密码复用,是普通人最便宜的安全漏洞。泄露到此为止!
你的密码,可能早就在别人的数据包里。
真正危险的不是某个小网站被盗。
而是同一组密码,被拿去撞遍全网。
一个账号泄露,所有账号陪葬。
你的密码现在放在哪里?
浏览器自带的"记住密码"?
手机便签里写着"WiFi-小区-2023"?
发给自己的微信文件传输助手?
或者你跟我以前一样——所有平台都是同一个 Aa+生日+特殊符号,只是某个字母大小写换了一下?
如果上面任何一条命中你,这篇你得读完。
不是因为我要劝你装个软件。
是因为 2022 年 LastPass 一次内部入侵,3000 万用户的加密密码库直接被搬走。
更狠的是:
2025 年一次集合泄露,160 亿条凭据公开扔上暗网。
不是个位数。是 160 亿。
按全球网民 50 亿算,平均每个人 3 条凭据已经躺在攻击者的脚本里。
包括你。
一、几个让人睡不着的数据
我把今年的数据集中盘一遍,看完你会冷汗。
- 160 亿条密码——2025 年史上最大集合泄露,涉及 Apple / Facebook / Google 等几乎所有主流平台
- 88% 的 Web 应用攻击靠"偷来的密码"——Verizon DBIR 2025
- 被泄密码里,只有 3% 达到基础复杂度要求
- 平均一个人在 14 个网站用同一个密码
- 59% 的人在收到泄露通知后,新密码还是复用一个旧的(只改了一个字符)
- 25% 的恶意软件专门偷你浏览器和密码管理器(Picus Red Report 2025)
- 2025 NordPass 榜单第一名仍然是 123456——这件事在 NordPass 报告里出现了 6 年
数据加起来一个结论:
你这一辈子注册过的几百个账号里,大概率已经有几条挂在暗网货架上了。
不是"如果"。
是"已经"。
二、撞库:你想象不到的批量犯罪
很多人想:黑客凭啥盯上我?我又没钱又没权。
答案是:
黑客不盯任何一个具体的人。
撞库是这么干的:
→ 某个不起眼的小网站被脱库 → 黑客拿到 1000 万对 邮箱+密码 → 用脚本自动撞银行、支付宝、Gmail、京东、淘宝、Steam… → 凡是密码复用的,全部沦陷
你的 Aa1234567 在某个十年前的小论坛泄露过一次,今天它就能在 50 个网站登录你。
举个 2025 年的真实案例:
韩国第一大运营商 SK Telecom 一次性泄露 2696 万用户的 USIM 认证数据。
意味着什么?
所有以"短信验证码"为 2FA 的账号,瞬间全废了。
你说你银行有 2FA?
黑客有人家 SIM 认证数据,可以拦截或克隆你的短信。
整个国家级运营商一旦栽,多少银行、社交、支付的 2FA 同时翻车。
这就是撞库时代的连锁反应。
三、你现在的密码方案,三条路都堵了
我先把你可能在用的方案盘一遍。
最后一行特别重要。
我得单独讲。
四、LastPass 复盘:3000 万人的警钟
这个故事我看了三遍。
每次看完都更确信一件事:
你的密码不应该交给一个你无法验证的服务器。
完整时间线:
2022 年 8 月:LastPass 一位 DevOps 工程师的家用电脑被攻击。
入口在哪?
他自己装在家用电脑上的 Plex 媒体服务器——一个旧版本、带已知 RCE 漏洞、对外暴露。
黑客通过 Plex 漏洞拿到了这位工程师电脑的控制权。
然后装了键盘记录器。
工程师没事,照常上班,照常用家里电脑远程登录 LastPass 内部系统。
键盘记录器把他敲的所有东西都记下来了。
包括内部解密密钥的访问凭据。
2022 年 12 月:LastPass 终于承认——
3000 万用户的加密密码库被偷。
更狠的是:
被偷的密码库可以离线慢慢爆破。
什么叫离线爆破?
→ 黑客把你的密码库下载到自己服务器 → 用自己的 GPU 集群慢慢试主密码 → 没有任何登录失败次数限制 → 没有任何 IP 封禁
主密码弱?
