世界上难办的事情分为两种： 一种是困难的，一种是麻烦的。

密码管理是第二种。

密码管理，是属于那种如果简单了，就容易被盗，而如果复杂了，又容易记不住的事情。

本期内容就来彻底帮大家解决这个问题。

一、密码是怎么被盗的

互联网有云： 上网不安全，安全不上网。

只要上网，你的密码就有被盗的可能，因为风险会发生在上网的每一个环节。

比如 在输入密码时 ，如果电脑有 *号盗**木马 ，那么密码就会被窃取。

比如 在网络传输时 ，如果密码传输时 未加密 ，又或者你访问的网站本身就是 钓鱼网站 ，那么密码一样也会被窃取。

1、拖库

但真正让用户担心的，还得是“ 网站数据库泄漏 ”。

也就是我们把密码交给了网站，但网站保管不善，把密码泄漏了出去，比如 2011 年的“ CSDN 密码外泄事件 ”。

业界把黑客窃取网站数据库的行为，叫做“ 拖库 ”，也戏称叫做“ 脱裤 ”。

在众多数据库泄漏事件中，最知名的当属 2013 年 Adobe 公司的数据库泄漏 。

事件影响超过 1.52 亿个帐户，于是一个叫做 https://haveibeenpwned.com（我被搞了吗） 的网站成立。

只需要输入 邮箱 ，就可以查询自己的帐号是否泄漏。

如果网站的数据库未加密，那么你的密码就相当于 “裸体 ”，比如此前的“ CSDN密码外泄事件 ”就是明文储存。

2、洗库

可即使网站做了加密，同样也有被破解的风险。

大多数网站会采用“ MD5 加密 ”，也就是 将用户密码散列为 32 位字符 ，这个过程单向不可逆，理论上无懈可击。

但黑客会对密码进行 枚举破解 ，然后把密文做成一个索引表，由此来反推原始密码，这个表也被叫做为“ 彩虹表 ”。

业界把黑客对数据库进行破解，然后按一定格式进行整理的行为，叫做“ 洗库 ”。

一些网站还会在 MD5 加密 的基础上，进行 加盐 （Salt）。

也就是在原来的基础上 添加一个随机数 ，再重新获得新的 MD5 加密值 ，这样密码的安全性就大大提高。

可要是你的密码很简单！

即便是“ 加密加盐 ”了，通过“ 彩虹表 ”还是可以破解，所以一些涉及财产的网站，都会要求用户进行“ 二次验证 ”。

比如 短信验证码、邮件验证码、动态令牌、USB Key 等方式。

3、撞库

洗库成功后，黑客还会把有效的帐号密码，去别的网站上登陆，这个过程叫做“ 撞库 ”。

原因是很多人喜欢在不同的网站上使用 同一套帐号密码 ，也就像是 一把钥匙可以打开多扇门 。

此前的“ 京东密码泄漏事件 ”，就是黑客用“ 撞库 ”的方法获得了一些用户数据，而京东本身的的数据库并没有泄漏。

黑客还会将窃取的数据库，在*市黑**上交换或出售，由此形成的“ 社工库 ”异常庞大，撞库成功的几率也就非常的高。

你的密码被盗也就不奇怪了。

二、常见密码管理方法

所以，要保障密码安全，我们要做的：

一是使用复杂密码 ， 二是在不同网站使用不同密码 。

但做到这两点，同时还要让密码容易记住，那就需要些技巧了，目前有两种方法。

1、基础密码法

一种方法，是通过「 基础密码+网站名称+变化规则 」来构建一套“ 看似乱码实则安全容易记 ”的密码清单。

首先，选定一个基础密码 。

选择一句话做为基础密码，可以是这句话的拼音或者英文。

然后，混合加入网站名称。

取各个网站域名的第 1~2 和第 3~4 位字母， 分别加入到密码的开头和结尾 。

最后，添加一套变化规则 。

比如把数字 21 ，变成按 Shift 键之后的特殊字符 @! ，比如把密码的 第 2 和 倒数第 2 位字母 ，变成大写字母。

但这套密码清单算不上绝对的安全。

因为黑客也不傻，只需要对比两三个样本后，变化规则就会被看穿了。

而且，如果某个网站需要改密码，那么就会在原来的规则基础上增加 例外规则 ，例外规则多了，也就没有规则了。

2、管理工具法

