刚刚发生的一幕，我整理成一张清单把密码管理的正确做法告诉你了一遍，别被一句话骗了

刚刚发生的一幕：朋友在咖啡馆接到一条“你账户异常，请输入验证码”的短信，慌忙把验证码报给所谓客服，结果当天就被盗刷。看到这一幕，我把密码管理的正确做法整理成一张清单，分门别类告诉你，别被一句话骗了——那些听起来简单、实际上有漏洞的建议可别轻信。

一张清单：密码管理的正确做法

1) 使用密码管理器并坚持只有一个主密码

• 选择受信赖的密码管理器（支持本地加密或零知识架构的厂商更好）。
• 主密码要长、独特，优先使用短语而非杂乱字符。不要把主密码写在便签上或存在浏览器未受保护的笔记里。

2) 每个账户一个独特密码

• 重复使用密码是被攻击者最喜欢的门路。把重要账户（邮箱、银行、社交媒体）放在最高优先级，先更换它们。

3) 密码长度优先于复杂度

• 比起硬记八位含特殊符号的密码，32位以上的随机短语或密码管理器生成的密码更安全也更实用。

4) 开启多因素认证（MFA），优先选择更安全的方式

• 优先使用基于时间的一次性密码（TOTP）应用（如认证器APP）或硬件安全密钥（FIDO2/WebAuthn）。
• 短信（SMS）可作为最后备选，但不要把它当作唯一保护手段。

5) 为邮箱和恢复渠道设置最高保护

• 邮箱往往是重置其他账户的钥匙。给邮箱启用强MFA和单独的、复杂的密码。
• 把恢复电话或邮箱也视为高价值目标，别把它们暴露在不必要的表单或社交资料里。

6) 使用安全密钥和密码无感登录（当可用时）

• 对企业或高价值个人账户，购买并使用YubiKey等硬件密钥能显著降低被钓鱼的风险。
• 支持FIDO2的服务可实现更强的“无密码”体验。

7) 定期检查数据泄露与响应计划

• 使用Have I Been Pwned等服务或密码管理器自带功能，检查账号是否出现在泄露名单中。
• 如果发现泄露，第一时间更改受影响账户及使用相同邮箱的关键服务密码，开启MFA。

8) 谨防钓鱼和社工攻击

• 不要在电话或聊天中透露验证码、一次性密码或主密码。不信的情况下挂断或通过官网客服回拨确认。
• 链接先看后点，输入凭据前检查URL、证书和来源。

9) 安全地共享凭据

• 如果必须分享（例如工作协作），用密码管理器的共享功能代替截图、邮件或即时通讯发送密码。
• 设定共享权限和过期时间，及时回收不再需要的访问。

10) 设备与备份安全

• 给常用设备加磁盘加密、开锁密码和屏幕自动锁定。保持系统与应用及时更新。
• 为密码库设置安全的备份方案（例如加密导出并存放在受控位置或使用密码管理器的安全同步）。

11) 小心“简便”方案和公共网络

• 避免在公共Wi‑Fi上进行敏感操作，若不得已使用VPN。别轻易信任免费热点。
• 不要把密码写在便签、保存到未加密的云笔记或以明文发送给他人。

12) 处理旧账户与凭据

• 定期清理不再使用的账户，撤销第三方应用授权，避免过多的潜在攻击面。

13) 设定紧急访问与恢复联系人

• 在密码管理器或关键服务中配置可信紧急联系人，并测试恢复流程，确保万一主控人无法操作时还能取回访问权。

14) 培训与习惯养成

• 家庭成员或团队成员需要基础安全教育：别用生日或常见词做密码，不要把验证码口头告诉“客服”，有疑问时先冷静查证。

15) 留意合法替代方案与隐私选择

• 比较厂商的隐私政策、加密方式和开源性——不是越便宜越好，也不是越复杂越安全，适合你需求的才是最佳选择。

别被一句话骗了：常见误导拆解

• “复杂密码就够了” —— 如果同一个复杂密码在多个网站重用，任何泄露都会波及所有服务。
• “只要有短信验证码就安全” —— 短信可被SIM换绑、拦截或社工欺骗利用。
• “记住所有密码更安全” —— 人无法可靠记住大量随机密码，密码管理器不是偷懒的工具而是实战必备。