我的作品 💌 TinkMail免费个人邮箱和企业邮箱查看详情
TooBug

Appearance

我的密码管理方案

2026年1月23日

我已经不记得第一次使用密码管理软件是什么时候了,但肯定已经超过10年了。最近我又换了个密码管理软件,刚好也有朋友在咨询这件事情,就想起来整理一下。

一些关于密码和管理软件的科普

聊到密码管理,就必须得提一下关于密码安全的一些常识,以及密码管理软件的一些基本功能。有相关知识储备的朋友可以直接跳过这一大段。

密码的本质

如果用专业名词来说的话,其实“密码”这个词是错误的,我们常说的密码,其实是一种口令。

三国演义中有一个关于口令的故事广为人知:

曹操与刘备在汉中交战,双方相持不下。曹操的军队被困在斜谷,进退两难。

一天晚上,曹操正在吃晚饭,厨师端上来一碗鸡汤。曹操看着汤中的鸡肋骨,若有所思。这时,大将夏侯惇进来请示当晚的口令,曹操看着碗中的鸡肋,随口说:"鸡肋。"

主簿杨修听到这个口令后,立刻开始收拾行装准备撤退。夏侯惇不解,问杨修为什么。杨修解释说:

"鸡肋这种东西,食之无味,弃之可惜。现在我们进不能胜,退又怕人笑话,正如鸡肋。丞相已经决定撤军了,所以我在准备行装。"

果然,第二天曹操就下令撤军了。

因此,本质上密码就是一种约定:天知地知,你知我知。也就是只有自己(用户)和系统(网站/APP)知道密码,没有其他人知道。而如果因为某种原因,有第三个人知道了密码,那你的身份就会被盗用。

密码泄露的手段

密码泄露的手段有很多种,而且这里面的问题可能出现在自己(用户)身上,也可能出现在系统那一边,甚至有可能谁也没出问题,但密码被人猜到了。

具体而言,大致分为如下几种:

  1. 用户自己泄露:例如将密码写在纸上、写在不安全的地方(如微信聊天记录)或者被人偷窥
  2. 系统泄露:即系统(网站/APP)中的密码数据被人窃取了
  3. 密码过于简单,被猜到或者被试出来了

其中,系统泄露数据泄露并不一定会直接导致用户密码被盗窃,最终结果取决于系统是否为用户密码采取了合适的加密措施,这里不深入展开。

如何提升安全性

与上述密码泄露的手段一一对应,我们可以采取如下措施来提升安全性:

  1. 不要将密码记录在不安全的地方
    1. 你可以不记录密码,只使用自己的大脑来存储,但这样容易忘记密码,也非常容易在不同的系统使用相同的密码
    2. 将密码记录到密码管理软件中,这是一个比较好的选择
  2. 减少系统泄露数据带来的影响:作为用户无法干预数据被泄露的过程,但可以减少对自己的影响
    1. 为不同的系统使用不同的密码,而不是使用相同的密码,但一般来说这需要密码管理软件的支持
    2. 添加双因子2FA/多因子认证MFA等手段,避免使用单一密码登录认证
  3. 使用复杂密码
    1. 位数越多越好、包含字母、数字、特殊字符等
    2. 避免使用与自己相关的信息作为密码,例如姓名、出生日期、手机号等

这里提到了多因子认证,它的含义是在登录时除了密码之外,还需要提供其他的认证信息,例如短信验证码、邮箱验证码、TOTP认证器、通行密钥Passkey等。这样即使坏人获取到了密码,也无法登录系统,因为他们并不知道其他的认证信息。

另外在这些提升安全性的措施中,我们也可以一窥密码管理软件的核心作用了:

  • 帮我们记录密码,避免忘记密码,也可以帮助我们为不同的系统使用不同的密码
  • 帮我们生成足够复杂的密码,避免使用简单密码
  • 帮我们管理多因子认证信息(例如TOTP认证器和通行密钥Passkey)

除此之外,因为我们不再使用人脑来记忆密码,因此当需要填写密码时,密码管理软件会自动填充已经记录的密码,这也是实际操作中能够顺畅使用的核心功能。

我的密码管理软件历程

好了,回归正题。记录一下我之前用过的密码管理软件,以及几次换软件的主要原因。

LastPass

因已多年未用,部分信息可能不准确。

我用的第一个密码管理软件是LastPass,这个名字也非常有意思:The last password you need to remember(你需要记住的最后一个密码)。

我刚开始用的时候将所有密码都记录到LastPass中。但因为之前已经累积了非常多的账号密码,因此基本没有使用过随机密码生成,大部分还是使用固定密码。

这个阶段,可以说我还没有那么依赖密码管理软件,很多时候LastPass能帮我填充密码,但我自己也能记得住密码。

LastPass当年只有浏览器插件,它的核心流程打磨得非常顺畅,尤其是在密码的记录和更新提示上。这一点我在切换到其它软件后,才深刻体会到:

  1. 注册账号的时候会提示生成一个密码,但并不会立刻要求将这个账号密码保存起来,而是等到表单提交成功后才会提示保存。
  2. 同理,当更新密码的时候,更新成功后才会提示保存。

