再有人问密码管理，把这篇文章发给他！

Original 奔跑中的奶酪奔跑中的奶酪

1、阅读本文预计需要 7 分钟，并提供了资源下载。

2、本文是「网上冲浪指南」专题i28篇的首次发布。

3、第一时间获取更新，欢迎关注「奔跑中的奶酪」。

导读

世界上难办的事情分两种：一种是困难的，一种是麻烦的。

密码管理属于第二种。

密码是属于那种如果简单了，就容易被盗，而如果复杂了，又容易记不住的事情。

本期内容就帮大家彻底解决这个问题。

文章的一开始可能会点难理解，但别担心，到了后面的实际操作，也就“抖音cmd黑客”的水平。

密码是怎么被盗的

互联网有云：上网不安全，安全不上网。

只要你上网，你的密码就有被盗的可能，因为风险可能发生在上网的每一个环节。

比如在输入密码时，如果电脑中了盗号木马，那么密码就会被窃取。

又比如在网络传输时，如果密码是明文传输，又或者你访问的网站本身就是钓鱼网站，那么密码一样也会被窃取。

但真正让用户担心的，还得是网站数据库泄漏。

也就是我们把密码交给了网站，但网站保管不善将密码泄漏了出去，比如 2011 年的“CSDN 密码外泄事件”，就有超过 600 万帐号密码被泄露。

1、拖库

业界把黑客窃取网站数据库的行为，叫做“拖库”，也戏称叫做“脱裤”。

在众多数据库泄漏事件中，最有名的当属 2013 年 Adobe 公司的数据库泄漏。

事件影响超过 1.52 亿个帐户，于是一个叫做 https://haveibeenpwned.com（我被搞了吗?）的网站成立，只需要输入邮箱就可以查询自己的帐号是否泄漏。

