在上个月，我们曾经给大家简单谈了一下如何保护自己的密码，同时也介绍了一些设置密码的小窍门。不过对于说实话，密码泄露的方式多种多样，很多时候在自己没有操作失误的时候，我们也会有密码泄露导致自己遭受损失的悲惨际遇。

尽管在如今的移动互联时代，保护我们隐私的方式早已不被密码所限定，比如手机上常见的指纹解锁、笔记本上通过摄像头和软件配合的刷脸、虹膜识别等，不过在大多数人的大多数设备上，密码依然是最常见最主流的保护个人隐私方式。所以授人与鱼不如授人以渔，这次我们就来谈谈密码泄露的主要原因，以及具体应该如何操作才能保证自己密码的安全。

Part 1：我们的密码为什么会泄露？

肯定有众多遭受过密码泄露用户会疑惑：我们的密码到底是怎么泄露的？泄露密码的方式很多，但是追究其根源其实都很相似。要知道自己密码是如何泄露的，就要知道自己的密码是放在什么地方的……一般而言，无论是什么设备，只要涉及到密码的时候，那么本地、传输过程和服务器端，就是你存放密码的三个地方，所以密码泄露被盗号，多半就是这三个地方出了问题！下面我们分别就这三种可能进行解读。

本地泄露

本地泄露的通常是密码被盗的最大因素。因为本地泄露的方式实在太多了，常见的就是中毒或者木马。在你的设备中病毒后，有些病毒会在后台监控着你键盘上，当你在本地程序中输入密码后，木马监控到你的键盘动作，将你再密码框输入的键盘字母发送给黑客，那么你的密码就被盗了，黑客只需要重复你输入键盘的字母，就能获得你的密码……这种在热门网游和互联网金融方面是最容易发生的！各种账号被盗有很大几率是遇到了这种情况，特别是在网吧这种不安全环境中上网特别常见。

遭遇木马病毒以及钓鱼网站的诈骗是本地泄露密码的常见方式

另外一种本地密码泄露的常见方式是进入了伪造的网络环境，我们常说的钓鱼网站也属于这一类型的手段。伪造这种方法在PC端和手机端都比较常见，特别是安卓系统的手机和平板，经常会遭遇到这种骗局。打个比方，有居心叵测之人开发了一个和支付宝一模一样的假平台，如果用户不知道点击了链接进入这类网站，然后将自己的密码输入，那对方就知道你的支付宝账号和密码了……我们近年来在新闻上行多次看到这种钓鱼行为，小白们上当的不在少数！

防御手段

对于本地泄露，最好的办法就是不在公共或有潜在安全风险的设备上进行密码操作，最好别对手机越狱或者Root，同时别装未知源的APP。另外，对于钓鱼类的伪造手段，用户自己也要小心操作，不要点击进入可疑的链接。此外，无论是手机平板这类移动设备还是PC，还是要安装适合的安全软件，切勿裸奔，现在的安全软件在大多数情况下，还是可以将用户本地泄露密码的可能性降到最低。

传输过程泄露

经常会有人说：我没有中木马病毒，也没有上钓鱼网站，但为何账号还是被盗了？如果你防护做得很好，本地的电脑和手机都很安全，但密码还是泄漏的话，那么很可能是传输过程中泄露的，也就是你输入密码进行验证时，这个过程出了一些问题。

比如很多网站在你登录的时候，是采用明文传输，看似加密的过程中，其实你的用户名和密码都已经显露了出来，这些加密普通人可能看不懂，但是对于黑客来说，这些加密都是可破解的，显示出原有的信息并不难。这种密码泄露常见在一些不安全的网络环境中，比如免费的WIFI，当用户输入密码时，黑客就可能通过这种不安全的网络环境中，拦截到你输入的密码，从而获得你的信息。

采用Https加密协议的网站才足够安全

此外，还有一些网站根本就采取不加密的措施，这下在传输过程中，用户所有信息都可能被黑客拦截。现在国外很多网站都强制使用了加密Https协议，而国内很多还是用Http协议，两者的区别就是是否使用了加密传输，安全性能也可见一斑了。事实上，目前国内的网站中，一些大网站基本都已经采用过了Https加密协议，比如新浪、百度、阿里巴巴等等，但是很多支持Https协议的网站通过Http也能正常访问，这也造成了不少密码在传输过程中丢失的问题。

