通过 Bitwarden 管理你的密码

前言

前几天，在一个不起眼的小网站使用了常用的 密码，泄露了信息，导致我另一个平台的账号被连坐，并被恶意发布了违法广告。

整个过程其实很简单：

• 在某个小网站注册账号

• 为了方便 我没有使用随机生成的强密码 而是使用了“常用密码”

• 小网站疑似数据库泄露或被撞库

• 攻击者拿到账号密码组合

• 在其他平台尝试登录（撞库）

• 成功登录后，开始批量发广告

幸运的是，对方只是把我的账号当成肉鸡发小广告。

常见密码攻击方式

1. 撞库攻击

最常见，也是我这次遇到的。

攻击者拿到一批泄露的账号密码（通常来自小网站），然后：

• 自动去各大平台尝试登录

• 因为很多人密码复用

一个网站泄露 = 全部账号失守

2. 数据库泄露

一些小网站：

• 明文存储密码或使用弱加密

用户数据直接裸奔。

3. 钓鱼攻击：

• 仿造登录页面（邮箱 / 银行 / 平台）

• 诱导你输入账号密码

• 实际上直接把信息发给攻击者

难道在说Steam游戏管家吗

4. 恶意脚本 / 信息窃取

• 浏览器插件窃取密码

• 木马记录键盘输入

• 非正规软件带后门

• 会话劫持
  窃取浏览器中的登录状态（Cookie），在无需密码的情况下直接接管账号

.......

5. 使用脚本密码库暴力破解

这个没什么好说的，你一个一个试吧

做了什么补救？

• 密码全部更换

• 每个网站使用完全不同的密码

• 密码全部改为随机生成的强密码

但问题来了：

根本记不住这么多复杂密码

推荐大家使用Bitwarden 存储和管理你的密码

1. 自动生成强密码

• 一键生成高强度密码（长度、符号、规则可自定义）

• 再也不用自己想密码（毕竟自己记的住的往往才是容易被社工的doge）

  

2. 你可以每个网站独立密码

• 自动填充登录信息

• 完全避免密码复用

3. 多端同步

• 浏览器插件 + 手机 App

• 登录一次，所有设备同步

4. 安全性高

• 端到端加密

• 开源（可审计）

• 如果不信任，完全可以自己搭建服务端存储你的密码

• 实时分析密码强度，并对照泄露数据库检测是否存在泄露风险。

• 非HTTPS提醒

5. 免费

• 对个人用户非常友好

• 如果不想自己搭建服务端，可以使用官方服务端

除了密码管理器，建议再做这几件事：

• 开启 两步验证（2FA） (这里提一句，本平台也支持两步验证，个人里面可以设置)

• 邮箱和主密码一定要重点保护

• 尽量避免在不信任的网站注册账号；如果确实有需求，请务必使用随机生成的独立密码。（这里不得不吐槽一下xxx高校系统…这么大个学校，这种东西做不好吗）

• 定期检查账号异常登录记录