密码多又乱,总是记不住?不妨试试专业的密码管理器
# 密码多又乱,总是记不住?不妨试试专业的密码管理器
本文介绍一下密码的重要性、我的密码管理方法论,以及推荐一些好用的密码管理软件。
# 前言
在互联网时代,我们几乎每天都得和各种密码打交道,从邮箱到社交媒体,从购物网站到在线服务,密码多得让人头疼。
相信不少人都遇到过忘记密码的情况,然后又得找回、重新设置一个新密码。
那能否所有平台用同一个密码呢?非常不建议这么做。首先,密码泄漏事件每年都有(甚至不止一次):
- 2011 年,CSDN 遭黑客攻击,600 万用户账号及明文密码泄露,用户资料被大量传播。
- 2015 年,网易的用户数据库疑似泄露,影响数量总共近 5 亿条,涉及邮箱账号、密码、用户密保等。我家里人当时也被影响到了。网易称不存在数据泄露问题,系用户个人造成。
- 2018 年 12 月,12306 网站疑似发生用户信息泄露,410 万旅客信息被低价售卖,还免费公开部分账号供买家验证。中国铁路总公司发布微博称「网传信息不实、未发生用户信息泄露」,但 有记者 (opens new window) 随机挑选了 15 个账号,其中有 8 个可以成功登录,7 个则处于被锁定状态。
- ......
一旦有一个网站的密码泄漏了,就容易被黑客拿去「撞库」:指黑客拿网上已经泄露的用户和密码信息,批量尝试在其他网站/平台进行登录的行为。
总之,所有平台用同一个密码,看起来是方便了,但风险就是全部平台都可能〝失陷〞。你永远也不知道哪个二五仔网站会用明文存密码。
之前百度副总裁谢广军的女儿开盒他人的事情很火,有网友表示查社工库时,发现了自己的不少信息,甚至会包扩常用密码......所以,这也是我开始用密码管理器的原因。
除了网站的问题,用户自己也可能会泄漏密码,例如密码设置的太简单,使用个人信息作为密码(如生日),点了不明链接,上了一些仿造官网的钓鱼网站,下载了不明软件,中了木马病毒,遇到网络诈骗,或者连接公共 WIFI 时被抓包......
那能否每个平台都设置不同的密码呢?那就太考验自己的记性了,要记下几十上百个不同密码实在是不太可能的事情。
那如果用不同网站的名字,作为密码的前缀/后缀,然后再加上自己独自想的密码呢?这样做安全性确实有所提升,但如果有一个平台的密码被泄漏,其他平台的密码也有可能被〝猜〞出来,还是不太安全。
更何况,每天回忆密码和输密码还容易导致脱发和腱鞘炎 🤔。
# 密码管理器的必要性
此时,密码管理器不失为一个合适的选择 ,它可以:
- 自动生成复杂密码,大大降低被破解的风险
- 可以自动填充密码,告别手动输入
- 注册网站后,自动提示保存密码到密码管理器(注意 iOS 会禁止第三方自动保存密码)
- 统一保存,支持分组,可以跨平台同步使用,支持密码导入和导出
- 可以自己创建密码管理服务,将数据掌握在自己手中
- 定期检测密码泄漏情况,修改已经不安全的密码
- 添加自定义字段(如备注,密保问题等)
- ......
当然,密码管理器也有缺点:它保存着大量的密码,为了安全性,一般要设置一个密码保护它,后续访问该软件都得输入该密码。如果该密码忘了,基本就 GG 了。说不定可以等以后的量子计算机来拯救?🤣