而1Password在这一点上就处理得不够好。例如在注册表单中,当你采纳它生成的建议密码时,会立刻要你保存一个登录信息,但此时我们的注册还没成功。

同样在重设密码中,更是会出现“密码还没重置完,密码软件中的密码已经被更新了”的情况,有严重的不安全感。此时如果密码重置失败,就会导致密码软件中的密码与实际密码不一致。

LastPass的缺点:

  1. 有一段时间短时间内出现过多起数据泄露问题(密码加密存储,可能未造成实际损失)
  2. 有了客户端以后,收费策略比较激进:免费用户不能同时使用桌面端(含浏览器)和移动端,只能二选一

此外当时LastPass也没有记录2FA验证码的功能,还需要单独使用一个Google Authenticator之类的应用来记录2FA验证码。

1Password

我接触到1Password好像是因为Setapp,当时买了Setapp的会员,就顺便也用了一个1Password。但后来我停掉了Setapp的会员,1Password似乎也没有继续在Setapp中提供服务,因此只能独立付费使用了。

首先必须要说,1Password的界面做得非常漂亮,相比之下LastPass和Bitwarden的界面都要差很多。

切换到1Password的时机正好是社工库和撞库问题频发的时期。1Password提供了安全分析功能,可以看到哪些密码存在于已经泄露的密码库中(撞库),也可以分析自己的密码库中有哪些项目是重复使用的相同密码。也是借助这个功能,我在迁移到1Password之后,将所有的密码全部重置成了随机密码。

至此以后,我就再也不可能记得自己的密码了,因此必须高度依赖1Password来管理所有的密码。随着使用的深入,我也开始将其它的密钥信息(如API密钥、数据库密码、SSH密钥等)也记录到1Password中,实现了几乎所有密钥的统一管理。

整体上来说,1Password的体验还是比较好的,但它也有几个明显的问题:

  1. 核心流程不够好,如上所述,注册/重置密码的体验不够好
  2. 移动端尤其是安卓端的体验非常差
  3. 收费贵,接近40刀一年

关于安卓端,特别想记录一下:

我很早就给家里人(小米手机)推荐安装了1Password,但一直被反馈不好用。因为我自己曾经主力机是iPhone,并没有发觉有很严重的问题,因此也没有认真去看这个问题。直到去年我的主力机也换成了小米手机,我开始注意这个问题,结果发现1Password在小米手机上的体验非常差。

具体而言,有如下三个问题:

  1. 自动密码填充的出现时机非常不稳定,有时候会提示,有时候没有提示,有时候在反馈聚焦输入框后才出现提示
  2. 软件界面经常白屏,无论是从桌面进去还是通过自动填充界面进去,经常碰到不显示密码条目,也无法搜索到密码的情况
  3. 完全不能使用Passkey功能

其中第3条经搜索是小米系统的问题,截止2026年1月(澎湃OS3),目前所有的第三方密码管理软件都无法在小米系统中使用Passkey功能。

而前两条,我一度也以为是小米的问题,直到我换了Bitwarden以后才确认,它更可能是1Password自己的问题。这让我非常不解,一个收费如此昂贵的软件,居然在一个使用量这么大的平台上,有这么低级的稳定性问题,可见质量保障这一块缺失非常之多。

最近1Password还出现了引发很多人关注一个问题:1Password的浏览器扩展打包了一个自己的代码高亮插件,但并未妥善处理与页面内容的冲突,导致很多技术相关的网页上的代码无法正常高亮显示。这也可以算是一种微弱的草台班子的证明。

Bitwarden + VaultWarden

因为1Password在小米小机上的问题非常严重,促使我决定试一试Bitwarden,顺道也决定使用VaultWarden来自托管后端。

Bitwarden是一个开源的密码管理软件,所有的客户端都是开源的,它自己在官网上也提供密码托管服务(即客户端对应的后端,存储密码的地方),而且可以免费使用,只有高级特性需要付费。

而VaultWarden是一个自托管的Bitwarden后端,它不是Bitwarden官方提供的服务,而是一个社区维护的项目。使用VaultWarden,你可以将Bitwarden的密码托管服务部署在自己的服务器上,自己管理自己的密码数据。

我在自己的服务器上部署了VaultWarden,然后使用Bitwarden的客户端连接到我的服务器上来使用。

在试用了一段时间后,结果非常意外:Bitwarden在小米手机上运行非常稳定顺畅,所有的填充场景都能稳定触发(除了Passkey功能)。我完全没有想到一个开源软件能够提供比商业收费软件更好更完善的体验。

当然,缺点也是有的,比如界面不如1Password那么漂亮,在密码类型的支持上不如1Password完善。但这些都不算是大问题,总体上来说瑕不掩瑜,Bitwarden的体验还是非常好的。

总结

随着个人在互联网上使用的服务越来越多,账户安全所面对的挑战也在日益增加。

苹果、小米、微软(包含在edge中)等厂商也在推广自己的密码管理软件,整个业界也在不断完善密码管理和认证方案,例如MFA已经成为一种普遍使用的认证方式,Passkey也正处于快速发展推广的阶段。

总而言之,账户安全和其中涉及到的密码管理始终是个很严肃的事情,我也建议大家有机会的话,不妨尝试一下使用这类管理软件,非常有用。