密码安全与管理完全指南

大型企业也会遭受数据泄露，你无法控制服务端的安全，但可以确保自己的密码习惯足够安全，降低被波及的风险。

黑客取得一个网站的账密后，会自动尝试在其他网站登录。如果你多个网站使用相同密码，一个泄露等于全部泄露。

现代计算机可以在极短时间内尝试数十亿种密码组合。简单的密码（如 123456、password）几乎可以瞬间被破解。

攻击者可能通过公开信息（生日、宠物名、学校名）猜测你的密码。使用个人信息作为密码是常见的安全漏洞。

密码长度比复杂度更重要。建议至少 12 个字符，16 个字符以上更佳。每多一个字符，破解难度呈指数增长。

用 4-6 个随机英文单词组合成一句话。例如：correct-horse-battery-staple。长、好记、又难破解。可以加入数字和符号增加强度。

不要用键盘排列（qwerty）、连续数字（123456）、常见替换（p@ssw0rd）。黑客的字典攻击工具早已包含这些模式。

最重要的原则：每个网站和服务使用不同密码。这样即使一个账号被破解，其他账号不受影响。

密码管理器的主密码是你唯一需要记住的密码。务必设定一个强且唯一的密码短语，这是保护所有其他密码的关键。

善用密码管理器的随机密码生成功能，为每个账号产生唯一的高强度密码，完全不需要自己想。

选择支持你所有设备的密码管理器，确保手机、电脑、平板都能访问密码。

设定紧急联系人，万一你无法访问账号时，信任的人可以在等待期后取得访问权限。

使用 Google Authenticator、Authy 或 2FAS 等 App 产生一次性验证码。每 30 秒更新一次，安全且不依赖手机号码。

如 YubiKey 或 Google Titan 实体设备。插入电脑或靠近手机即可验证。防钓鱼效果最佳，但需额外购买。

通过手机短信收取验证码。比没有好，但容易遭受 SIM 卡交换攻击。建议在有其他选择时优先使用 TOTP。

部分服务（如 Google、Microsoft）支持手机推送确认。操作方便但需要网络连接。

伪造银行、社交等网站的登录页面，诱骗你输入账号密码。防范方法：检查网址是否正确、不点击可疑链接、使用密码管理器（它不会在假网站自动填入）。

恶意软件记录你的键盘输入来窃取密码。防范方法：安装可靠的杀毒软件、不下载不明来源的程序、使用密码管理器的自动填入（不需手动输入）。

在公共 Wi-Fi 等不安全网络上拦截你的数据传输。防范方法：避免在公共 Wi-Fi 上登录重要账号、使用 VPN 加密连接、确认网站使用 HTTPS。

攻击者伪装成客服或朋友，通过对话套取你的密码或验证码。防范方法：任何人都不应该要求你提供密码、不分享验证码给任何人。

用常见密码尝试大量账号。防范方法：不使用常见密码、启用账号锁定功能、使用 2FA。

使用 Have I Been Pwned 检查 email 是否出现在泄露数据库。密码管理器通常也有内置的泄露检查功能。

整理你所有的线上账号。删除不再使用的账号，更新重要账号的密码，确保所有账号都使用独立密码。

重要账号（如 Google、Apple ID、社交账号）都提供登录活动记录。定期检查是否有不明设备或地点的登录。

确保账号的恢复用 email 和电话号码是最新的。检查安全问题的答案是否仍然有效。

审核使用 Google/Apple/Facebook 账号登录的第三方应用。移除不再使用或不信任的授权。

下载并设置 Bitwarden 或其他密码管理器。设定一个强大的主密码。这是最重要的第一步。

立即更改你的主 email 账号密码为强密码，并启用 2FA。Email 是所有账号的恢复渠道，保护 email 等于保护一切。

更改银行、投资、支付平台等金融相关账号的密码，并启用 2FA。

每次登录一个网站时，顺手将密码更新为密码管理器生成的强密码并保存。不需要一天做完，慢慢来即可。

将所有 2FA 恢复码打印或写下，存放在实体安全的地方（如保险箱）。这是账号的最后救命稻草。