![图片.png](https://ipfs.busy.org/ipfs/Qmc9hKxPK35cqY2X1BDFtRmeWrjuxvyrugyDDF5Ewsh9u1)

前几日在@kingwriting 的微信群里看到讨论密码管理的话题，我简单的说了下可以使用密码管理器，觉得使用密码管理器挺好，讨论完后群友总结了密码管理的方法，@kingwriting也写文章表示对密码的使用感到恐慌。虽然密码管理不是第一次讨论的话题，在[steem 手册](http://steemh.org/)上也有介绍密码保存的方法，但是我觉得密码管理这个话题还可以再聊聊，还可以写写我的密码管理器使用心法。

## 为什么使用密码管理器？

因为恐慌，真的。

以前偶然地看到关于“社工库”的博文，社工库是那些“有心人”通过窃取或者购买网站的数据库搭建的查询工具，可以根据用户名或者邮箱查询到用户密码，甚至是身份证、手机号和住址等敏感信息。不要觉得惊讶，如果你是telegram用户，可能也能看到在讨论群里偶尔蹦出个买卖数据的人来。

我曾经通过所谓的社工库查到了自己的两个账户信息，Gmail邮箱、QQ邮箱、用户名和明文密码，丝毫不差。

当时就惊了！我注册的所有网站的用户名和密码都是一样的，账户信息泄露之后，岂不是任由他人在我的世界里走来走去？其中一个网站的账户遭殃，其他的账户也受牵连。

因此，我在网上寻找密码管理方案，我选择的密码管理方式是使用免费开源的[KeePass](https://keepass.info/)密码管理器软件，15年开始至今仍在使用，我觉得挺好，所以也推荐给你。需要注意的是：有人认为开源软件很安全，但**开源并≠安全**，影响安全的因素是多方面的，比如：你的安全意识、上网习惯、使用方式等。

## 如何优雅地设置密码？

密码管理器最脆弱的地方是它的入口，所以入口的防守是至关重要的，而密码管理器的主密码是打开加密数据库文件的钥匙，所以先来讨论主密码的设置。对于如何设置密码管理器的主密码，我先给出两点建议：

- 避免使用“懒人密码”

- 制作自己的密码生成器

什么是“懒人密码“？那我得先问你几个问题：

平时你使用的密码是“1234”吗？

是“abc123”吗？

“qwert”?

“88888888”？

还是某人生日？

电话号码加名字拼音首字母？

身份证后六位？

...

这类密码在网上称做“弱密码”，因为这样的密码很常见，也很容易让人猜到，尤其是了解你的人，即使是陌生人也可以通过网上的社交资料，或者家人朋友获取关于你的个人信息，从而按照类似的逻辑组合生成密码去破译你的账户。

我把这样的密码定义为**懒人密码**，因为它简单，方便，易记，也很容易被人猜到，而且使用这样密码的人**思维很懒**。我并不是笑话谁，因为我以前就是一个到处用懒人密码的人！

在我们的生活中应尽量避免使用懒人密码，那么该如何设置主密码呢？我的建议是建立自己的编码方法，制作一个密码生成器。不要觉得制作一个密码生成器很难，也不需要你编程写软件，只要把脑洞打开，活动一下思维，就可以制造一个密码生成器。不信？我举个栗子：我的编码方法是选取一句话作为密语，在密语里插入特殊字符和账户关键词，然后输出密码。比如：

我选的密语是：

“不爱吃饭”

我为keepass生成的密码是：

“#1#Bu#ai#chi#fan=>keepass”

为Gmail生成的密码是：

“#1#Bu#ai#chi#fan=>gmail”
...

相信聪明的你能够制作出更好的密码生成器。

使用密码管理器只需要记住一个主密码，这是它的优点，也是它的缺点。如果你想把密码管理器设置得更安全点，可以使用主密码+密钥文件这类方式加密你的数据库文件。接下来再讨论一下如何设置密码管理器里面的密码，我给的建议也是两条：

- 解除相关性

- 尽可能地使用复杂密码

我们可以把解除相关性理解为如果某个账户信息泄露了，不会殃及其他账户。也就是每个账户的用户名、密码、注册邮箱、手机号都是唯一的。用户名和密码做到不重复比较容易，但邮箱和手机号没那么多啊，怎么办？

先说邮箱，我会按照注册目的把网站归为重要和不重要两类，如果注册一个网站是为了下载某份资料，或者只是为了查看登录可见的内容，那么这就是不重要的网站，我会使用**临时邮箱**去注册，通常也不会添加记录到密码管理器里。如果要注册的网站是比较重要的，会长期使用，我会使用**域名邮箱**去注册，比如:注册华为的账号用huawei@xxxx.com,注册百度用baidu@xxxx.com。

对于只能用手机号注册的网站，我没有找到提供类似临时邮箱这样的服务，也没有使用阿里小号，我的方法是使用两个手机号，一个用来注册乱七八糟的网站，另一个保持干净。

在设置密码的时候，尽可能地使用复杂密码，怎样的密码是合格的呢？steemit的密码是一个范例，例如：

> P5Hvz842WNSmgSHVy5HA2u9aqFCeFTd1LzcSYxr8vF4xWCBGGi1h

又如：

> EuJa0#nZuw.+:vV%r+.J

> hRcHc`f6EwYq<L5NV~]?

这些都是合格的密码。使用密码管理器的密码生成器功能，很容易生成随机的、复杂的密码，还可以根据需求设置密码长度，包含哪些字符，更重要的是你不需要记住你的密码，密码管理器帮你记着。
![图片.png](https://ipfs.busy.org/ipfs/QmSKcSUF5tYeDAtQY5GJvo8GEU18TdKHf3dbTdvZek68x5)



## 备份备份，打组合拳！

使用keepass密码管理器很重要的一点是同步备份保存账户数据的数据库文件。我时常提醒自己：**一定要把自己认为重要的东西做备份，而且要备份到多个地方。**当重要数据丢失的时候，心里那股酸爽，可能会让你一天都说不出话，吃不下饭。

我的同步备份方法是使用Google Drive、MEGA网盘和OneDrive与手机、笔记本进行同步备份，开启版本控制功能，在Google日历里设置周期性提醒，每周检查备份文件。



## 总结

好了，我来总结一下我的密码管理心法，一共是五点：

- 避免使用”懒人密码”

- 制作自己的密码生成器

- 解除相关性

- 尽可能地使用随机的、复杂的密码

- 周期地、多点备份

你GET√到了吗？感谢您的阅读。