「大家实际上都怎么保存密码?」让我们先用权威的调查数据来回答,再倒推出一个安全的做法。简短版:最常见的保管习惯,恰恰是攻击者会去利用的那些。
关于「大家都怎么保存」,数据怎么说
数字因国家和调查而异,但几项权威研究描绘出同一幅画面。
Security.org 的年度报告发现,超过一半的美国成年人依赖非管理器的方式(记忆、浏览器、纸)。浏览器保存也在上升 —— 但许多把密码存在浏览器里的人,并未意识到它与专用管理器之间的安全差异。
为什么「跟大家一样」很危险
常见的习惯会直接导向重复使用、弱密码和丢失 —— 恰恰是攻击者最擅长的领域。
当你「靠记忆来管理」时,你会把密码限制在自己记得住的范围内 —— 于是你重复使用相同或相似的密码。然后,只要一个服务发生泄露,攻击者就能拿那组账密去其他所有地方挨个尝试(撞库)。大多数被泄露的密码都是重复使用的这一事实表明,把「容易记」放在第一位,会直接变成一条连环失守的链条。
每种方式真正意味着什么
常见但脆弱
- 记忆:受限于你能记住的范围 → 导致重复使用和弱字符串
- 纸 / 便利贴:容易丢失、被偷看、消失;数量一多就崩
- 浏览器保存:比什么都不做好,但抵不住设备被接管,监控/共享也很薄弱
- 电子表格 / 备忘录里的明文:一个文件泄露,全部暴露
安全的基础
- 密码管理器:为每个网站自动生成并保存一个强而唯一的密码;在假网站上不自动填充=抗钓鱼
- passkey:一种根本不存在可被盗的共享秘密的登录方式
- MFA:即便密码泄露,也能阻止被滥用
- 纸只作为「最后一把钥匙」:把它限制在恢复码之类的用途上
重点不是「别再用记忆或纸」 —— 而是从根本上消除「需要去记」这件事。 管理器让每个登录都唯一并替你记住,于是你只需要保护好一个强主密码(以及它的备份)。
接着读
- 实操:如何挑选密码管理器(「消除需要去记」的基础)
- 一个常见问题:把密码存到 Google Drive 安全吗?
- 下一步:什么是 passkey / 如何挑选 MFA
- 开发者视角:密码的安全保存方法(哈希+盐)
来源
- Security.org, "Password Manager Annual Report (2024)": security.org
- Bitwarden, "World Password Day Global Survey (2024)": bitwarden.com
- Verizon, "2024 Data Breach Investigations Report (DBIR)": verizon.com
FAQ
Q那大家保存密码最常见的方式到底是什么?
在权威调查里,「记忆」是最常见的 —— 全球约 54% 的人靠记住密码(Bitwarden, 2024)。其次是纸或便笺(约 33%),浏览器保存也在上升。与此同时,专用密码管理器的使用率在美国成年人中约为 36%(Security.org, 2024)。也就是说,超过一半的人靠记、靠写、或交给浏览器 —— 而这些方式与重复使用和丢失搭在一起就很糟糕。
Q把密码写在纸上是不是一定不对?
并不是「一定不对」,但不推荐。放在家里的纸条远离远程攻击者,但容易丢失、被人从背后偷看,也可能在搬家或灾害中消失 —— 而且数量一多就难以维系。职场常报告便利贴频繁丢失。如果非要用纸,绝不要把明文清单放到云上,并把它限制在「最后一把钥匙」的角色,比如管理器的恢复码。
Q浏览器自带的密码保存功能不就够了吗?
比什么都不做是一大进步,但比专用管理器更受限。能登入设备的人 —— 或接管了设备的人 —— 更容易拿到里面的内容,而且泄露监控、钓鱼防护、安全共享通常更弱。调查发现,许多把密码存在浏览器里的人并未意识到这里的安全差异。请把重要账号迁移到专用管理器,并加上 passkey/MFA。