著名密碼管理軟件NordPass于2021年11月公布了2021年人們最常用的200個密碼列表。

毫無意外地，大眾最為廣泛使用的密碼仍然是簡單的數(shù)字組合和單詞，如「123456」和「password」這種過于「樸素」的密碼在排行榜中長期霸占著最靠前的位置。

▲ NordPass 統(tǒng)計出的全球密碼使用榜前十. 圖片來自：NordPass

簡易的密碼會為賬號安全帶來巨大風險，因而愛范兒今天會推薦一款可以免費使用且可全平臺同步的密碼管理工具 Bitwarden。通過它我們可以方便安全的管理自己在各個平臺的賬號密碼。

為什么需要密碼管理軟件？

絕大多數(shù)人在網(wǎng)絡(luò)上的各種服務(wù)里往往使用著相同的密碼。這些密碼要么是上述提到的一些超級簡單，易于識記的數(shù)字排列和字母，要么是自己的個人信息如手機號碼，生日，姓名拼音等的簡單組合。在當前個人信息嚴重泄漏的網(wǎng)絡(luò)環(huán)境下，使用個人身份信息作為密碼其實是存在著巨大隱患的。

對于不同網(wǎng)站和 app 使用不同的「隨機性」強密碼是保障個人網(wǎng)絡(luò)安全的重要舉措。但這又同時帶來另一個問題，我們不可能記住諸多沒有規(guī)律的密碼，將其記錄于文件中又難以方便的調(diào)取使用。眾多的密碼管理軟件便是為「人力所不能及」的記憶和方便的使用而服務(wù)的。

也許你在使用 Edge 和 Chrome 的時候發(fā)現(xiàn)這些最新的瀏覽器已經(jīng)具備「建議強密碼」和「密碼保存」功能，且能跨設(shè)備同步，那么我們?yōu)槭裁催€需要一款專門的密碼管理軟件呢？

▲ Edge 瀏覽器在網(wǎng)站中使用「建議強密碼」功能來生成安全的隨機密碼

其一是 Chrome 或者 Edge 保存在本地的密碼內(nèi)容可以輕易地被其它軟件獲取。當安裝其它瀏覽器時，它會提示導入 Edge 或者 Chrome 的書簽，密碼等內(nèi)容，只要你確認后，這些信息會完整的轉(zhuǎn)移到其它瀏覽器。

事實上，Chrome 的密碼在電腦本地并非明文存儲，但是其使用了 Windows 自帶的加密機制，這僅僅意味著使用其它 Windows 賬戶登錄無法獲得密碼。但在相同的 Windows 賬戶下，其它應(yīng)用理論上都能獲取瀏覽器保存的密碼。若是電腦上存在木馬應(yīng)用，則這些密碼信息會被完全泄露。

▲ 瀏覽器間的數(shù)據(jù)轉(zhuǎn)移功能，可直接轉(zhuǎn)移密碼信息

愛范君發(fā)現(xiàn)其實已經(jīng)有一款綠色軟件 WebBrowserPassView， 在無需 Windows 密碼確認的情況下，便可直接查看和導出本地瀏覽器的所有賬號密碼。很容易想象這種軟件功能若被用作惡意用途，將會帶來多大的危害。

▲ WebBrowserPassView 可直接查看到瀏覽器保存的密碼

其二是瀏覽器的密碼管理缺少靈活的新增密碼功能。用戶無法在移動端的 app 上使用瀏覽器的密碼管理來創(chuàng)建隨機密碼。簡而言之，瀏覽器的密碼管理是為瀏覽器本身服務(wù)，其應(yīng)用范圍很大程度上被限制在了該瀏覽器內(nèi)。

Bitwarden 是什么？

Bitwarden 作為一款密碼管理軟件，它首先要做到的當然是安全。Bitwarden 是一款開源軟件，你也許會有疑問開源是否會導致其保存的密碼遭遇安全性的挑戰(zhàn)，事實上恰好相反。

密碼學中著名的柯克霍夫原則指出，即使知道密碼系統(tǒng)的所有運行步驟，只要缺乏對應(yīng)的密鑰，就無法獲取加密的信息。因而只要保管好解鎖的密鑰，就能確保存儲于其中的各項信息都是安全的。

同時得益于服務(wù)端的開源，我們也可以將 Bitwarden 部署到自己的服務(wù)器上，從而讓數(shù)據(jù)完全掌握在自己手里。

▲ Bitwarden 在 github 上完整開源了服務(wù)端，客戶端，網(wǎng)頁端源代碼

Bitwarden 對用戶的賬號和主密碼使用散列算法進行了處理（散列算法是指對任意的原始數(shù)據(jù)進行計算操作，得到散列值。該計算過程是單向的，不可逆的，人們無法從最終生成的散列值反向得到原始數(shù)據(jù)，從而被廣泛應(yīng)用于數(shù)據(jù)加密），對存儲于其上的各種數(shù)據(jù)都實施了端對端的加密，且原始數(shù)據(jù)加密的過程在本地設(shè)備完成，之后再上傳到 Bitwarden 的服務(wù)器。