防御手段

传输过程泄露密码很麻烦，也不好防备，不过好在这种密码泄露的方式相对较少，因为黑客大多数也不会一直监控着不安全的网络环境查找数据……当然以防万一，推荐大家尽量不要在不安全的网络环境中上网，比如一些公共WiFi和没有密码的WiFi。此外，在访问网站的时候，尽量使用Https加密型网站，同时也要注意检查网站证书是否安全（系统会提示），如果系统提示网站不安全的话，尽量就要不要上这类网站了。

服务器端泄露

本地泄露和传输过程泄露稍微好一些，因为还是有手段可以防范的，比如安全软件和规范自己上网的行为都很有效。但是如果是服务器端泄露密码，作为用户的你就有点恼火了，因为这种对方出问题坑爹的事儿，很多时候作为客户端这边你的，是毫无办法的。

服务器端密码泄露常见的有两种，一种是服务器端采用明文保存密码。比如你的密码是ABC，服务器端那边也明文用ABC保存，这样有人如果攻击服务器端，你的用户名和密码全部就赤裸裸地被黑客搞定了！大家不要以为这些厂商都是聪明人，其实他们智商不低，事实就是懒而已，这种明文保存密码在服务器端的厂商相当多……2011年轰动全球的CSDN泄露事件就是因为服务器端在密码存储上采用明文存储，结果黑客攻击后，所有用户的ID和密码都泄露了，黑客都不用解密的。此外国内知名的12306网站之前也曾经被爆出用明文存储过用户的密码，相当尴尬。

CSDN因为服务器原因让六百万用户信息泄露

另外一种服务器端密码泄露的方式则是加密泄露。加密泄露其实也分好几种，比如说客户的密码是ABC，然后厂商就用了一套简单规则来定义，把A对应1，B对应2，C对应3，这样在服务器端，用户的密码显示为123，看似没这么懒了？但是黑客可不是傻瓜啊，这么弱智的密码规则很容易破解！有一些网站的服务器端也采用了比较复杂的密码加密手段，比如使用哈希加密，无法倒推且不可逆，不过有心的黑客也会使用暴力破解法，特别是在现代计算机计算能力越来越强之际，采用暴力破解需要的只是时间和等待。

 $PAGER$

防御手段

对于服务器端密码泄露，我们用户几乎是无能为力的。因为你不知道厂商到底是采用什么办法在服务器端来存储密码，遇到使用明文存储密码的，被攻击后基本上妥妥会泄露密码，遇到这种猪队友，也只能徒呼奈何。不过建议大家在设置密码的时候，尽量复杂一些，这样如果厂商加密措施做的比较好，那么即使黑客想暴力攻击，也会花费相当高的成本。当然，这里只能希望厂商在自己服务器端存储密码时能尽心尽责了。

Part 2：怎么设置/使用密码才安全？

了解了密码泄露的三种可能，那么用户肯定会思考：什么样的密码才是安全的？我该如何设置自己的密码？之前我们曾经简单介绍一个方法，这里再比较系统化地告诉大家该如何设置密码。需要告诉大家的是，无论怎么设置，密码总是越复杂越安全，正如我们所说，复杂的密码就算是暴力破解，成本也相当高。只是要注意的是，再复杂的密码也不要让自己也记不住就行了！

使用足够复杂的密码

什么样的密码足够复杂？这涉及到密码的位数、字符和大小写，如果一个密码很长，同时里面包含了不同字符特殊符号同时还区别开大小写，那么这个密码理论上就足够安全了。建议大家的密码尽量保持在 14 位以上、存在大小写字母和数字、并混杂有特殊符号（理论上特殊符号当然是越不常见的越好）。简单密码虽然好记，但是真心不安全，要知道一个8位的密码，该密码的可能组合至少为 10^6×26^2×7×8 种。即使服务器端遭到暴力破解，你密码越复杂，破解所消耗的精力和成本就越高，说不定黑客没耐心就放弃你了呢？

当然，再复杂的密码也敌不过木马病毒和钓鱼网站，如果中了病毒那也没辙。所以我们说安全的密码，至少要有一个安全的本地环境吧，没事多杀杀毒检查检查，平时开着防护机制还是很关键的。

