再有人说密码记不住，把这篇文章扔给他

文章插图
世界上难办的事情分为两种：一种是困难的，一种是麻烦的。
密码管理是第二种。
密码管理，是属于那种如果简单了，就容易被盗，而如果复杂了，又容易记不住的事情。
本期内容就来彻底帮大家解决这个问题。
一、密码是怎么被盗的
互联网有云：上网不安全，安全不上网。
只要上网，你的密码就有被盗的可能，因为风险会发生在上网的每一个环节。
比如在输入密码时，如果电脑有盗号木马，那么密码就会被窃取。
比如在网络传输时，如果密码传输时未加密，又或者你访问的网站本身就是钓鱼网站，那么密码一样也会被窃取。

文章插图

1、拖库
但真正让用户担心的，还得是“网站数据库泄漏” 。
也就是我们把密码交给了网站，但网站保管不善，把密码泄漏了出去，比如 2011 年的“CSDN 密码外泄事件” 。
业界把黑客窃取网站数据库的行为，叫做“拖库”，也戏称叫做“脱裤” 。

文章插图
在众多数据库泄漏事件中，最知名的当属 2013 年 Adobe 公司的数据库泄漏。
事件影响超过 1.52 亿个帐户，于是一个叫做 ***（我被搞了吗）的网站成立。
只需要输入邮箱，就可以查询自己的帐号是否泄漏。

文章插图
如果网站的数据库未加密，那么你的密码就相当于“裸体”，比如此前的“CSDN密码外泄事件”就是明文储存。
2、洗库
可即使网站做了加密，同样也有被破解的风险。
大多数网站会采用“MD5 加密”，也就是将用户密码散列为 32 位字符，这个过程单向不可逆，理论上无懈可击。
但黑客会对密码进行枚举破解，然后把密文做成一个索引表，由此来反推原始密码，这个表也被叫做为“彩虹表” 。
业界把黑客对数据库进行破解，然后按一定格式进行整理的行为，叫做“洗库” 。

文章插图
一些网站还会在 MD5 加密的基础上，进行加盐（Salt）。
也就是在原来的基础上添加一个随机数，再重新获得新的 MD5 加密值，这样密码的安全性就大大提高。

文章插图
可要是你的密码很简单！
即便是“加密加盐”了，通过“彩虹表”还是可以破解，所以一些涉及财产的网站，都会要求用户进行“二次验证” 。
比如短信验证码、邮件验证码、动态令牌、USB Key 等方式。
3、撞库
洗库成功后，黑客还会把有效的帐号密码，去别的网站上登陆，这个过程叫做“撞库” 。
原因是很多人喜欢在不同的网站上使用同一套帐号密码，也就像是一把钥匙可以打开多扇门。
此前的“京东密码泄漏事件”，就是黑客用“撞库”的方法获得了一些用户数据，而京东本身的的数据库并没有泄漏。

文章插图
黑客还会将窃取的数据库，在黑市上交换或出售，由此形成的“社工库”异常庞大，撞库成功的几率也就非常的高。
你的密码被盗也就不奇怪了。
二、常见密码管理方法
所以，要保障密码安全，我们要做的：
一是使用复杂密码，二是在不同网站使用不同密码。
但做到这两点，同时还要让密码容易记?。?那就需要些技巧了，目前有两种方法。
1、基础密码法
一种方法，是通过「基础密码+网站名称+变化规则」来构建一套“看似乱码实则安全容易记”的密码清单。
首先，选定一个基础密码。
选择一句话做为基础密码，可以是这句话的拼音或者英文。
然后，混合加入网站名称。
取各个网站域名的第 1~2 和第 3~4 位字母，分别加入到密码的开头和结尾。
最后，添加一套变化规则。
比如把数字 21，变成按 Shift 键之后的特殊字符 @! ，比如把密码的第 2 和倒数第 2 位字母，变成大写字母。

文章插图
但这套密码清单算不上绝对的安全。
因为黑客也不傻，只需要对比两三个样本后，变化规则就会被看穿了。
而且，如果某个网站需要改密码，那么就会在原来的规则基础上增加例外规则，例外规则多了，也就没有规则了。
2、管理工具法
于是，另一种完全不用记密码，甚至不需要任何技术的方法出现，那就是用“密码管理工具” 。
它的思路，是给每个网站都有一个独立的随机密码，然后这些密码会用工具保存起来，需要时可以自动填充。
我们需要做的，只是记住一个主密码。

