什么是密码管理器

密码管理器是一种安全保管和管理多个服务密码并在登录时自动填充的工具。用户只需记住一个主密码，就可以为每个服务使用独特的强密码。

普通用户据说拥有超过 100 个在线账户。仅凭人类记忆力，为所有账户设置独特的复杂密码是不可能的。结果导致密码重复使用泛滥，一个服务泄露的密码被用于凭证填充攻击。密码管理器从根本上解决了这个问题。

密码管理器的类型

1Password、Bitwarden、Dashlane 等。跨平台支持、密码共享、安全审计、通行密钥管理等高级功能。通过端到端加密进行云同步。

Chrome、Safari、Firefox 内置。无需额外安装，使用方便。但仅限于该浏览器使用，无法管理密码以外的信息 (安全笔记等)。

KeePass 等。数据库文件保存在本地，不向云端发送任何数据。隐私性最高，但设备间同步需要手动操作。

密码管理器的安全性很大程度上取决于主密码的强度。

主密码：设置至少 16 个字符以上、未在任何其他服务使用过的独特密码。密码短语 (多个单词组合的句子) 既容易记忆又足够强力。例如：4 个以上随机单词的组合，如 "correct horse battery staple"。
设置双因素认证：务必为密码管理器账户本身设置 2FA。即使主密码泄露，2FA 也是最后的防线。
使用密码生成功能：创建新账户时，使用密码管理器的随机生成功能生成 20 个字符以上的密码。无需自己想密码。
定期安全审计：许多密码管理器具有检测弱密码、重复使用密码和已泄露密码的审计功能。定期检查并更新有问题的密码。

针对暴力破解攻击，密码管理器使用 PBKDF2 或 Argon2 等密钥派生函数，使主密码的破解在计算上变得极其困难。

密码管理器被黑客攻击后所有密码都会泄露: 采用零知识设计的密码管理器，服务器上的数据在没有主密码的情况下无法解密。即使服务器被入侵，泄露的也只是加密数据，密码本身仍受保护。
和在浏览器中保存密码是一样的: 专用密码管理器提供浏览器保存功能所没有的高级安全功能，包括端到端加密、安全审计功能、安全密码共享和通行密钥管理。

跨浏览器、跨平台支持。提供通行密钥管理、安全审计和安全共享功能。独立加密与零知识设计。

无需额外安装，使用方便。仅限特定浏览器。高级管理功能有限。依赖浏览器账户的安全性。