涉及到财产一类的重要密码还是复杂一些好

此外，考虑到人的记忆力不是那么强大，虽然我们建议不同应用和账户使用不同的密码，但要是都是复杂的密码，可能我们自己也记不住。这里建议采取分级密码管理的方式为重要程度不同的账户创建不同的密码。比如，普通论坛账户对于安全性的需求较低，对于黑客来说也不会有特别大的价值，因此可以采用较为简单密码。而银行账户、电子支付账户和重要联系工具，比如电子邮箱、即时通讯账户则应该使用强度非常高的密码进行保护。

在相同密码中加入不同特征值

这一点我们以前的文章提到过，一般而言，我们的密码都是通用的，比如说A站和B站基本都是一个密码，这个很好理解，我们很难在每一个不同的平台上都更换一个新的账号和密码。但是这样显然很不安全，怎么办呢？

这时可以考虑一个非常简单的策略：使用一个通用的基础密码，针对不同的网站，在前后或中间插入对应该网站的一个特殊值。比如我们经常的密码是“123456”，那么在A站就用“+123456”当密码，在B站就用“123456-”当密码，这样安全性就提升了，同时还比较好记。当然特征值随便用户选了，最好选一个你自己容易记住，但是又不显得那么简单的特征值。

使用密码时的一些小常识

密码设置好了后，如何使用密码也是一门学问，实际上银行账户的登录经常会给我们提示。通常而言，银行这一类网站登录都会有使用屏幕键盘点击和直接点击键盘输入两种输入方式，如果输入密码时有这类选择，那么我们严重推荐使用屏幕键盘。因为大多数木马病毒监控键盘，都是通过物理键盘输入监控的，无法监控到屏幕上的键盘，所以有所担心的话，不妨采用屏幕键盘输入就比较安全了。

这类使用屏幕输入密码就相对安全

此外，除了不要将密码泄露给他人之外，有些用户的密码泄露居然是因为遭到了旁窥。在实际操作中，也应该使用额外的安全措施降低密码在使用中泄露的机会。除了为自己的计算机安装安全软件，用户还应该谨慎分辨要求输入密码的场合是否有异常，以免被钓鱼网站利用。而且个人建议尽量不要在不熟悉的设备上输入密码，同时不要记住登录状态在使用后要退出登录状态。

有机会使用随机字符串

不知道到底设什么样的密码好？其实还有一个很简单的办法，像 Safari、Chrome 等浏览器就会在页面注册账号时智能地提供一个随机字符串作为密码选项。

使用生成的随机字符串好处就是，不需要考虑自己怎么去想密码，浏览器自动生成就可以了。不过缺点也很人恼火，如果你在不同的平台上登录，那是相当的麻烦，还要有一些备用的方案，要不让你登不上去也是很正常的。

此外要注意的是，将随机字符串作为验证很常见，但是作为密码的设备和应用还是相对少见。这个办法同时也不适合一些没有耐心的用户，因为每次重新登录，都要再去生成随机字符串作为密码，接收方式可能也相对繁杂。

一定要采用验证机制

很多大型的互联网公司以及应用（特别是涉及到金融方面的应用）一般都提供了多步验证服务，如微软、Google、苹果、印象笔记等等。一旦开启了多步验证，只要是在非授信的设置上登录，除了常规的账号和密码外，网站还会要求你额外提供绑定手机的动态验证码，这样就确保了即使你的密码泄露了，依然还有一道安全屏障阻碍黑客最终登录你的账号，保护你的数据财产安全。当然，这种方式在移动应用上已经非常常见了，和手机绑定的账户几乎是强制性的。但是在PC上的应用，验证机制虽然很多厂商有使用，但是只有少数是强制性的，比如谷歌和微软账户登录；很多应用则是非强制性的，比如一些网游、论坛等等，这里强烈建议大家有可能的话，都使用验证机制，虽然麻烦点，但是安全太多。

有验证功能的应用最好打开验证

此外谷歌还有专门的一套验证机制APP，非常复杂，非常麻烦，就算设定都很头疼，但是设定好了的确很有效，支持这套APP下的网站，除了网站登录要用户名和密码外，还必须输入APP随机生成的字符串，基本能做到自己的密码不会被泄露。复杂程度绝对可以让人拜服！