文章插图
现在各大浏览器都有密码管理功能，但就功能以及多平台通用来看，还是“第三方密码管理工具”更加好用。
比如有 BitWarden、EnPass、Lastpass、KeePass 和 1PassWord 等等。

文章插图
你要问安全不安？
这些密码管理工具，都采用了 AES-256 这类极高的加密算法，除非用量子计算机，否则完全没有破解的可能。
你要问要钱不要钱？
密码管理工具的选择很多，免费付费的都有，但奶酪推荐的是 BitWarden，不但开源免费，而且上手还非常简单。
三、如何使用 BitWarden
下面我们来讲讲 BitWarden 的具体使用，实现网站的自动化登录。
1、快速登录
如果是个人电脑，我们可以在 BitWarden 设置里选择 “从不退出” 。
如果是公司电脑，那么可以用 PIN 码登录，手机端还支持 TouchID、FaceID 这样的生物识别技术，很方便。

文章插图
2、填写密码
使用右键菜单，或者快捷键 Alt+L（可自定义）可以一键填写密码。
勾选“设置—> 选项—> 启用页面加载时的自动填充”的话，那么扩展还会自动填写密码，连手动操作都省去了。

文章插图
3、填写表单
BitWarden 的自动填表功能包括 4 类：登陆、支付卡、身份、安全笔记。
登陆：
用于保存帐号和密码，最主要用的就是这个。
支付卡：
用于保存信用卡信息，国内可能很少用到，可以忽略。
身份：
用于保存注册帐号时的身份信息。
安全笔记：
用于保存私密信息，比如卡号、序列号、密钥等之类的，都可以保存在这里。

文章插图
这里要特别讲一下“身份” 。
就是在注册帐号时，需要输入邮箱、用户名、姓名等信息，如果事先把这一套“身份”信息保存起来。
那么在注册时，就可以自动填写注册信息。

文章插图
要区分大号小号时，还可以设置多套“身份”信息。
但要注意的是，注册时，如果填写的帐号密码没有自动保存，那么需要点击扩展右上角的“+”图标来手动添加。
四、BitWarden 常见问题
1、主密码忘记了怎么办？
BitWarden 有“密码提示”功能，通过邮件可以获得。
但如果全都忘记了，那就只能将 BitWarden 帐号删除，然后你注册过的网站，可以通过网站的“忘记密码”找回。
所以，千万别忘记主密码。
2、公共场所登录怎么办？
比如需要在网吧、图片馆、别人电脑等非私密场合登录，可以使用手机端的 “Send” 功能。
也就是将密码以“链接”的形式分享出去，然后设置有效期为访问 1 次后失效，这样就不用担心密码会泄漏的问题。

文章插图
3、无法自动填写怎么办？
一般情况下，登陆 QQ 等客户端软件时。
只需要打开密码库，将密码复制，然后粘贴到登陆窗口就可以了。
如果真有一些网站或软件，它们既无法自动填充，也无法粘贴密码，那么就用“基础密码法”来设置一套密码吧。
结尾
【再有人说密码记不住，把这篇文章扔给他】可以说，能做到这些，你这一辈子就不会再有密码安全，以及密码记不住的问题了。
如果还是有，那我建议再读一遍这篇文章。
最后，如果再有人说他密码经常被盗，又或者说记不住密码，那就把这篇文章发给他吧…

文章插图

专栏介绍
本专栏「网上冲浪指南」致力于“提高上网姿势水平” 。
特点是：“原创新鲜、系统连贯、给渔授渔” 。
力求一篇文章，讲清楚一个主题，争取每篇文章都是该主题下的 Top3，甚至 Top1 。

文章插图
看完记得：
点赞，点赞是免费的，但却能激励我保持创作，还能帮助更多的人看到这篇文章。
留言，有任何问题，都可以在评论区留言，我会尽可能回复。
关注，关注我，这样可以第一时间获取更新。
以上。