几天到几周就破出来了。
主密码强?
可能要几年。
但他有的是时间。
LastPass 这个故事给我留下三条铁律:
- 服务器不能盲信。 LastPass 自己存了能解密的密钥,被偷一次全员遭殃。
- 主密码必须够强够长。 离线爆破能不能破,全看你主密码的熵。
- 可能的话,自托管。 你能掌握的服务器,才是真正属于你的服务器。
五、什么样的密码才算安全 讲到这里,先别急着装软件。你得先知道一件事:安全密码不是看起来复杂。
不是把 password 改成 P@ssw0rd!,不是在生日后面加一个感叹号,也不是大小写、数字、符号都凑齐就突然安全了。
这些套路在人的眼里很复杂,但在攻击者的字典、规则和脚本里,非常普通。
更靠谱的密码原则,其实就三条:
长。随机。唯一。
NIST 最新密码指南已经很明确:密码长度比花哨复杂度更重要,不要迷信强制大小写、数字、符号混搭。CISA 给普通人的建议也很直接:用密码管理器生成并保存长、随机、唯一的密码。
- 长:长度优先于复杂度
一个 8 位复杂密码,比如 Lx7@pQ9!,问题不是不复杂,而是太短。短密码再复杂,也经不起离线爆破。
更适合人记的主密码,应该像这样:
绿茶-木星-雨伞-周三-电梯
重点不是这几个词,而是它们之间没有逻辑:不是你的名字、生日、公司名、宠物、城市、球队。它足够长,又能被你记住。
- 随机:不要让大脑编密码
人脑编出来的密码,通常都有规律。比如:
→ 姓名缩写 + 生日 → 公司名 + 年份 → App 名 + 固定后缀 → Aa + 数字 + 符号 → 一个老密码改一位
你以为这是创作,攻击者眼里这是模板。
真正随机的密码,应该交给机器生成。普通网站可以直接用:
→ 20 位以上 → 大小写 → 数字 → 符号 → 每个网站都不一样
你不需要记住它。你只需要让密码管理器记住它。
- 唯一:一个网站一个密码
这才是最关键的。不是“我的密码够复杂,所以可以到处用”,而是:再强的密码,只要复用,就会变成连坐风险。
因为泄露不是发生在你这里。
可能发生在一个十年前注册的小论坛。
可能发生在一个外卖优惠站。
可能发生在一个你早就忘了的工具网站。
一旦这个网站把你的邮箱和密码泄露出去,攻击者就会拿它去撞:
Gmail、Apple ID、微信、支付宝、淘宝、GitHub、Steam、公司系统。
所以安全密码的真正结构应该是这样:
→ 一个强主密码:只用来打开密码管理器 → 几百个随机密码:每个网站一个,全部不同 → 关键账号开 2FA:邮箱、支付、Apple ID / Google、社交、公司系统 → 恢复码离线保存:不要丢进微信、云盘、备忘录
这也是为什么我不建议你继续靠脑子记密码。脑子能记住一个强主密码,但不可能记住几百个 20 位随机密码。
所以问题不是“我要不要装一个密码软件”,而是:你要不要把密码系统,从人脑记忆,升级成机器生成、加密保存、跨设备同步。
到这里,Bitwarden 才该出场。
六、为什么我选 Bitwarden(不选 1Password 也不选 Proton Pass)
LastPass 出事后,我迁到了 Bitwarden。
之所以是 Bitwarden 不是 1Password,五个理由。
1. 零知识架构 + 真·端到端加密
你的主密码永远不上传 Bitwarden 服务器。
Bitwarden 服务器看到的所有数据都是密文。
即使 Bitwarden 服务器明天被攻破,黑客拿到的也只是无法解密的密文。
LastPass 之所以翻车,就因为它自己存了能解密的密钥。
Bitwarden 在架构上根本不存这个东西。
2. 完全开源
代码全部公开在 GitHub。
任何人可以审计。
LastPass 你信不信他们没存解密密钥?
