不久前在知乎上看到一个问题：“如何给自己各种帐号编一个安全又不会忘记的密码？”，这种问题下怎么能少了秘迹同学呢，来吧朋友们，读科普长知识的时间到了：

问题

如何给自己各种帐号编一个安全又不会忘记的密码？

问题描述

如题，各种网站注册时起个昵称想半天，输入密码还得就结半天：所有帐号都用同一个密码不安全，编新密码又怕忘了。虽然我是个苦逼理科男，但对什么密码字典之类的真的一窍不通啊，我就是问下怎么管理生活中的各种密码。看了诸多答案后的确有些灵感，目前我采取的方法是银行卡密码单独用，QQ、微信、163邮箱共用一个密码。游戏及各种社交帐号均绑定邮箱及固定手机号。其他的不重要的就用一个通密码。

不论钓鱼与否，题主为密码提问的态度就为广大互联网用户做了一个好的示范，这里非常感谢题主。

先说结论，最好的方式就是用密码管理器，但是为了说清楚其中的原因，还得详细的从隐私保护开始说起。虽然文章有点长，但是读完以后，你会对隐私保护的重要性、密码与网站的关系以及小白是否能保护好自己等问题有更清晰的认识。

猫奴们都知道，猫每次如厕以后都会把它的排泄物埋起来，而老虎狮子就不会。这不是因为猫在猫科动物里更爱干净，而是中小型的猫科动物需要隐藏自己的行踪。而食物链顶端的猫科动物反而利用排泄物来宣告自己的领土。这个事情细思极恐...那些不埋排泄物的小型猫科动物都已经被大自然淘汰了。我们人类的祖先也是如此，他们必须隐藏自己的行踪来躲避猛兽的攻击。为什么要保护隐私，因为对隐私的需求，是深深地刻在你我基因里的。

而你最需要保密的数据有可能是密码，因为这些密码是打开其他数据大门的钥匙。当你还在为自己的密码规则沾沾自喜的时候，你的邮箱密码、iCloud密码、银行卡密码却可能早已泄漏。当黑客攻击你、诈骗集团忽悠你、广告主们骚扰你的时候，他们根本不关心你是谁，你只是一行数据。为了将隐私保护在自己手里，我们最起码要把密码管好。

怎么证明你是你？全靠密码。我们向互联网网站申请服务时，网站不能见面交易，也不能随时查你身份证，需要找到办法确定提交申请的人是你。身份认证技术，是为了在计算机网络中确认操作者身份而产生的有效解决方法，你的账号和密码就是其中一种。身份识别的手段很多，比如静态密码、生物识别（面部识别或指纹识别）、短信密码、动态口令等。但目前来看，由于静态密码的操作成本和财务成本都相对更低，所以静态密码还是身份认证的主流方式。

多数长辈在使用网络服务的时候都会担忧这个问题：“我的个人信息放到网上不会被人看到吗？”

互联网的发展给我们带来了大量的静态密码需求，也正是为了满足这些需求，才会有题主的疑惑。在这个问题底下，已有相当多的人进行回答，而题主也采取了他认为安全的方法——分层使用不同的密码。这个方法在10年前可能还有用，但在当下恐怕再难奏效。

题主目前使用的方法

假设秘迹同学有三个密码，按安全性排列可分为废铁、青铜和王者，秘迹同学根据对各个网页的认知来进行管辖区域划分。

王者级，用于那些涉及社交、金融、购物、存储个人资料的重要网站，丢了搞不好是要跳楼的。

青铜级，用于那些有一些我的个人信息，不会影响到钱财等重要资料的网站。

废铁级，用于那些丢了对我也没影响，网站安全很差可能随时会泄露的网站。

这种分层使用不同密码进行管理的弊端，就在于我们很难做好分级，网站可能会自己去升级，尤其是在青铜区和废铁区的网页。

以一些小众的票务平台为例，这类不常用的网站容易被忽视，我们本以为它只有订单管理功能，废铁级密码管理足矣，但为了免密支付，在网站留下银行卡号、身份证后，这个网站就应该在王者管辖区域里。仍用废铁密码管理这个网站，是一件有着巨大安全隐患的事情。同样，有部分网站在多年前确实用废铁密码管理就足够，但是随着网站功能完善，电子支付、金融、实名认证功能上线，他们都需要在密码的层级上升级。如票务网站可以付款，甚至有免密付款权限，购物网站有其他金融业务绑定银行卡或者甚至可以提供欠款功能的。像百度这样看着只是搜索服务，其实还能提供信息存储、还有金额服务，而你设置的百度的账号密码呢？是王者级的吗？