2、洗库

网站一旦被入侵，如果数据库未经加密，那你的密码就相当于裸露在黑客面前，此前的“CSDN密码外泄事件”就是明文储存密码。

可即使网站做了加密处理，也同样有被破解的风险。

现在大多数网站都会采用“MD5 加密”，也就是将用户密码散列成 32 位字符，这个过程单向不可逆，所以理论上无懈可击。

但黑客们会对密码进行枚举破解，然后把密文做成一个索引表，由此来反推原始密码，这个索引表也叫做“彩虹表”。

业界把黑客对数据库进行破解，然后按一定格式进行整理的行为，叫做“洗库”。

在这种情况下，一些网站还会在 MD5 加密的基础上进行加盐（Salt）。

也就是在原来的基础上添加一个随机数，然后再重新获得一个 MD5 加密值，这样密码的安全性就大大提高。

可要是你的密码很简单！

即便是加密加盐，通过“彩虹表”还是可以破解。

所以一些涉及财产的网站，会要求用户进行“二次验证”，比如有 短信验证码、邮件验证码、数字验证码、动态令牌、Usb Key 等方式。

3、撞库

洗库成功后，黑客还会把有效的帐号密码，去到别的网站上登陆，这个过程叫做“撞库”。

原因是很多人喜欢在不同的网站上都使用同一套帐号密码，虽然方便，但这就像是一把可以打开多扇门的钥。

此前的“京东密码泄漏事件”，就是黑客通过“撞库”的方法，凑巧地获得了一些京东用户的数据，而京东本身的的数据库并没有泄漏。

黑客还会将有效的数据库在黑市出售或者交换，久而久之形成的“社工库”就非常的庞大，撞库成功的几率也就非常的高。

你的密码被盗也就不奇怪了。

常见密码管理方法

所以，要保障密码安全，我们要做的是：使用复杂密码，还有在不同网站使用不同密码。

可想要让密码也同时容易记住，那就需要些技巧了，目前有两种方法：

1、基础密码变形法

一种方法是通过「基础密码+网站名称+变化规则」来构建一套密码清单：

首先，选定一个基础密码。

选择一句话做为基础密码，然后取这句话的拼音或者英文。比如 “网上冲浪指南2021” 的拼音是：wsclzn2021。

然后，混合加入网站名称。

取各个网站域名的第 1~2 和第 3~4 位字母，分别加入到密码的开头和结尾。

比如 baidu.com 取前面 4 位字母就是 ba 和 id，混合加入后就是：bawsclzn2021id。

最后，添加一套变化规则。

比如把 2021 里的 21 变成按 Shift 键之后的特殊字符 @! ，也就是：bawsclzn20@!id。

又比如把密码的第 2 位和倒数第 2 位字母变成大写字母，也就是：bAwsclzn20@!Id。

如此一来，我们就得到了一套适用于多个网站，且看似乱码实则安全容易记的密码清单了。

可是，这套密码清单算不上绝对的安全。

首先，黑客也不傻，只需要对比两三个样本后，变化规则就被看穿了。

其次，如果某个网站需要改密码，那么就会在原来的规则之上增加例外规则，例外规则多了，密码管理也就混乱了。

2、密码管理工具法

于是，另一种完全不用记密码，甚至不需要任何技术的方法出现，也就是使用密码管理工具。

它的思路是，让每个网站都有一个独立的随机密码，然后将这些密码保存起来，需要时就会自动填充，我们只需要记住一个主密码就行。

这样的密码管理工具很多，比如有：

BitWarden、EnPass、Lastpass、KeePass 和 1PassWord 等等。

你要问安全不安全？

这些密码管理工具采用了 AES-256 这类极高的加密算法，除非量子计算机出来，否则完全没有暴力破解的可能。

你要问要钱不要钱？

密码管理工具的选择有很多，免费付费的都有，BitWarden 是目前最适合一般用户的选择，开源免费不说，上手还极其的简单。

如何做好密码管理

下面我们来讲讲如何使用 BitWarden。

1、快速登录

如果是个人电脑，可以设置 BitWarden “从不退出”。

而如果是公司电脑，那么可以用 PIN 码的登录方式，手机端还支持 TouchID、FaceID 这样的生物识别技术，很方便。

2、自动填写密码

使用右键菜单，又或者使用快捷键 Alt+L（可自定义）就可以手动填写密码。

勾选“设置—> 选项—> 启用页面加载时的自动填充”，拓展就会自动填写密码，省去了选择的烦恼。

如果出现不能保存的情况，那么需要点击右上角的“+”图标手动来添加。

至于想登陆 QQ 等客户端软件时，使用快捷键 Alt+K 打开密码库，复制密码，然后粘贴到登陆窗口就可以了。

3、自动填写表单

BitWarden 的自动填表功能包括 4 类：登陆、支付卡、身份、安全笔记。

登陆：

用于保存网站的帐号和密码，最主要用的就是这个。

支付卡：

用于保存信用卡信息，一般很少用到，可以忽略。

身份：

用于保存注册帐号时的身份信息。

安全笔记：

用于保存私密信息，比如银行卡卡号、软件序列号等之类的都可以保存在这里。

这里特别讲一下“身份”这一栏。

在注册帐号时，我们需要输入用户名、电子邮箱、姓名、地址等信息。

如果事先将这一套“身份”信息保存起来，注册时就会自动填写，需要区分大号大号时，还可以设置多套“身份”信息。

4、主密码忘记了怎么办？

BitWarden 有密码提示功能，可以通过邮件获得。

但如果你连密码提示都不记得了，那就只能通过邮件将 BitWarden 帐号删除，然后你注册过的网站密码，可以通过“忘记密码”找回。

所以千万别忘记主密码。

5、公共场所登录怎么办？

比如需要在网吧、图片馆、别人电脑等非私密场合使用，那么可以使用手机端的 “Send” 功能。

也就是将密码以“链接”的形式分享出去，设置链接的有效期为访问 1 次后失效，这样就不用担心密码会泄漏的问题。

6、无法自动填写怎么办？

有一些网站无法自动填充密码，也无法粘贴密码，但好在这样的网站极少，如果真遇到了，那就用“基础密码变形法”手动设置一个密码吧。

做到这些，几乎这一辈子你都不会有密码安全的问题。

结尾

能做到这些，这一辈子就几乎不会有密码安全，以及密码记不住的问题了。

如果有其他的问题，欢迎在评论区里留言，我会尽可能的回复。

最后，如果再有人经常密码被盗，再有人记不住密码，那就把这篇文章发给他…

回复关键字
i
查看本系列的所有文章，
回复关键字
i28
获取本文提到的所有资源

相关文章：

看完文章：

1、点在看，帮助更多的人看到这篇文章。
2、写留言，对文章进行评论，我会尽可能回复。
3、点关注，关注我并星标，第一时间获取更新。