于是，另一种 完全不用记密码，甚至不需要任何技术 的方法出现，那就是用“ 密码管理工具 ”。

它的思路， 是给每个网站都有一个独立的随机密码 ，然后这些密*会码**用工具保存起来，需要时可以自动填充。

我们需要做的，只是记住一个 主密码 。

现在各大浏览器都有密码管理功能，但就 功能以及多平台通用 来看，还是“ 第三方密码管理工具 ”更加好用。

比如有 BitWarden、EnPass、Lastpass、KeePass 和 1PassWord 等等。

你要问安全不安？

这些密码管理工具，都采用了 AES-256 这类极高的加密算法，除非用 量子计算机 ，否则完全没有破解的可能。

你要问要钱不要钱？

密码管理工具的选择很多，免费付费的都有，但奶酪推荐的是 BitWarden ，不但 开源免费 ，而且上手还非常简单。

三、如何使用 BitWarden

下面我们来讲讲 BitWarden 的具体使用，实现网站的 自动化登录 。

1、快速登录

如果是个人电脑，我们可以在 BitWarden 设置里选择 “ 从不退出 ”。

如果是公司电脑，那么可以用 PIN 码 登录，手机端还支持 TouchID、FaceID 这样的生物识别技术，很方便。

2、填写密码

使用 右键菜单 ，或者快捷键 Alt+L （可自定义）可以一键填写密码。

勾选“ 设置—> 选项—> 启用页面加载时的自动填充 ”的话，那么扩展还会 自动填写密码 ，连手动操作都省去了。

3、填写表单

BitWarden 的自动填表功能包括 4 类： 登陆、支付卡、身份、安全笔记 。

登陆：

用于保存帐号和密码，最主要用的就是这个。

支付卡：

用于保存信用卡信息，国内可能很少用到，可以忽略。

身份：

用于保存注册帐号时的身份信息。

安全笔记：

用于保存私密信息，比如 卡号、序列号、密钥 等之类的，都可以保存在这里。

这里要特别讲一下“ 身份 ”。

就是在注册帐号时，需要输入 邮箱、用户名、姓名 等信息，如果事先把这一套“ 身份 ”信息保存起来。

那么在注册时，就可以自动填写注册信息。

要区分大号小号时，还可以设置多套“ 身份 ”信息。

但要注意的是，注册时，如果填写的帐号密码没有自动保存，那么需要点击扩展右上角的“ + ”图标来手动添加。

四、BitWarden 常见问题

1、主密码忘记了怎么办？

BitWarden 有“ 密码提示 ”功能，通过邮件可以获得。

但如果全都忘记了，那就只能将 BitWarden 帐号删除，然后你注册过的网站，可以通过网站的“ 忘记密码 ”找回。

所以， 千万别忘记主密码 。

2、公共场所登录怎么办？

比如需要在 网吧、图片馆、别人电脑 等非私密场合登录，可以使用手机端的 “ Send ” 功能。

也就是将密码以“ 链接 ”的形式分享出去，然后设置有效期为 访问 1 次后失效 ，这样就不用担心密*会码**泄漏的问题。

3、无法自动填写怎么办？

一般情况下，登陆 QQ 等客户端软件时。

只需要打开密码库，将密码复制，然后粘贴到登陆窗口就可以了。

如果真有一些网站或软件，它们既 无法自动填充 ，也 无法粘贴密码 ，那么就用“ 基础密码法 ”来设置一套密码吧。

结尾

可以说，能做到这些，你这一辈子就 不会再有密码安全，以及密码记不住 的问题了。

如果还是有，那我建议 再读一遍 这篇文章。

最后，如果再有人说他密码经常被盗，又或者说记不住密码，那就把这篇文章发给他吧…

专栏介绍

本专栏「 网上冲浪指南 」致力于“ 提高上网姿势水平 ”。

特点是：“ 原创新鲜、系统连贯、给渔授渔 ”。

力求一篇文章，讲清楚一个主题，争取每篇文章都是该主题下的 Top3 ，甚至 Top1 。

看完记得：

点赞 ，点赞是免费的，但却能激励我保持创作，还能帮助更多的人看到这篇文章。

留言 ，有任何问题，都可以在评论区留言，我会尽可能回复。

关注 ，关注我，这样可以第一时间获取更新。

以上。