接下来我会介绍一些常见的密码管理器,然后会介绍一些密码的日常维护技巧,文末还会放出比较好的使用教程。
# 有哪些密码管理器推荐?
# 1Password
官网:https://1password.com
特点:
- 跨平台:Windows,macOS,Linux,iOS,Android
- 老牌的密码管理器,非常知名和流行,密码管理器中的老大,提供企业版和家庭版
- 颜值高,有很多的细节,支持自动抓取网站图标(也可以自定义)
- 可以存储 TOTP 验证码、表单数据,手机号、邮箱、地址、软件许可证、护照、银行卡等信息。
- 支持多设备间同步、密码共享、密码泄漏提醒、不安全的页面(未使用 https)、未打开 2FA 等情况。
- 并没有被曝出过什么恶性的安全事件,在安全性上比较让人放心。
- 付费软件(支持试用),订阅制,一年约 200¥,略贵。当然付费也有好处,能支持开发者保持更新、不跑路。
# Bitwarden
官网:https://bitwarden.com
特点:
- 跨平台:Windows,macOS,Linux,iOS,Android,浏览器插件(支持主流浏览器)
- 完全开源(服务端、客户端、网页端):https://github.com/bitwarden
- 免费版基本功能够用,有收费版,提供了更多高阶功能
- 支持自建,可以自己在 VPS/NAS 甚至路由器上搭一个服务端
- 支持自动填充,双重验证、密码导入和导出、个人身份信息以及银行卡户信息保存
- 支持超时后自动退出,生物识别解锁(人脸、指纹)
# KeePass
官网:https://keepass.info
特点:
- 支持 Windows,Android,
- 完全免费开源,支持复杂密码生成,自动填充,检测密码泄漏,多语言支持(中文)
- 默认的数据库存储在本地,但可以借助坚果云的 WebDAV 实现全平台的同步。配置过程较为繁琐
- 加密方式和加密算法均处于同类软件的领先水平(至今未暴露出任何安全隐患)
- 采用插件机制,拥有众多优秀的第三方开源插件,也可以自己开发
- 当然,这款软件是一款开源软件,虽然官方未正式发布移动版,但很多用户制作了可使用的第三方客户端,也都是免费使用,比如 KeePass2Android 等等。大家可以直接搜索下载体验。
# SafeInCloud
- 跨平台:Windows,macOS,Android,iOS,浏览器扩展,watchOS / Android Wear
- 其桌面端免费,移动端为买断制
- 界面美观优雅,提供家庭版
- 俄罗斯公司开发,没有自建云服务,云同步需要借助第三方网盘实现(Google Drive、Dropbox、OneDrive,WebDAV)
- 缺点:不支持 Linux,没有在线网页版服务,WebDAV 配置略微繁琐,不支持同时创建、管理多个密码库,不支持多用户协同场景
# Passky
特点:
- 跨平台:Windows,macOS,Linux,浏览器插件
- 在功能上直接对标 Bitwarden,支持自建,易于使用,支持双因素身份验证,导入导出,多语言:
- 腌制高,可以自由切换主题或定制自己的主题
# Vaultwarden
特点:
- 跨平台:Windows、Mac、Linux、iOS、Android
- 开源在 https://github.com/dani-garcia/vaultwarden,已获得 37k Star
- 原名叫做 Bitwarden_RS,但为了避免和官方 Bitwarden 混淆,改名叫 Vaultwarden
- 完全免费,与 Bitwarden 兼容,有了Bitwarden 付费版的全部功能,面向个人、家庭和小型组织。
- 轻量级:使用 Rust 这种超高效、超安全的编程语言编写,资源占用极低,仅需 10M 内存便可运行,非常适合在树莓派或 NAS 等低功耗设备上部署。
- 支持自建,多因素身份验证,密码导入导出
# LastPass
官网:https://www.lastpass.com
- 跨平台:Windows,Mac,Linux,iOS、Android、浏览器扩展,Windows Phone、Blackberry、塞班等
- 曾被外媒 TopTenREVIEWS 评为「全球排行第一的密码管理工具」
- 大部分服务是免费的,付费版(挺便宜)支持去广告,增加双重身份认证以提高安全性等
- 但有过多次密码泄露事件
# LockPass
特点:
- 开源在 https://github.com/ftyszyx/lockpass
- 作者模仿 1password 做的,博客写的很详细,有使用教程,设计与开发过程
# Proton Pass
官网:https://proton.me/pass
特点:
- 跨平台:Windows,iOS,Android,扩展
- 来自瑞士,免费开源,官网号称有 1 亿用户使用,注重隐私,旗下还有邮箱、日历、网盘等服务
- 所有字段启用端到端加密
# Enpass
官网:https://www.enpass.io,老牌密码管理工具
特点:
- 跨平台:Windows,macOS,Linux,iOS,Android,浏览器扩展,还提供便携版
- 颜值高,支持深色模式,Windows Hello(可以用生物识别),多设备间同步
- 支持额外创建一个保存在本地的密钥文件,提供多一层保障
# iOS 的密码
苹果在 iOS 18、iPadOS 18 以及 macOS 15 上推出了一款全新、独立的 APP:密码,打开即可查看、创建、编辑、管理密码。
