「大家實際上到底都怎麼保管密碼的?」就讓我們用可信的調查數據來回答,再回推出一套安全的做法。簡短的版本:最常見的保管習慣,正是攻擊者所利用的那些。
數據怎麼說「大家都怎麼保管」
數字會因國家與調查而異,但幾項可信的研究描繪出同一幅景象。
Security.org 的年度報告發現,超過半數的美國成年人仰賴非管理器的方式(記憶、瀏覽器、紙本)。瀏覽器保存也在上升——但許多在瀏覽器裡保存密碼的人並未意識到與專用管理器相比的安全差異。
為什麼「跟大家一樣」是危險的
這些常見習慣會直接導向重複使用、弱密碼與遺失——正好是攻擊者最擅長的地盤。
當你「靠記憶來管理」時,你會把密碼限縮在記得住的範圍內——於是重複使用相同或相似的密碼。接著,只要有一個服務外洩,攻擊者就能拿那組組合到處去試(憑證填充)。大多數遭外洩的密碼都是重複使用的這個事實,正說明了把「容易記住」擺在第一位,會如何直接轉化為一連串的連鎖入侵。
每種方式真正的意義
常見但不牢靠
- 記憶:受限於你能記住的範圍 → 推動重複使用與弱字串
- 紙本/便利貼:容易遺失、被旁人偷看、消失不見;數量一多就撐不住
- 瀏覽器保存:比什麼都不做好,但對裝置遭接管很脆弱,且監控/分享功能薄弱
- 試算表/筆記 App 裡的明文:一個檔案外洩就全部曝光
安全的基礎
- 密碼管理器:自動為每個網站產生並保存一組強而唯一的密碼;在假網站上不會自動填入=抗釣魚
- passkey:一種完全沒有可被竊取的共用秘密的登入方式
- MFA:即使密碼外洩也能阻止被濫用
- 紙本只當「最後一把鑰匙」:限縮在復原碼之類的用途
重點不是「別再用記憶或紙本」——而是**徹底消除去記住的需要。**管理器讓每組登入都唯一並替你記住,於是你只需要保護一組強而有力的主密碼(以及它的備份)。
接著讀
- 實務上:如何挑選密碼管理器(「消除去記住的需要」的基礎)
- 一個常見問題:把密碼存到 Google Drive 安全嗎?
- 下一步:什麼是 passkey / 如何挑選 MFA
- 建置端的視角:密碼的安全保存方法(雜湊與鹽)
資料來源
- Security.org, "Password Manager Annual Report (2024)": security.org
- Bitwarden, "World Password Day Global Survey (2024)": bitwarden.com
- Verizon, "2024 Data Breach Investigations Report (DBIR)": verizon.com
FAQ
Q那麼,大家最常用來保管密碼的方式到底是哪一種?
在具代表性的調查中,「記憶」是最常見的——全球約有 54% 的人靠記住密碼(Bitwarden, 2024)。其次是紙本或筆記(約 33%),瀏覽器保存也在上升。同時,使用專用密碼管理器的比例約占美國成年人的 36%(Security.org, 2024)。也就是說,超過一半的人是用記、用寫,或交給瀏覽器——這些方式都與重複使用和遺失難以兼顧。
Q把密碼寫在紙上一定是錯的嗎?
並非「一定錯」,但不建議。放在家裡的紙本,遠端攻擊者構不到,但它容易遺失、被人從旁偷看,也可能在搬家或災害中消失——而且隨著數量增加就撐不住。職場上經常傳出便利貼遺失的情況。如果非用紙本不可,絕不要把明文清單放上雲端,並把它限縮在「最後一把鑰匙」的角色,例如管理器的復原碼。
Q瀏覽器內建的密碼保存功能不就夠了嗎?
比什麼都不做好上一大截,但比專用管理器受限。任何能登入該裝置的人——或把裝置整個接管的人——都更容易取得內容,而外洩監控、釣魚防護與安全分享通常較弱。調查發現,許多在瀏覽器裡保存密碼的人並未意識到其中的安全差異。請把重要帳號遷移到專用管理器,再加上 passkey/MFA。