你能记住的密码多半不安全

一定要用密码管理器。

在很多情况下，我们都会被要求设置一个密码。而对此，很多人的做法是背住一两个，然后在若干个平台使用一样的密码。这给我们的网络信息带来了巨大的安全隐患。你可能不知道，自己的信息已经被入侵过很多次了。文章教会了我们如何查询自己的信息是否被泄露过，以及不需要记住密码还能让自己的网络信息更安全的方法。本文译自Medium原标题为 "It's a Huge Mistake to Memorize Your Passwords" 的文章，希望对您有所启发。

你不该记住自己的任何一个密码。但我估计你还是记住了几个——我们很多人都陷入了一个固定模式，背好一两个密码，然后在所有的网站和平台上使用这串密码。

这样做肯定是不对的。如果你还在这样做，或者你哪怕记住了一个自己设置的密码，也应该做出一些改变。如今，唯一足够安全的密码就是你不可能背得下来的那个。大量研究表明，密码的重复使用是如今最普遍的网络安全问题。当一个平台被黑（这种事情经常发生），黑客就能够猜测出你使用的其他平台，然后使用相同的密码入侵你的账户。

黑客们经常利用这种证书填充的方法来获取人们的个人信息。假设你在多年前注册了一个Last.fm账户，这家公司在2012年被黑客攻击；如果你的银行卡密码是一样的，那你身份信息就可能泄露了不想让网页记住密码，而这正是因为黑客能够猜中你用了相同的密码。

可能你很幸运，就被黑过一次，但是事实是，很多人都不止一次被类似事件影响过。如果你想了解一下真实情况，只需要把自己的邮箱地址输入Have I Been Pwned中，这一个由信息安全研究者托尼亨特（Tony Hunt）运营的免费服务。

你不应该知道你在任何平台使用的密码。更重要的是，每个网站或者App你都应该有一个单独的密码。

这个网站可以追踪已公开的安全漏洞，涉及到的人和被盗取的信息，它可以揭示有多少公司没能做到保护你的信息安全。我将自己的邮箱地址输入测试后发现，我的信息已经被入侵超过十次。幸运的是，在大多这些不安全网站里我都使用单独的密码。

在2019年，保护你密码的唯一方法就是下线，删除账户，去山林里过上隐居的生活。如果下线生活不适合你，那么就得学会好好管理个人信息。

你应该怎么做

牢记一点：任何一个你正在使用的网站或app都应该有一个单独的密码。

这里就需要密码管理器了。某种程度上来讲，他们与很多家庭在90年代摆在电脑旁边记密码用的小本子差不多。

然而与密码本不一样，这些工具更加的安全，由一个只有你知道的“主密码”锁定，使这个数字保险箱里的内容只有你能够访问。当你注册一个新的网站时，你照常输入所有信息。当你到了输入密码的步骤时，不要输入你惯常使用的密码，点击浏览器上的密码管理器图标，解锁它，然后会生成一个新的随机的密码。这些密码会比你自己能记得住的更长更复杂——而且他们会被储存起来方便日后使用。

下一次使用这项功能时，你可以点击密码管理器的图标（或者使用键盘快捷键）立即登录。如果你一段时间没有登陆你的密码管理器，你可能需要再次输入自己的主密码，这将在一定时间内使保险柜处于打开状态，以便帮你登陆你要登陆的网站。

虽然将你所有的密码集中在单一的工具中好像不是一个好主意，但是它们是为了保护你而设计的。它们使用了非常强大的加密技术，会使你的网络生活更加安全。

我应该使用哪款密码管理器呢？

和VPN服务一样，市面上也有很多密码管家软件。选择一个值得信任的工具是非常重要的，因为无论你最终选择哪一款，都得作一个长远的打算——频繁更换密码管家可不好玩。

下面是几个可靠的选择：

我的选择：1Password

1Password是密码管理器领域的标杆，适用于macOS、Windows、web浏览器、Android和iOS。多年来，我尝试了很多密码管理器，1Password满足了我所有的需求。它本身没有遭遇过严重的信息泄露，它提供简单的全设备同步，检测你受到入侵的账户，使用高科技给你提供更便捷的生活。

1Password是付费使用的（每月2.99美元起），但它为多账号用户提供家庭计划，你可以为你在乎的所有人提供保护。而为密码管理器付钱意味着它背后的公司有动力尽全力为你提供保护。

我使用的所有工具里，1Password提供的服务是在便利性和安全性上做到了最佳平衡。

第二名：Dashlane

如果你想要更多功能的密码管理器，Dashlane是一个不错的选择，它是比1Password更新的一款产品。基础功能相同，但是它还提供一些其他工具，例如在支持该项服务的平台上定期自动更换密码的功能。

我非常喜欢Dashlane，但是这款app并不像1Password一样成熟。这家公司对于新功能的发布也比较怠慢不想让网页记住密码，服务费用也比较昂贵，为60美元每年。

值得一提：KeePass

即使付不想出月供服务费，你也没必要彻底放弃密码保管服务。KeePass是一款开源的密码管理器，它功能不错，而且由一个开发者社区共同开发，为所有人免费使用。

因为它是一个开源软件，KeePass背后的代码不是一个秘密，所以任何人都可以阅读它从而确定它的安全性。但这也意味着黑客们也能阅读它的代码，但历史上还没出过被黑的问题。

然而它与付费软件的一个主要的区别在于可用性。这款软件并没有你在1Password和Dashlane上所能见到的成熟度，所以这款app并没有做到用户友好，在新的平台上架它也做的不积极。毕竟一分钱一分货。

其他工具

LastPass也是一个著名的密码管理器，但是在2015年遭遇了入侵，这让我有所迟疑。而且，它的app是基于浏览器，所以使用起来也不如其他产品一样容易。

苹果Keychain，由iOS和macOS自带，非常方便，但我并不推荐。虽然使用它比完全不加保护要好，但它比起专业的密码管理器来还落后很多，而且它与你的苹果账户绑定——这使它非常脆弱，黑客只需要入侵你的苹果账号就可以了。

最后一件事：主密码的选择

就要讲完了；你需要知道的最后一件事就如何选择“主密码”来保护你的其他登陆账户。

专家们的建议在这一点上有所不同，但是很多人认为，最好的主密码是既不好猜又好记的。这种想法在网页漫画XKCD中出现过，漫画里提出的密码是“正确 马 电池 主食（correct horse battery staple）。”足够奇怪所以很好记，但也很难随即猜中。

以下是我的建议：

一些人并不同意这种创作密码的方式，因为严格来讲黑客是可以暴力破解这种密码的。但是重要的是你得记住，安全问题就像一个象限，你不可能在每个尺度上都做到最优。对我来说这个技巧是好用的，它将好记和信息安全结合了起来。

当你确定了一个主密码，你就可以开始使用密码管理器轻松登录了。

我非常建议你将重要平台的密码立刻换掉，例如你的银行卡密码，苹果ID，或者税务服务密码，这样才能提高你的整体安全。

这种信息安全的保护措施并不有趣，也没有很多人在用——设置这些东西、理解它们的重要性需要时间。（也许不是巧合，最常见的两个密码是“123456”和“password”。）但是一步一步来，通过管理密码你可以帮助自己避免信息盗取。

如果你养成了密码管理器的习惯，下一次听说某个公司网站又被入侵了的时候，你可以睡得更香更甜：至少这些黑客没法盗取你在其他网站的信息。

译者：Jane