其实之前苹果也有密码管理功能,但是它藏在设置里,后来才独立出来成为一个 APP。
使用教程可以参考官网文档:使用 “密码” App 来创建密码和通行密钥,并跨 Apple 设备进行管理和共享 - 官方 Apple 支持 (中国) (opens new window)
优点:苹果自带,不用额外安装,支持同步、自动填充等
缺点:仅局限于苹果生态,在 PC 端不太友好
# 浏览器自带的密码管理功能
很多浏览器自带了密码管理功能,例如自动生成强密码,保存密码,检测密码,且能跨设备同步:
但浏览器保存的密码,不安全,可以轻易地被其它软件获取,例如 HackBrowserdata,WebBrowserPassView。
参考我的其他文章:
- 不可不知的浏览器使用技巧 (opens new window):含密码管理功能介绍
- 这个工具可以轻松搞到你的浏览器账户密码! (opens new window):介绍了 HackBrowserdata 及其使用教程
# 其他
RememBear (opens new window):比 1Password 更好看、有趣,可惜已经停止维护并下线了
NordPass (opens new window):NordSecurity 的产品,也是高端 VPN 服务 – NordVPN 的创建者
纸笔:我小时候用小本本记过🤣,可以用来记录密码管理器主密码,避免自己忘记
# 密码的维护
有了密码管理器,下一步就是导入密码了,此外还得对密码进行管理和维护。
建议先对存量密码进行管理。
# 修改简单密码为强密码
如果你有使用简单密码,建议先修改为较强的密码。
在以往的密码泄漏事件中,如果你有看到过其中的信息,你会发现大部分用户都使用的是 10 位以下的密码,其中有不少还包含姓名拼音、生日等信息。更有甚者,密码比用户名还短,或是直接使用了诸如「a123456」这样的弱密码。
哪怕是重要的军方系统,也可能使用这样的弱密码,安全意识太薄弱了:
据乌克兰独立新闻社记者,亚历山大・杜宾斯基(Александр Дубинский)披露,乌克兰武装部队(ВСУ)的 “第聂伯罗” 军事自动化控制系统,服务器网络保护十分原始,用户名和密码是 “admin 123456”
国外有一家叫 SplashData 的网站,每年都会从已遭泄露的密码数据中分析出一个最差密码的排行榜。
「123456」和「password」稳居榜单的前两名,其他的密码也是简单的不能再简单了,用耳朵都能想到那种。
# 如何设置一个安全的密码
尽量使用 3 种以上符号,如:大小写字母 + 数字 + 特殊符号;二是长度最好 8 位或以上;三是没有明显的规律。
还可以把密码里的数字和字母互相变形,使用字母来替代部分数字,用数字来代替字母,比如 0 用 o 代替,g 用 9 来代替。
当然,很多密码管理软件自带生成复杂密码的功能,缺点就是不太好记,非常依赖自动填充。
# 如何检测密码是否太弱
设置好密码好,最好再检验一下密码强度。
例如有一个检验密码强度的网站:https://www.security.org/how-secure-is-my-password
输入密码,它会检测密码强度,并给出破解该密码要多久:
# 检查密码泄漏情况
很多密码管理器自带密码泄漏情况(即检查你在用的密码,是否已经被其他人用过,如果是则可能不太安全)。
"Have I Been Pwned" (opens new window) 是一个著名的密码泄漏检查网站,输入邮件地址,它会显示你的密码是否泄漏。
Have I Been Pwned 的创始人 (opens new window):本文介绍该网站创始人的故事。
还有一个数据泄露查询验证的网址(包含几百亿数据):https://cybernews.com/personal-data-leak-check/
# 排除主动/被动泄漏密码
平时注意避免下载避免木马或被钓鱼,排除掉主动泄露密码的可能。
除了密码需要加网站标识之外,最好把自己的常用账号也加上网站标识,不要一个用户名走天下:很多时候,通过搜索同一个 ID 就可以找到你在各个网站注册的账号。不同用户名可以降低被人肉搜索到的风险。
# 参考
“黑哥,帮我盗下前女友的微信号吧,我给钱” (opens new window):介绍了密码相关的知识,以及如何设置好记又安全的密码
从「1 password」到 1Password —— 密码管理器上手小记 - Steven's Blog (opens new window):介绍了使用 1Password 的入门技巧
密码多又乱,总是记不住?不妨尝试一下这款免费密码管理软件 (opens new window):介绍了 Bitwarden 的入门技巧,包括注册登录,插件使用
KeePass—— 记性不好,软件来凑 (opens new window):介绍了 KeePass 的具体的操作细节
一劳永逸:KeePass 全网最详使用指南 - 知乎 (opens new window):如题
Passky:一款新晋的免费自部署密码管理器,直接对标 Bitwarden! - 胡萝虎的博客 (opens new window):介绍了如何自建 Passky 以及相关使用技巧
自建 VaultWarden 密码管理器 - 晴空小筑 (opens new window):介绍了如何自建 VaultWarden 以及相关使用技巧
8 Open Source Password Managers to Enhance Your Privacy Game (opens new window):介绍了 8 个开源的密码管理器