做好自己的密码维护

除了日常使用以外，密码也需要定期的维护。维护密码最常见的一个目的就是防止遗忘。这个 ID 我已经多久没有使用了？我还记得他的密码吗？这个 ID 是在哪个网站注册的？它还有效吗？这些都是密码维护过程中需要注意的问题。

除此之外，密码维护也包含了对密码的定期更换。谁都无法保证在密码使用过程中的绝对安全，因此定期对关键密码进行更换也是十分重要的。通常来说，新更换的密码应该从未在任何地方被使用过，且无法从已有的密码中被类推出来。密码维护还包含一个非常重要的步骤，就是检查已有的密码是否已经发生泄露。常见的检查方式就是通过网站的账户记录检查工具查看账户是否有异常的登录信息或者操作记录，依此确认密码是否发生了泄露。

要知道密码泄露这个事儿，有的是可以预防的，但有的是你不可控的，比如说服务器端要真泄露了，黑客暴力破解了你的密码你也不知道……所以要有一个有忧患意识，没事改改密码总是好的。

  $PAGER$

Part 3：这些管理密码的工具值得信赖

尽管我们说不同应用不同网站应该使用不同密码，但是人脑有限，不可能记住那么多密码，所以呢，使用第三方的工具是个不错的办法。第三方工具不但可以帮助我们管理密码，甚至还能做到跨平台使用。这些密码管理软件的思路都比较一致，你可以往其中添加记录许许多多的密码，甚至可以生成随机密码，不过在这些密码之上，会有一个主密码，掌握了这个主密码，你就能解锁访问其中存储的所有密码。如果你能保证主密码不泄露，那么第三方密码工具就是值得你信赖的好帮手。

KeePass：老牌的免费开源密码软件

KeePass 是一款开源的本地密码管理软件，采用了 AES 和 Twofish 算法的加密，其官方版本覆盖了主流的台式机平台，有 Windows/OS X/Linux 版本。由于其是开源软件，也有一些人在其基础上制作了 iOS/Android/Windows Phone 版本可以下载使用。它最大的特点就是完全是一款本地服务，不需要联网，不需要同步，甚至不需要安装，KeePass 可以直接解压使用，非常方便直接插上 U 盘在不同的电脑上使用或者下载APP在自己的手机上使用。有了它，基本上你不用担心本地密码会记不住或者被别人知道了。

LastPass：界面不错的全平台密码管理器

如果想要 KeePass 那样免费，却有官方提供的原生跨平台体验，那可以试试 LastPass。LastPass 提供了 Mac/PC/Linux 的客户端，并在所有主流浏览器中都有插件可以安装，自然也支持当前最主流的移动平台。LastPass 的浏览器插件及桌面端是完全免费的，用户可以在任一平台免费使用 LastPass，但如果需要在桌面端和移动端同步数据，或者在 iPhone 上使用 Touch ID，则需要额外交纳年费。

1Password：密码管理中的王牌软件

说起最有名的跨平台密码管理软件，那必然是1Password 。它支持所有主流的平台，包括 Windows/Mac/iOS/watchOS/Android。1Password 还是最有设计感的一款密码管理软件，在各同类软件中算是最精致、最细节、最具有美感的一家。1Password 很适合在苹果系统上使用，不但在 iOS 平台上免费了，而且得益于分享插件的引入，现在你可以直接在 Safari 甚至任何支持的第三方 App 中，使用 1Password 填充密码。此外，1Password还有一系列丰富的管理功能。例如可以针对不同的使用者设立不同的密码仓库，可以通过文件夹、标签的形式管理密码，还能存储银行账号、护照、授权码等一系列重要的数据资料。

花密：本地密码也可以加密

花密是一款很另类的密码软件，它不像之前介绍的 KeePass、1Password 之类的是由一个主密码加密存储了所有的个人密码。相反，它和我们之前说的在服务器端存储密码时一些措施很像。之前我们说过一些浏览器可以随机生成一些无规律的字符串作为密码。不过，这些密码的缺点就在麻烦，如果是桌面端生成的密码，在手机上要进行登录操作实在是太痛苦了。花密就解决了这样一个问题：只需要记住一个密码，花密会自动根据网站二次生成一个随机密码。这样，方便你记忆的同时，也确保了密码的复杂性。