密码多且乱，总是记不住？不妨尝试一下这款密码管理软件

知名密码管理软件 NordPass 在 2021 年 11 月发布了 2021 年度人们最常用的 200 个密码清单。毫无意外地，大众最为广泛使用的密码仍然是简单的数字组合和单词，如‘123456’和‘password’这种过于‘朴素’的密码在排行榜中长期霸占着最靠前的位置。

　　简易的密码会为账号安全带来巨大风险，因而 APPSO 今天会推荐一款可以免费使用且可全平台同步的密码管理工具 Bitwarden。通过它我们可以方便安全的管理自己在各个平台的账号密码。

　　为什么需要密码管理软件？

　　绝大多数人在网络上的各种服务里往往使用着相同的密码。这些密码要么是上述提到的一些超级简单，易于识记的数字排列和字母，要么是自己的个人信息如手机号码，生日，姓名拼音等的简单组合。在当前个人信息严重泄漏的网络环境下，使用个人身份信息作为密码其实是存在着巨大隐患的。

　　对于不同网站和 app 使用不同的‘随机性’强密码是保障个人网络安全的重要举措。但这又同时带来另一个问题，我们不可能记住诸多没有规律的密码，将其记录于文件中又难以方便的调取使用。众多的密码管理软件便是为‘人力所不能及’的记忆和方便的使用而服务的。

　　也许你在使用 Edge 和 Chrome 的时候发现这些最新的浏览器已经具备‘建议强密码’和‘密码保存’功能，且能跨设备同步，那么我们为什么还需要一款专门的密码管理软件呢？

▲ Edge 浏览器在网站中使用‘建议强密码’功能来生成安全的随机密码

　　其一是 Chrome 或者 Edge 保存在本地的密码内容可以轻易地被其它软件获取。当安装其它浏览器时，它会提示导入 Edge 或者 Chrome 的书签，密码等内容，只要你确认后，这些信息会完整的转移到其它浏览器。

　　事实上，Chrome 的密码在电脑本地并非明文存储，但是其使用了 Windows 自带的加密机制，这仅仅意味着使用其它 Windows 账户登录无法获得密码。但在相同的 Windows 账户下，其它应用理论上都能获取浏览器保存的密码。若是电脑上存在木马应用，则这些密码信息会被完全泄露。

▲ 浏览器间的数据转移功能，可直接转移密码信息

　　A 君发现其实已经有一款绿色软件 WebBrowserPassView， 在无需 Windows 密码确认的情况下，便可直接查看和导出本地浏览器的所有账号密码。很容易想象这种软件功能若被用作恶意用途，将会带来多大的危害。

▲ WebBrowserPassView 可直接查看到浏览器保存的密码

　　其二是浏览器的密码管理缺少灵活的新增密码功能。用户无法在移动端的 app 上使用浏览器的密码管理来创建随机密码。简而言之，浏览器的密码管理是为浏览器本身服务，其应用范围很大程度上被限制在了该浏览器内。

　　Bitwarden 是什么？

　　Bitwarden 作为一款密码管理软件，它首先要做到的当然是安全。Bitwarden 是一款开源软件，你也许会有疑问开源是否会导致其保存的密码遭遇安全性的挑战，事实上恰好相反。

　　密码学中著名的柯克霍夫原则指出，即使知道密码系统的所有运行步骤，只要缺乏对应的密钥，就无法获取加密的信息。因而只要保管好解锁的密钥，就能确保存储于其中的各项信息都是安全的。

　　同时得益于服务端的开源，我们也可以将 Bitwarden 部署到自己的服务器上，从而让数据完全掌握在自己手里。

▲ Bitwarden 在 github 上完整开源了服务端，客户端，网页端源代码

　　Bitwarden 对用户的账号和主密码使用散列算法进行了处理（散列算法是指对任意的原始数据进行计算操作，得到散列值。该计算过程是单向的，不可逆的，人们无法从最终生成的散列值反向得到原始数据，从而被广泛应用于数据加密），对存储于其上的各种数据都实施了端对端的加密，且原始数据加密的过程在本地设备完成，之后再上传到 Bitwarden 的服务器。