没人知道,因为代码是闭源的。
Bitwarden 你可以自己看代码。
3. 免费版不缩水
→ 不限设备数 → 不限密码数量 → 不限同步次数
LastPass 早就把免费版限到"只能在一类设备上用"——你想电脑+手机同步?
请升级。
4. 真正跨平台
Windows / Mac / Linux / iOS / Android / Chrome / Firefox / Safari / Edge / Opera…
全覆盖。
UI 在各平台高度一致。
5. 可自托管
这是 1Password 永远做不到的。
后面的彩蛋章节我会教你怎么把密码服务器搬回家。
三方对比一张表:
2026 年 1 月,Bitwarden 涨价了。
年费从 $10 翻倍到 $19.80。
涨价之后还选它的核心理由是什么?
开源 + 自托管。
这两件事 1Password 一辈子学不来。
Proton Pass 虽然开源,但不支持自托管。
→ Bitwarden 是当前主流密码管理器里,唯一开源 + 自托管双重满足的选项。
七、小白第一步:3 分钟上手 Bitwarden
不啰嗦了,开始上手。
Step 1:注册账号
打开 bitwarden.com。
点 "Get Started"。
填邮箱、姓名。
重点是主密码。
这是你整个密码库的总钥匙。
主密码三条铁律:
→ 长度优先于复杂度:绿茶咖啡星期三大象 这种 4-5 个不相关的中文词组合,比 P@ssw0rd123 强 100 倍 → 绝对不能在别处用过:用过任何一次,意味着可能已经在暗网 → 写下来锁进保险柜,不存任何数字设备:忘了就找不回来,主密码 Bitwarden 自己都不存
这一关的验收标准:
→ 能登录 vault.bitwarden.com→ 主密码已在物理介质(纸笔)备份
Step 2:装浏览器插件
Chrome 用户:Chrome Web Store 搜 "Bitwarden"。
其他浏览器:bitwarden.com/download 都有。
装完登录。
测试:随便打开个网站登录页,Bitwarden 图标会闪——表示已识别。
验收标准:
→ 图标点亮 → 登录页能弹自动填充
Step 3:导入旧密码(最关键一步)
Chrome → 设置 → 自动填充 → 密码管理工具 → 导出密码 → 拿到一个 CSV 文件。
Bitwarden 网页 → 设置 → Tools → Import Data → 选 Chrome 格式 → 上传 CSV。
导入完做两件事:
→ 立刻删掉那个 CSV 文件(它是明文密码,泄露一次社死) → 关掉 Chrome 的"记住密码"(别两边都存,乱)
验收标准:
→ Bitwarden 库里能看到所有老密码 → Chrome 的密码同步已关闭 → CSV 已彻底删除(清空回收站)
Step 4:装手机 App
App Store / Google Play 搜 Bitwarden。
装完登录。
启用生物识别解锁(指纹或面容)——这样以后不用每次输入主密码。
iOS 用户额外一步:
→ 设置 → 通用 → 自动填充密码 → 勾选 Bitwarden(同时取消 iCloud 钥匙串)
验收标准:
→ 手机 App 能解锁 → 任何 App 的登录页都能自动填充
Step 5:开 2FA(极其重要)
Bitwarden 网页 → Security → Two-step Login。
推荐用 Authenticator App(Microsoft Authenticator / Authy 都行)。
绝对不要用短信 2FA——还记得 SK Telecom 那 2696 万 SIM 吗?
如果你愿意花 $19.80 升级 Premium,可以用 YubiKey 物理硬件 Key——这是当前最强的 2FA 方案。
验收标准:
→ 退出登录,重新登入时会要求输入 2FA 验证码
Step 6:按优先级换密码
不要一次性全换。
按这个优先级:
→ 邮箱(最高优先级,是其他所有账号的"找回密码"入口) → 主力支付(支付宝、微信、银行) → 社交账号(微博、X、Instagram) → 常用购物(淘宝、京东) → 其余所有(慢慢来)
每个新密码用 Bitwarden 自带生成器:
→ 长度选 20 位 → 勾选大小写、数字、符号 → 一键复制粘贴注册
到这一步,你已经超越了 95% 的网民。
八、进阶:Bitwarden 的隐藏神技
熟悉基础操作后,这四个功能让你更上一层。
1. Passkey 存储
2025 年起 Bitwarden 全面支持 Passkey。
Google / Apple / GitHub / Microsoft 等已支持 Passkey 的网站,可以直接用 Bitwarden 保存登录凭证。
无密码登录的未来——Bitwarden 已经准备好了。
2. Vault Health Alerts(2026 新增 Premium 特性)
Bitwarden 自动扫描整个密码库,告诉你:
→ 哪些密码太弱 → 哪些密码已经在已知泄露中出现 → 哪些密码在你自己的多个账号里复用
直接出报告,对着改就行。
3. Bitwarden Send
一次性、限期、密码保护的加密文件分享。
需要给同事发个临时凭证?