因而，Bitwarden 的服務(wù)器上保存的是完全加密后的信息，只有通過用戶設(shè)置的賬號和主密碼才能完成信息的解密。即使在服務(wù)端發(fā)生數(shù)據(jù)泄露，所有信息對第三方仍然是無法理解的密文。

▲ Bitwarden 對賬戶和主密碼使用一系列復雜的散列算法和加密算法來進行處理，確保賬戶安全性

Bitwarden 提供了全平臺的原生軟件，且有著功能完備的網(wǎng)頁端，它的插件支持所有的主流瀏覽器，十分方便用戶在各種情境下的使用。

▲ Bitwarden 對桌面端，瀏覽器，移動端提供了全面的支持

Bitwarden 怎么用？

Bitwarden 的大部分功能對個人用戶免費，在此愛范君僅對免費版的功能做出說明。愛范君僅對免費版的功能做出說明。

注冊賬號，創(chuàng)建一個安全的主密碼

在開始之前，我們首先需要注冊一個賬戶。進入 Create Account | Bitwarden Web Vault ，使用郵箱作為賬號，再設(shè)置 Bitwarden 的主密碼。

▲ Bitwarden 注冊界面

主密碼的設(shè)置建議選取一個不同于其它應(yīng)用的強密碼?？紤]到密碼復雜度，同時又要易于記憶，你可以根據(jù)自己的習慣選擇字母和數(shù)字以及特殊符號的組合，且保證足夠的密碼長度。

具體地，字母最好包含大小寫，數(shù)字避免直接使用身份信息，可以截取手機號碼等記憶牢固的數(shù)字信息的片段并進行簡單易記的二次運算處理，最后，可以插入如感嘆號，問號等特殊符號于某個位置，這將大大增強密碼的強度。

例如，某人名為張三，出生于 1988 年 8 月 26 日，手機號后四位為 2345，那么設(shè)置這樣一個密碼：Sanz!208862?2354。除了插入其中的特殊符號，我們對姓名的拼音進行了簡寫和位移，對出生年進行了加 100 的運算，省去了月份，對出生日期進行了倒序，且對手機號碼后四位的最后兩位也進行了倒序。因為本身我們對個人信息是爛熟于心的，我們所需要記憶的只剩對字母和數(shù)字的二次處理動作以及特殊符號的位置。

以上是提供給大家設(shè)置密碼的一個思路，你可根據(jù)自己喜歡的方式來對原始信息進行二次處理和排列。

設(shè)置完密碼后，我們可以進入 Bitwarden 開發(fā)的 Password Strength Testing Tool 來檢查密碼的強度，我們無需擔心自己的密碼在該網(wǎng)站泄露，因為判別密碼強度這一過程完全是在瀏覽器本地進行的。

▲ 密碼強度檢驗，結(jié)果顯示該密碼強度足夠，預估破解時間達到數(shù)百年

除了設(shè)置一個安全的主密碼，我們還可以開啟「雙重驗證」登錄?！鸽p重驗證」是指登錄賬號除了需要密碼，還需要額外的驗證信息，例如臨時性的郵箱驗證碼。Apple， Google 等互聯(lián)網(wǎng)巨頭已逐步推行甚至實施強制性的「雙重驗證」登錄來保護用戶賬號安全。因而，對 Bitwarden 開啟「雙重驗證」登錄，相當于又加了一把鎖，這將大大提升賬戶安全性。

▲ Google 基于 Android 設(shè)備和堅果云基于微信公眾號驗證碼的「雙重驗證」

▲ Bitwarden 開啟郵箱驗證碼「雙重驗證」

密碼導入和導出

注冊成功后，下載好自己所用平臺的客戶端和瀏覽器插件，就可以開始使用。首先，Bitwarden 提供了導入瀏覽器和其它主流密碼管理軟件密碼庫的功能，從而用戶能夠方便的導入其它平臺的密碼數(shù)據(jù)。

▲ Bitwarden 導入其它平臺的數(shù)據(jù)

除了便捷的導入，Bitwarden 也提供了方便的導出功能。敏感數(shù)據(jù)不能被強制綁定在一個平臺，這也是幾乎所有同類軟件的共識。

▲ 在驗證主密碼后 Bitwarden 可以導出所有數(shù)據(jù)

在瀏覽器中使用 Bitwarden 插件

工作和學習中人們使用最多的場景大多是瀏覽器，因而愛范君首先介紹瀏覽器插件的使用。以 Coursera 網(wǎng)站為例，我們需要注冊一個新的賬號，我們點擊 Bitwarden 插件圖標進入主界面，再選擇右上角的加號「添加項目」。