如果这个网站或平台没有付费功能，那是不是就可以放心使用青铜或废铁的密码进行管理？也不一定。再简单的网站资料也能帮助拼凑出你的个人关键信息，小的电商工具就有你的地址，任何网站都有你的电话。手机id（比如小米、Apple ID）、邮箱类的密码由于具备接受验证码和重置密码信息的功能，也需要用王者级密码进行管理，但目前大部分人还没有意识到这一点。

这就意味着，排除掉密码长度有限定、密码内不能有特殊字符的，几乎所有的网页都要使用王者级密码才足够安全。

那我们可以用其他答主提供的思路来进行有趣好记又安全的密码设计了吧？还是不行。

当需要使用强密码的网站从个位数扩展到百位数，如果所有网站使用同样一个强密码，同样是不安全的。此时你的密码足够安全，但并不是所有网站的安全性都值得信赖，如果你引以为傲的强密码被安全性弱的网站泄漏出去，通过撞库，其他网站也就在所难免了，这种全军覆没式的泄漏更让人难以接受。

撞库：黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。

据统计，每个中国用户平均安装了50多个应用程序，既要保证密码强度都能到王者级，又要保证不使用同一个密码，还要保证自己能记住每个账户对应什么密码，敢问哪位最强大脑仅靠自己就能做到？因此，在秘迹看来，给自己各种帐号编一个安全又不会忘记的密码，只有使用密码管理器这一种方法。

密码管理器成为必要，可以帮助用户生成不同强密码、保存密码、还有密码填充。但因此，密码管理器也成了和以前邮箱、手机id一样重要的数据，会成为以后黑客的目标。攻击是会不断升级的，我们需要选择一个明天仍然安全的密码管理器。

1、最好选择有自动填充功能的密码管理器。如果没有自动填充的功能，密码需要从管理器里复制粘贴到网页上，由于剪贴板的开放性很高，就有被木马从剪切板获取密码的隐患。

2、最好选择无法重置密码的密码管理器。我们把密码交给密码管理器了，它的身份认证就最为重要。如果密码管理器有密码重置功能，一方面意味着密码管理器公司是有你密码的备用钥匙，如果他们被攻破就可能让你的所有秘密泄露，另一方面，他人也有机会重置你的管理器的密码（比如收取短信验证码、给邮箱发送验证邮件、回答特殊问题），那么密码管理器的所有密码都有可能被他人获取。

市面上已有数量不少的密码管理软件，那么密码管理哪家强？秘迹无法评价其他密码管理器，但可以担保自家的管理器足够安全，而且相比国外的软件也更容易上手，你愿意来试试吗？（可在各大应用市场搜索“秘迹app”）

如何用秘迹app来管理密码：

1、下载并安装秘迹app

2、为了防止你使用曾用过的&容易破解的密码，秘迹会生成一套有12个汉字的恢复密钥，这就像是一个无法重置的根密码，如果你卸载重装秘迹app，除了输入12个汉字以外，就别无他法来找回你曾经放在保险箱的密码了。

3、记录好这12个汉字以后，点击下一步，设置好锁屏密码，再按顺序输入一次12个汉字确认身份，就可以进行密码记录了。在保险箱页面点击右上角“+”号新建密码，即可保存你的密码。

4、建完密码卡以后，跨屏登录和自动填充这两个神器一定要用起来。登录无需复制粘贴账号密码，轻点按钮就可搞定。

跨屏登陆：在官网leakzero.com下载插件，在浏览器里安装插件以后，在app里扫码进行连接，就可以使用插件的功能了。可以在手机上跨屏登录，也可以在插件里直接发起跨屏登录的请求。

自动填充：用于移动端，图中以ios端为例进行了演示

而有关于秘迹的安全性，欢迎有兴趣的小伙伴可以看一下我们的白皮书，就不在这里赘述了。回归问题，如何给自己各种帐号编一个安全又不会忘记的密码，用秘迹就对了。

秘迹安全白皮书（v1.0.0）

感谢阅读

图片来源：pixabay

数据参考：

2018年中国App下载量排名全球第一：占全球50％

http://tech.huanqiu.com/internet/2019-01/14088085.html?agt=25458