用 Send,链接 24 小时后自动失效。
4. CLI 工具 bw
命令行操作整个 Bitwarden。
可以写 Shell 脚本自动读取密码(自动化部署、定时备份脚本里读取 API Key)。
技术党狂喜。
到这里小白章节已经完整。
有些人会卡在导入、卡在 2FA、卡在改密码——OK,这篇文章对他们已经完成使命。
但有一类读者会继续问:
Bitwarden 的服务器虽然加密了,但我还是不放心把密码库放别人服务器上。能不能自己跑一台?
可以。
往下看。
九、【彩蛋·极客向】自建 Vaultwarden:你的密码服务器只属于你
为什么自建?
三个理由:
→ 数据控制权:服务器在你手里,没人能"被迫"交出你的数据 → 零订阅费:5 美元的 VPS 或一台旧电脑就能跑,长期省 $19.80/年 → 极致折腾乐趣:这才是技术党的快乐
但先说结论:
如果你没有服务器维护经验,不建议一上来就自建密码库。
自建不是"更安全"的同义词。
它只是把信任第三方,换成信任你自己的运维能力。
你要自己负责:
→ 服务器更新 → HTTPS → 反向代理 → 防火墙 → SMTP → 容器升级 → 备份 → 恢复演练
这些事有任何一项没做好,都可能让"自建"变成新的风险源。
所以普通用户先用 Bitwarden 官方云端。
技术用户再考虑 Vaultwarden。
Vaultwarden 是什么?
→ Rust 重写的 Bitwarden 服务端 → 完全兼容官方 Bitwarden 客户端(浏览器/App/CLI 全能连) → 资源占用极低:官方服务端要 4GB 内存,Vaultwarden 几十 MB 就够→ MIT 协议,纯社区项目
它不是 Bitwarden 官方服务端。
但它兼容官方 Bitwarden 客户端。
浏览器插件、手机 App、桌面端、CLI 都可以连。
适合谁?
适合这几类人:
→ 一台 VPS(推荐 Hetzner CX11 / Vultr / DigitalOcean,3-5 美元/月) → 或一台家里的旧电脑/NAS/树莓派 → 一个域名(推荐 Cloudflare 注册) → 域名 A 记录指向你的服务器 IP → 基础 Linux 命令行能力
硬件要求很低:
→ 最低:512MB 内存、1GB 磁盘 → 推荐:1GB 内存、5GB 磁盘 → CPU:1 核就够
便宜到离谱。
自建最小闭环
无论你手动部署,还是用一键脚本,真正重要的不是"跑起来"。
真正重要的是这条闭环:
→ 域名能访问 → HTTPS 正常 → 只开放必要端口 → 注册第一个账号后关闭公开注册 → 管理后台有强随机 token → Bitwarden / Vaultwarden 账号打开 2FA → 备份是加密的 → 至少做过一次恢复演练
这几件事没做完,不叫自建完成。
只叫"服务暂时能打开"。
不想手动部署,可以用这个一键脚本
如果你已经决定自建,但不想一行一行手动敲 Docker、Caddy、Nginx、备份脚本,我开源一键部署脚本:
它支持两种服务端:
→ Vaultwarden:更轻量,适合个人和家庭 → Bitwarden Lite:官方轻量自托管版本,适合想用官方镜像的人
也支持两种反向代理:
→ Caddy:自动 HTTPS,推荐大多数人用 → Nginx + Certbot:适合本来就有 Nginx 环境的人
脚本会帮你做这些事:
→ 安装 Docker → 生成 docker-compose.yml → 配置 HTTPS 反代 → 设置 UFW 防火墙 → 生成加密备份脚本 → 注册每天凌晨 3 点自动备份
但我必须把丑话说在前面:
不要在已有复杂服务的生产机器上无脑跑一键脚本。
它会重置 UFW 防火墙规则,只保留 SSH、80、443。
