为什么每个现代人都需要密码管理器

这段时间Twitter发出公告说，无意中在日志里记录了用户的明文密码，请求所有用户修改自己的密码。之前GitHub也发生了相同的事情。

这让我觉得必须要推荐密码管理器了，已经在用的人就不用看了。但是没有用的人必须看。

密码管理器就是一个小本本，记录你的所有密码（以及相关的秘密信息），而这些密码往往是随机生成的。密码管理器被一个主密码保护起来，只要你记得主密码，就能获取到里面的所有密码。

随机的密码有什么好处？

或者说，不随机的密码一无是处。现在网络服务五花八门，它们大多数需要一个密码。如果不用密码管理器记录你的密码，你不知道你的密码是如何被储存的。很可能大剌剌直接存起来，随随便便一个员工都能查到你的密码是什么。也有可能被加密存放¹，但是中间环节发生漏洞——就像上面那样。

如果你多个网站共用密码，比没有密码安全不了多少。

没有人会费尽心机入侵我。

谁也保证不了将来会发生什么。而且大多数时候，入侵一个人不需要「人」而是用脚本自动批量地试就行了（这叫撞库）。S1论坛被广告困扰，就是因为大量普通账户被自动窃取了。

我怕麻烦

在注册的时候去想符合网站规范的新密码更麻烦，更不用说记住了。被主密码保护住的密码管理器只需要记一个密码，这其实节省了更多时间。还有密码丢了以后找回密码的时间成本损失。至于金钱，考虑到密码被盗的损失，那就更不用说了。

为什么不用浏览器当密码管理器？

浏览器会将你的密码同步到他们的服务器，也没有像密码管理器那样注重安全、生成密码的功能没有或者很弱、没有定时锁定，也不能储存其他秘密信息、不能支持两步验证、不能结构化的管理和搜索（比如储存手机App的密码）…而且，换浏览器会很痛苦。

只有一个主密码会不会更加不安全？

多个密码你记不住，肯定会重用的。一重用就等于泄漏了。主密码可以很方便的定期更改。

有什么推荐吗？

1. 1Password - 行内领导，各方面还行。但是是订阅制，而且必须云同步。
2. Enpass - 我正在用。买断制。比较便宜（PC端免费）。功能齐全，我可以把密码库同步到云空间或者自己的服务器。但是这软件不开源，公司来自印度，新版本可能会改善用户对这个软件安全性的顾虑。
3. KeePass - 没用过，但是是开源的，对 iOS 支持不好。
4. LassPass - 不好用，出过几次安全问题。
5. Bitwarden - 没用过，有人推荐，开源。

这类问题推荐可以去slant看看。