跑工具。
案例2:8 位混合密码,放弃 客户的加密合同,密码是 8 位大小写字母+数字混合。ARCHPR 跑了 3 天没出来,预计需要 2-3 年才能跑完全部组合。最后重新找客户要了密码。教训:8 位以上混合密码别指望暴力破解,直接问人。
案例3:掩码攻击 10 秒搞定
朋友记得密码是"公司名缩写+4位数字"。公司缩写 3 个字母确定,4 位数字未知。设置掩码 abc????,只跑 10000 种组合,10 秒出结果。教训:只要记得密码的任何一部分,掩码攻击比纯暴力快几千倍。
密码安全强度对照表
从找回难度看密码安全——能被快速找回的密码就是不安全的:
| 密码复杂度 | 示例 | 找回耗时 | 安全评级 |
|---|---|---|---|
| 4 位数字 | 1234 | 3秒 | 极危险 |
| 6 位数字 | 880102 | 5分钟 | 危险 |
| 8 位数字 | 19900315 | 2天 | 一般 |
| 6 位字母数字 | ab12cd | 25小时 | 较安全 |
| 8 位字母数字 | ab12CD34 | 数年 | 安全 |
| 12 位混合 | k9#Mv2$pL8xQ | 实际不可能 | 极安全 |
加密时建议用 10 位以上混合字符,详见 RAR 加密压缩教程。
加密压缩的完整教程看 RAR 加密压缩教程,其他解压问题看 RAR 解压错误修复大全,文件打不开看 RAR 文件打不开排查。