这两天，CSDN、多玩的密码已经被公开并证实了，其它诸如7K7K，世纪佳缘，人人等一批网站也说已经泄漏，不管是真是假了，总之，这给我们大家都上了严肃的一节信息安全课程。

在说正事之前，先说一下这次密码泄漏的危害，首先，你在某网站的密码公开了，如果你自己不知道，这个帐号可能已经落入他人之手。不过你可能说那帐号我不要啦，但并不是这么简单，很多人会在多网站使用相同的密码，同样的帐号密码在其它网站测试，你所关心的那些网站也会不保。即便在多网站使用不同的密码，但多数人都是在一个密码的基础上做少量变化而成（其实我之前也是这么做），所以，稍微利用一下社会工程学的手段，现有的密码体系即崩溃。因此，只要你被泄漏了，建议做一次彻底的修改密码行动，至于改成什么样，继续往下看。

优秀的密码，首先应该是符合一定的复杂度要求，比如，多少位，包含大小写、数字、特殊符号、无实义，但这样的密码，普通人的记忆力能搞定几个？我连一个都记不住，所以，人脑记忆是可以直接放弃了。常见的密码管理工具目前有1password，lastpass，这两者应该算挺接近的，即都是把用户密码加密后存在云端，可进行同步，一般都和浏览器密切配合，可解决大部分网站密码信息的自动保存、填写、登录。但这始终是依托一个不确定的第三方站点，甚至lastpass今年还传出过被攻陷的消息，当然lastpass说自己的密码保存后如果没有用户的验证密码，无法还原保存的信息。总之，如果你怕折腾（是相对而言），那就选择上述两种方案之一，其中lastpass的普通版不收费，高级版按月收费，1password是按平台收license费用。

今天我介绍的主要是KeePass，这是一款开源的密码管理工具，跨平台做的很好，桌面系统和移动系统都有对应的版本，它的原理是，把用户的密码信息存储到本地数据库中，可按用户的选择进行相应的加密操作，同样没有用户配置的密码，保存的信息无法被还原（至少在现有条件下）。除了配置的密码，还可以创建一个key文件来验证身份。两者可以同时启用。但KeePass的缺点也是明显的，我没研究很深入的插件，至少现在，它初期的录入密码就是个浩大的工程，但习惯慢慢养成，这事也对自己没什么坏处。另外，它目前不会根据浏览器访问到的地址自动填写密码登录，而需要在keepass里选择相应的记录使用其“执行自动输入”功能才可以。所以在使用上比起1password和lastpass都要麻烦一些，再次告诫怕麻烦的直接可以选择这二者了。

对于密码数据库的保护，刚才说了可以设置密码，但这个密码又要设置多么复杂呢，太复杂了依然记不住，这种问题可不能嵌套啊。正好，我前期从 @yegle 哪里买了yubikey，这玩意儿除了有OTP一次性密码之外，还支持静态密码（需要下载配置软件进行配置），那这事就好办了，用yubikey来生成对密码数据库的加密密码，同时还启用了密钥，应该就可以让自己一些了。

本文不是教程，只是我这两天干了一些事，我懒得截图，也懒得写具体步骤，能用yubikey的人，你的英语应该不至于这么烂，官方的文档写的挺明白，自己去看吧。