作者：奔跑中的乳酪

世界上難辦的事情分為兩種：

一種是困難的，一種是麻煩的

。

密碼管理是第二種。

密碼管理，是屬於那種如果簡單了，就容易被盜，而如果複雜了，又容易記不住的事情。

本期內容就來徹底幫大家解決這個問題。

一、密碼是怎麼被盜的

網際網路有云：上網不安全，安全不上網。

只要上網，你的密碼就有被盜的可能，因為風險會發生在上網的每一個環節。

比如在輸入密碼時，如果電腦有盜號木馬，那麼密碼就會被竊取。

比如在網路傳輸時，如果密碼傳輸時未加密，又或者你訪問的網站本身就是釣魚網站，那麼密碼一樣也會被竊取。

1、拖庫

但真正讓使用者擔心的，還得是“網站資料庫洩漏”。

也就是我們把密碼交給了網站，但網站保管不善，把密碼洩漏了出去，比如 2011 年的“CSDN 密碼外洩事件”。

業界把駭客竊取網站資料庫的行為，叫做“拖庫”，也戲稱叫做“脫褲”。

在眾多資料庫洩漏事件中，最知名的當屬 2013 年 Adobe 公司的資料庫洩漏。

事件影響超過 1。52 億個帳戶，於是一個叫做 https：//haveibeenpwned。com（我被搞了嗎）的網站成立。

只需要輸入郵箱，就可以查詢自己的帳號是否洩漏。

如果網站的資料庫未加密，那麼你的密碼就相當於“裸體”，比如此前的“CSDN密碼外洩事件”就是明文儲存。

2、洗庫

可即使網站做了加密，同樣也有被破解的風險。

大多數網站會採用“MD5 加密”，也就是將使用者密碼雜湊為 32 位字元，這個過程單向不可逆，理論上無懈可擊。

但駭客會對密碼進行列舉破解，然後把密文做成一個索引表，由此來反推原始密碼，這個表也被叫做為“彩虹表”。

業界把駭客對資料庫進行破解，然後按一定格式進行整理的行為，叫做“洗庫”。

一些網站還會在 MD5 加密的基礎上，進行加鹽（Salt）。

也就是在原來的基礎上新增一個隨機數，再重新獲得新的 MD5 加密值，這樣密碼的安全性就大大提高。

可要是你的密碼很簡單！

即便是“加密加鹽”了，透過“彩虹表”還是可以破解，所以一些涉及財產的網站，都會要求使用者進行“二次驗證”。

比如簡訊驗證碼、郵件驗證碼、動態令牌、USB Key 等方式。

3、撞庫

洗庫成功後，駭客還會把有效的帳號密碼，去別的網站上登陸，這個過程叫做“撞庫”。

原因是很多人喜歡在不同的網站上使用同一套帳號密碼，也就像是一把鑰匙可以開啟多扇門。

此前的“京東密碼洩漏事件”，就是駭客用“撞庫”的方法獲得了一些使用者資料，而京東本身的的資料庫並沒有洩漏。

駭客還會將竊取的資料庫，在黑市上交換或出售，由此形成的“社工庫”異常龐大，撞庫成功的機率也就非常的高。

你的密碼被盜也就不奇怪了。

二、常見密碼管理方法

所以，要保障密碼安全，我們要做的：

一是使用複雜密碼，二是在不同網站使用不同密碼。

但做到這兩點，同時還要讓密碼容易記住，那就需要些技巧了，目前有兩種方法。

1、基礎密碼法

一種方法，是透過「基礎密碼+網站名稱+變化規則」來構建一套“看似亂碼實則安全容易記”的密碼清單。

首先，選定一個基礎密碼。

選擇一句話做為基礎密碼，可以是這句話的拼音或者英文。

然後，混合加入網站名稱。

取各個網站域名的第 1~2 和第 3~4 位字母，分別加入到密碼的開頭和結尾。

最後，新增一套變化規則。

比如把數字 21，變成按 Shift 鍵之後的特殊字元 @！ ，比如把密碼的第 2 和倒數第 2 位字母，變成大寫字母。

但這套密碼清單算不上絕對的安全。

因為駭客也不傻，只需要對比兩三個樣本後，變化規則就會被看穿了。

而且，如果某個網站需要改密碼，那麼就會在原來的規則基礎上增加例外規則，例外規則多了，也就沒有規則了。

2、管理工具法