　　因而，Bitwarden 的服务器上保存的是完全加密后的信息，只有通过用户设置的账号和主密码才能完成信息的解密。即使在服务端发生数据泄露，所有信息对第三方仍然是无法理解的密文。

▲ Bitwarden 对账户和主密码使用一系列复杂的散列算法和加密算法来进行处理，确保账户安全性

　　Bitwarden 提供了全平台的原生软件，且有着功能完备的网页端，它的插件支持所有的主流浏览器，十分方便用户在各种情境下的使用。

▲ Bitwarden 对桌面端，浏览器，移动端提供了全面的支持

　　Bitwarden 怎么用？

　　Bitwarden 的大部分功能对个人用户免费，在此 A 君仅对免费版的功能做出说明。

　　注册账号，创建一个安全的主密码

　　在开始之前，我们首先需要注册一个账户。进入 Create Account | Bitwarden Web Vault ，使用邮箱作为账号，再设置 Bitwarden 的主密码。

▲ Bitwarden 注册界面

　　主密码的设置建议选取一个不同于其它应用的强密码。考虑到密码复杂度，同时又要易于记忆，你可以根据自己的习惯选择字母和数字以及特殊符号的组合，且保证足够的密码长度。

　　具体地，字母最好包含大小写，数字避免直接使用身份信息，可以截取手机号码等记忆牢固的数字信息的片段并进行简单易记的二次运算处理，最后，可以插入如感叹号，问号等特殊符号于某个位置，这将增强密码的强度。

　　例如，某人名为张三，出生于 1988 年 8 月 26 日，手机号后四位为 2345，那么设置这样一个密码：Sanz！208862？2354。除了插入其中的特殊符号，我们对姓名的拼音进行了简写和位移，对出生年进行了加 100 的运算，省去了月份，对出生日期进行了倒序，且对手机号码后四位的最后两位也进行了倒序。因为本身我们对个人信息是烂熟于心的，我们所需要记忆的只剩对字母和数字的二次处理动作以及特殊符号的位置。

　　以上是提供给大家设置密码的一个思路，你可根据自己喜欢的方式来对原始信息进行二次处理和排列。

　　设置完密码后，我们可以进入 Bitwarden 开发的 Password Strength Testing Tool 来检查密码的强度，我们无需担心自己的密码在该网站泄露，因为判别密码强度这一过程完全是在浏览器本地进行的。

▲ 密码强度检验，结果显示该密码强度足够，预估破解时间达到数百年

　　除了设置一个安全的主密码，我们还可以开启‘双重验证’登录。‘双重验证’是指登录账号除了需要密码，还需要额外的验证信息，例如临时性的邮箱验证码。Apple， Google 等互联网巨头已逐步推行甚至实施强制性的‘双重验证’登录来保护用户账号安全。因而，对 Bitwarden 开启‘双重验证’登录，相当于又加了一把锁，这将提升账户安全性。

▲ Google 基于 Android 设备和坚果云基于微信公众号验证码的‘双重验证’

▲ Bitwarden 开启邮箱验证码‘双重验证’

　　密码导入和导出

　　注册成功后，下载好自己所用平台的客户端和浏览器插件，就可以开始使用。首先，Bitwarden 提供了导入浏览器和其它主流密码管理软件密码库的功能，从而用户能够方便的导入其它平台的密码数据。

▲ Bitwarden 导入其它平台的数据

　　除了便捷的导入，Bitwarden 也提供了方便的导出功能。敏感数据不能被强制绑定在一个平台，这也是几乎所有同类软件的共识。

▲ 在验证主密码后 Bitwarden 可以导出所有数据

　　在浏览器中使用 Bitwarden 插件

　　工作和学习中人们使用最多的场景大多是浏览器，因而 A 君首先介绍浏览器插件的使用。以 Coursera 网站为例，我们需要注册一个新的账号，我们点击 Bitwarden 插件图标进入主界面，再选择右上角的加号‘添加项目’。

▲ Bitwarden 浏览器插件在网页中‘添加项目’

　　接着，填入我们要注册的账号名称，点击上图中矩形框所围绕的图标选择创建随机密码。进入生成密码的界面后，可以选择密码长度，包含的字符类型，确认后点击右上角的‘选择’，重新进入‘添加项目’页面保存设置的账号数据。