▲ Bitwarden 瀏覽器插件在網(wǎng)頁中「添加項目」

接著，填入我們要注冊的賬號名稱，點擊上圖中矩形框所圍繞的圖標選擇創(chuàng)建隨機密碼。進入生成密碼的界面后，可以選擇密碼長度，包含的字符類型，確認后點擊右上角的「選擇」，重新進入「添加項目」頁面保存設(shè)置的賬號數(shù)據(jù)。

▲ Bitwarden 密碼生成器

在添加好 Coursera 的賬戶信息后，再次進入 Coursera 網(wǎng)頁，Bitwarden 插件的右小角就會出現(xiàn)一個數(shù)字角標，表示在該網(wǎng)站保存的賬號數(shù)目。點擊 Bitwarden 插件選擇賬號欄后即可自動填充賬號信息到對應(yīng)位置。

▲ Bitwarden 自動填充賬號信息

Bitwarden 支持建立文件夾，從而用戶可以將賬號根據(jù)類型歸納到不同的文件夾中，方便后續(xù)查找。

▲ Bitwarden 文件夾

除了保存網(wǎng)站和 app 的賬號信息，Bitwarden 也能保存?zhèn)€人身份信息以及銀行卡戶信息，同時也支持保存文本內(nèi)容。在添加信息時，打開「重新詢問主密碼」選項，意味著在已經(jīng)登錄賬號的情況下，針對一些敏感信息仍需要輸入主密碼來進一步確保賬戶安全性。

▲ Bitwarden 添加銀行卡戶信息

對 Bitwarden 設(shè)置密碼庫超時動作，在超過一定時間或者重啟瀏覽器后，用戶就需要重新輸入主密碼來確認賬號。當然，你也可以關(guān)閉密碼庫超時的默認設(shè)置。

▲ Bitwarden 密碼庫超時鎖定設(shè)置

客戶端生物識別解鎖

在完成登錄后，Bitwarden 還支持后續(xù)使用設(shè)備自帶的生物識別進行解鎖。如果你的 PC 支持 Windows Hello，你便可以使用人臉或指紋識別方便的解鎖密碼庫。在 Mac 平臺上，Bitwarden 支持 Touch ID 解鎖。

▲ 在 Windows 上使用面部識別解鎖 Bitwarden

在移動端上，Bitwarden 也支持 Android 和 iOS 設(shè)備的指紋或者 3D 面容的快速解鎖方式。

移動端自動填充

Bitwarden 支持在 Android 和 iOS 上全局性的密碼自動填充。當 Bitwarden 匹配到當前網(wǎng)頁或者 app 的登錄界面，在鍵盤上方就會自動彈出對應(yīng)的賬號信息，點擊解鎖即可填充到輸入框里。Bitwarden 的 Android 客戶端具有極高的權(quán)限，在應(yīng)用中無法截屏和錄屏，可謂是對敏感信息給予了最嚴格的保護。

▲ Android 端網(wǎng)頁和 app 中自動填充功能展示

▲ Bitwarden 在 iOS 上設(shè)置 Face ID 解鎖以及自動填充功能展示

以上就是 Bitwarden 的大部分基礎(chǔ)功能，Bitwarden 還有收費的高級版本，提供了更多高階功能。但對普通用戶而言，免費版本已能滿足密碼管理的需求。

想對數(shù)據(jù)擁有更多掌控權(quán)？

如果你對密碼管理軟件云服務(wù)的可靠性始終保持著懷疑，你可以嘗試開源的 Keepass。Keepass 默認的數(shù)據(jù)庫存儲在本地，但可以借助堅果云的 WebDAV 實現(xiàn)全平臺的同步。

如果覺得配置繁瑣，你也可以使用 SafeInCloud，其桌面端免費，移動端為買斷制。使用 SafeInCloud 可以直接借助 OneDrive, Dropbox 等大廠的產(chǎn)品以及 WebDAV 來進行同步，且界面相較 Keepass 更為美觀。

▲ SafeInCloud 支持網(wǎng)盤同步

總結(jié)

在這個高度信息化的時代，信息承載著許多個人和企業(yè)的生存之本，而信息安全在當下充滿著各種挑戰(zhàn)。在不久前，黑客組織 Lapsus$對英偉達和三星進行了入侵，并獲取了英偉達大量的員工信息以及一些核心機密資料。如此龐大的企業(yè)巨頭也會不斷地遭受信息泄露的威脅，而個人信息泄露的狀況則更為嚴重。

▲ 英偉達數(shù)據(jù)遭黑客竊取

因而，我們應(yīng)該關(guān)注自己的信息安全，做好個人信息的防護。使用密碼管理軟件來對不同服務(wù)生成獨立的強密碼便是保障賬戶安全的重要措施。

在此愛范君主要推薦了 Bitwarden， 因為開源從而具有可檢驗的安全性，且核心功能均可免費使用。如果你對數(shù)據(jù)可靠性有更高追求，那么 Keepass 或者 SafeInCloud 是不錯的選擇。

最后，歡迎大家在評論區(qū)討論你所使用的密碼管理工具，或者分享你對密碼管理的獨特心得。