作為一位網站編輯，三易菌在日常工作中總是需要記住很多很多的密碼，有我們自己網站後臺管理頁面的，有工作郵箱的，有各種各樣媒體分發平臺的，還有許多友站的會員賬號，以及各種資訊和論文網站的付費賬號，再加上為了安全，所有這些密碼都會不定期進行修改，同時還需要在單位、家中，以及出差專用的膝上型電腦和手機等多臺裝置上進行同步。可以想見，管理所有的這些密碼，本身就不是一件容易的事情。

正因如此，我們其實很早就關注過一些專業的“密碼管理軟體”，例如大名鼎鼎的LastPass、號稱免費的Bitwarden，以及某些手機或者電腦中自帶的密碼管理功能。

事實上這類軟體有三個共同的特徵，其一就是可以記住賬號和密碼並進行便利的批次管理。例如修改了某個網站的賬戶密碼後，這些軟體就會自動記住新密碼，不需要再專門到軟體中再次修改一遍。

二是可以將這些密碼與生物識別特徵掛鉤。比如用一個指紋關聯一批性質相同的密碼，需要登入的時候掃一下指紋，軟體就會自動輸入正確的密碼，從而避免了“死記硬背”的麻煩。

三就是此類軟體普遍支援在多個裝置間自動對密碼進行同步。比如剛換了一臺新手機或新電腦，那麼只需要安裝上相應的密碼管理軟體，其他裝置上已有的密碼就會被自動同步過來，不需要再次手動輸入一遍。

怎麼樣，是不是覺得特別方便？然而出於業內人士的直覺和對自身工作資料重要性的考量，我們並未使用這類軟體。事實上，我們主要擔心的是其跨裝置同步機制會導致密碼被軟體運營方所取得，或者至少是可能暴露在它們的伺服器中，從而導致一定風險。

如今看來，不得不說我們的做法可以說是非常正確，但我們所擔心的理由本身卻並未成立。因為這些“密碼管理軟體”真正的安全漏洞還不在於其同步機制，而是發生在更簡單、同時也更加令人難以置信的地方。

近日，德國安全公司Exodus對市面上多款“密碼管理軟體”進行了深入調查。他們發現，一方面這些密碼管理軟體確實會使用高度加密演算法和點對點傳輸等安全技術，來確保密碼在上傳到伺服器以及在不同裝置之間同步時的安全性；但從另一方面來說，真正不安全的其實並非密碼同步機制，而在於這些軟體本身就可能存在嚴重的安全漏洞。

為什麼會這麼說呢，主要的原因在於，許多此類密碼管理軟體出於商業利益的考量，會整合名為“跟蹤器”的外掛。以最為知名的密碼管理軟體LastPass為例，其一口氣內建了七個“跟蹤器”。其中四個是由Google提供，主要用於偵測和記錄軟體使用中發生的崩潰和錯誤等現象，並自動將錯誤報告傳回開發者以供進行分析改進，而另外三個跟蹤器則分別來自三家資訊分析企業，這些跟蹤器會記錄使用者在使用軟體時的一些行為資訊，比如電腦或手機的型號、配置、使用者是否習慣使用指紋來關聯密碼，以及使用者所處的位置資訊等。

很顯然，這些“跟蹤器”收集資料的目的是為了進行市場分析，客戶調查，以及用於精準地投放廣告。雖然在公開宣告中，我們可以看到軟體公司聲稱“跟蹤器”並不會收集或上傳使用者的密碼資料，但Exodus方面指出，關鍵的問題並不在於跟蹤器的行為是怎樣的，而在於提供這些“跟蹤器”的市場調查公司可能並不具備很高的程式設計水平。

也就是說，雖然密碼管理軟體本身可能用上了最新的加密技術，擁有高度安全可靠的程式碼水平。但廣告公司和市場調查公司的程式設計師水平或許並沒有這麼高，這就導致他們所寫出的這些“跟蹤器”外掛裡，安全漏洞可就太多了。而一旦本身理應是高度安全的軟體集成了這些“跟蹤器”外掛，就算跟蹤器本身不作惡，但其也會為駭客的攻擊大開方便之門，使得原本應該高度安全的軟體變成了到處都是漏洞和易被攻擊的靶子。

更為重要的是，密碼管理軟體與防毒軟體和檔案加密軟體一樣，都屬於涉及到高度安全技術的領域，對於這些軟體公司的程式設計師來說，他們不可能不知道那些市場調查公司或網際網路廣告公司的技術水平是怎樣的，但他們還是選擇在產品中集成了這類可能有問題的外掛。這樣的行為本身，實際上就足以看出相關企業在道德規範以及對使用者利益的重視上，到底抱有怎樣的態度。換而言之，即便它們自身的程式碼再安全、加密功能設計得再好，顯然也不再值得受到我們的信任了。

【本文圖片來自網路】