篇首语

经常看到很多密码管理器的评测和讨论，大多聚焦于功能特性，对于最关键的安全性，小编们基本都说不清楚。这当然可以理解，毕竟密码管理器的安全非常专业也非常技术性，具备足够知识背景的人并不多。本系列文章主要从密码管理器保护密码的安全性角度，分享一下相关的专业知识。密码管理器的安全性涉及到很多方面的知识，本系列文章只讨论对数据加密保护这个核心技术。

1. TL; DR（太长了，不想读）

密码管理器已经进化了4代，每一代都带来安全性的巨大提升。

本文要讲解的是第一代密码管理器，总结如下：

• 安全技术：有管理，无保护
• 典型代表：小本本，记事本，浏览器集成的密码管理器，一些私密云笔记

2. 起源

故事是这样开始的。

互联网服务越来越流行，大家要登录的网站越来越多，要记住的密码也越来越多了。

• 密码要长要粗，哦不，要复杂，包含数字、字母、符号和表情包
• 不能使用相同密码（为啥不能使用相同的密码？请戳 密码重用的危害及规避方法）
• 太多了记不住

于是人们就开始尝试各种管理密码的方法，

有人用小本子写得密密麻麻，有人则用记事本保存到文件。

现在云笔记开始流行了，还能写私密笔记。设一个密码，随时同步，真方便！

☝️ 黑客也这么看！

3. 没有保护的密码管理器

大家使用浏览器上网经常要输入用户名和密码，浏览器就集成了记住密码和填写密码功能。

IE 浏览器的自动完成密码

第一代密码管理器通常都没有加密，也就是说，和你用记事本保存在电脑上差不多。

密码明文集中保存！嘿嘿，你看看黑客的小心心

浏览器厂商也知道这个问题很严重，慢慢都开始加密保存，现在打开浏览器保存密码的数据库文件看不到明文密码了。

可是，可是，没什么卵用啊...

比如Chrome浏览器在Windows上就使用 DPAPI来加密，用户打开任何其他程序都可以调用 CryptUnprotectData解密得到密码。

加密≠安全

甚至还有人写了开源程序，能够从Windows, Mac, Linux等平台上抓取Chrome浏览器保存的密码，就在这里 Chrome-Password-Grabber

4. 第一代安全技术

第一代密码管理器的安全技术：有管理，无保护。

• 根本没有加密保护

或者，

• 很容易破解的简单加密保护

如果浏览器可以直接读取保存的密码，那其他应用程序也可以使用相同的方法读取。

所以，如果浏览器可以直接填充密码，而不要求输入独立的主密码解锁，那就没有真正的保护。

浏览器还是黑客们最主要的攻击目标之一，墙裂建议，不要使用浏览器自带的密码管理器！

• 举个知名浏览器的栗子： Opera服务被黑，用户数据和存储密码泄露

5. 私密云笔记

记事本写密码大家都知道很不安全，输入密码才能查看的私密云笔记，却有很大的迷惑性，很多用户会误以为安全。

有些云笔记仅仅使用密码限制用户访问，而不是使用密码加密笔记内容。

就是防一下女朋友打开电脑时直接看到内容。

如果云端被黑客入侵，那你保存的密码就很可能被盗。

• 我不会告诉你，云笔记的开发者也可能偷看

使用云笔记保存密码要非常小心，除非确信设置的密码用于加密内容。

（敬请期待下一篇：第二代密码管理器）