於是，另一種完全不用記密碼，甚至不需要任何技術的方法出現，那就是用“密碼管理工具”。

它的思路，是給每個網站都有一個獨立的隨機密碼，然後這些密碼會用工具儲存起來，需要時可以自動填充。

我們需要做的，只是記住一個主密碼。

現在各大瀏覽器都有密碼管理功能，但就功能以及多平臺通用來看，還是“第三方密碼管理工具”更加好用。

比如有 BitWarden、EnPass、Lastpass、KeePass 和 1PassWord 等等。

你要問安全不安？

這些密碼管理工具，都採用了 AES-256 這類極高的加密演算法，除非用量子計算機，否則完全沒有破解的可能。

你要問要錢不要錢？

密碼管理工具的選擇很多，免費付費的都有，但乳酪推薦的是 BitWarden，不但開源免費，而且上手還非常簡單。

三、如何使用 BitWarden

下面我們來講講 BitWarden 的具體使用，實現網站的自動化登入。

1、快速登入

如果是個人電腦，我們可以在 BitWarden 設定裡選擇 “從不退出”。

如果是公司電腦，那麼可以用 PIN 碼登入，手機端還支援 TouchID、FaceID 這樣的生物識別技術，很方便。

2、填寫密碼

使用右鍵選單，或者快捷鍵 Alt+L（可自定義）可以一鍵填寫密碼。

勾選“設定—> 選項—> 啟用頁面載入時的自動填充”的話，那麼擴充套件還會自動填寫密碼，連手動操作都省去了。

3、填寫表單

BitWarden 的自動填表功能包括 4 類：登陸、支付卡、身份、安全筆記。

登陸：

用於儲存帳號和密碼，最主要用的就是這個。

支付卡：

用於儲存信用卡資訊，國內可能很少用到，可以忽略。

身份：

用於儲存註冊帳號時的身份資訊。

安全筆記：

用於儲存私密資訊，比如卡號、序列號、金鑰等之類的，都可以儲存在這裡。

這裡要特別講一下“身份”。

就是在註冊帳號時，需要輸入郵箱、使用者名稱、姓名等資訊，如果事先把這一套“身份”資訊儲存起來。

那麼在註冊時，就可以自動填寫註冊資訊。

要區分大號小號時，還可以設定多套“身份”資訊。

但要注意的是，註冊時，如果填寫的帳號密碼沒有自動儲存，那麼需要點選擴充套件右上角的“+”圖示來手動新增。

四、BitWarden 常見問題

1、主密碼忘記了怎麼辦？

BitWarden 有“密碼提示”功能，透過郵件可以獲得。

但如果全都忘記了，那就只能將 BitWarden 帳號刪除，然後你註冊過的網站，可以透過網站的“忘記密碼”找回。

所以，千萬別忘記主密碼。

2、公共場所登入怎麼辦？

比如需要在網咖、圖片館、別人電腦等非私密場合登入，可以使用手機端的 “Send” 功能。

也就是將密碼以“連結”的形式分享出去，然後設定有效期為訪問 1 次後失效，這樣就不用擔心密碼會洩漏的問題。

3、無法自動填寫怎麼辦？

一般情況下，登陸 QQ 等客戶端軟體時。

只需要開啟密碼庫，將密碼複製，然後貼上到登陸視窗就可以了。

如果真有一些網站或軟體，它們既無法自動填充，也無法貼上密碼，那麼就用“基礎密碼法”來設定一套密碼吧。

結尾

可以說，能做到這些，你這一輩子就不會再有密碼安全，以及密碼記不住的問題了。

如果還是有，那我建議再讀一遍這篇文章。

最後，如果再有人說他密碼經常被盜，又或者說記不住密碼，那就把這篇文章發給他吧…

專欄介紹

本專欄「網上衝浪指南」致力於“提高上網姿勢水平”。

特點是：“原創新鮮、系統連貫、給漁授漁”。

力求一篇文章，講清楚一個主題，爭取每篇文章都是該主題下的 Top3，甚至 Top1。

看完記得：

點贊

，點贊是免費的，但卻能激勵我保持創作，還能幫助更多的人看到這篇文章。

留言

，有任何問題，都可以在評論區留言，我會盡可能回覆。

關注

，關注我，這樣可以第一時間獲取更新。

以上。