如果你的 SSH 不是默认端口,或者机器上还有别的服务,要先看懂脚本再跑。
跑完以后,也不是万事大吉。
你还必须做四件事:
→ 注册第一个账号后,立刻关闭公开注册 → 给 Bitwarden / Vaultwarden 账号打开 2FA → 把 KDF 改成 Argon2id → 把备份加密密语复制到安全位置,并至少做一次恢复演练
一键脚本只能帮你把服务跑起来。
真正决定自建是否可靠的,还是备份、恢复、更新和日常维护。
自建安全清单
→ ✅ 关闭 SIGNUPS_ALLOWED
→ ✅ 设置 ADMIN_TOKEN(强随机 48 字节)
→ ✅ 用 Caddy / Nginx 反代 + HTTPS(不要直接暴露 8080 端口)
→ ✅ 防火墙 ufw 只开 22 / 80 / 443
→ ✅ SSH 改成密钥登录,禁用密码
→ ✅ 装 Fail2ban 自动封禁暴力破解 IP
→ ✅ 启用 SMTP,确保异常登录有邮件提醒
→ ✅ 主密码强度极致拉高(自己跑的服务器,密码库就是终极防线)
→ ✅ 定期 docker compose pull 更新镜像
→ ✅ 备份脚本跑通后,至少恢复演练 1 次——没演练过的备份等于没备份
记住一句话:
自建最关键的不是部署,是恢复。
没做过恢复演练的备份,等于没有备份。
十、30 天落地 checklist
按这个节奏走,30 天彻底完成密码迁移:
→ 第 1 天:注册 Bitwarden + 装浏览器插件 + 装手机 App → 第 2-3 天:导入旧密码 + 开 2FA + 主密码物理备份到保险柜 → 第 4-7 天:邮箱 + 支付类账号全换 20 位强密码 → 第 8-15 天:剩余常用账号慢慢换完,每天换 5 个→ 第 16-30 天(极客):评估是否自建 Vaultwarden;需要自建再用一键脚本或手动部署,重点跑通备份和恢复演练
几个提醒:
→ 一次性全换是反人性的。每天 5 个,让大脑有时间适应"自动填充"的新工作流 → 不要在公司电脑上操作主密码相关动作 → 主密码物理备份放保险柜或家里安全位置——不在云盘,不在便签,不在微信
十一、最后一句话
密码管理器不是"装个软件"。
是把你这一辈子在互联网上的钥匙串,重新攥进自己手里。
LastPass 教训告诉我们:把钥匙串完全交给第三方,是要承担信任成本的。
Bitwarden 的解法是开源 + 自托管——
→ 你愿意信任它的服务器,就用云端 → 你不愿意,就自己跑一台
自由是有代价的。
这个代价就是你愿不愿意花一周时间,把它装好。
收藏前先做一件事:
现在打开 bitwarden.com,把邮箱填了,把主密码写在保险柜里,把第一个账号导进去。
15 分钟。
剩下的事,可以慢慢来。
全文数据参考来源:
- Verizon Data Breach Investigations Report 2025
- Bitwarden 2025 World Password Day Survey
- NordPass Most Common Passwords 2025
- Picus Security Red Report 2025
- UpGuard LastPass Breach Analysis
- NIST SP 800-63B Digital Identity Guidelines
- CISA Use Strong Passwords
- Vaultwarden 官方 Wiki (github.com/dani-garcia/vaultwarden/wiki)
- wdwxw/bitwardenscript 一键部署脚本 (github.com/wdwxw/bitwardenscript)
- Bitwarden 官方定价页 + 2026-01 涨价公告
