密码管理器选型：Bitwarden、1Password、KeePass、自托管对比

Q: 为什么要用密码管理器？浏览器存密码不行吗？

浏览器存密码安全性不足。浏览器存密码的问题：(1) 加密弱 —— Chrome / Edge 用 OS 级加密（DPAPI / Keychain），但物理访问 + 用户 unlock 状态时可读；(2) 跨设备同步弱 —— Chrome 同步要登录 Google 账号 → 谷歌账号被攻破 = 所有密码被攻破；(3) 不区分账号 —— 同一浏览器登录多个用户难分隔；(4) 无审计 —— 看不到密码强度、重复使用、泄露历史。密码管理器的优势：(1) 零知识加密 —— 服务端只存加密 blob，主密码不上传；(2) 强加密 —— AES-256 + PBKDF2 / Argon2 慢哈希；(3) 跨平台同步 —— 桌面 / 手机 / 浏览器一致；(4) 生成强密码 —— 32 位随机不重复；(5) 泄露监控 —— Have I Been Pwned 集成；(6) 2FA 集成 —— 部分支持存 TOTP；(7) 共享密码 —— 家人 / 团队共享。实务：(1) 浏览器存密码 = 中等安全 vs 密码管理器 = 高安全；(2) 全部敏感账号（银行 / 邮箱 / 社交）必须用密码管理器；(3) 不要既用浏览器存又用密码管理器 —— 会冲突。

Q: Bitwarden vs 1Password 选哪个？

两者都好，差异在生态 + 价格。Bitwarden：(1) 开源 —— 代码可审计；(2) 免费版功能强 —— 跨设备同步 / 无限密码 / 2FA 存储 / 密码生成；(3) 付费 $10/年个人 —— 高级 2FA / 文件附件 / 紧急联系人；(4) 家庭 $40/年 —— 6 人共享；(5) 企业 $3/用户/月；(6) 可自托管（社区版免费）；(7) UI 朴素 —— 功能为主、设计偏工程师风。1Password：(1) 闭源 —— 商业产品；(2) 无免费版 —— $2.99/月起（个人）；(3) 家庭 $4.99/月；(4) 企业 $7.99/用户/月；(5) 不能自托管；(6) UI 极佳 —— 业界最美观、最易用；(7) 生态完整 —— Watchtower 安全监控、Travel Mode 出差模式。选择：(1) 预算优先 / 开源党 / 自托管需求 → Bitwarden；(2) 追求体验 / 团队协作 / 企业 → 1Password；(3) 完全免费 → Bitwarden 免费版（功能足够个人）；(4) 学生 / 极简 → Bitwarden 免费版。

Q: KeePass 是什么？为什么有人推荐？

KeePass = 本地数据库的"祖师爷"。KeePass 特点：(1) 完全开源（GPL）+ 完全免费；(2) 本地数据库 —— 单个 .kdbx 文件存所有密码；(3) 无云同步（需自己处理）—— 用 Dropbox / OneDrive / 同步盘自行同步；(4) 强加密 —— AES-256 / Twofish / ChaCha20；(5) 插件丰富 —— 几百个社区插件扩展功能；(6) 跨平台（KeePass 官方 Windows + 第三方 KeePassXC 跨平台、KeePassDX Android、Strongbox iOS）。优势：(1) 零云依赖 —— 数据永远在本地；(2) 绝对开源 —— 不可能"突然下架"；(3) 零订阅费；(4) 完全自己掌控数据。劣势：(1) 使用麻烦 —— 需要自己同步文件 / 管理多设备；(2) UI 老旧 —— 像 Windows XP 时代；(3) 第三方客户端体验参差 —— 不同平台不同实现；(4) 新手不友好 —— 配置复杂。适合：(1) 极度重视数据主权 的人；(2) 完全离线场景（无互联网）；(3) 预算 0 且愿意折腾；(4) 企业内网 不能用云端方案。实务：多数人 → Bitwarden 体验更好；KeePass 适合特定需求。

Q: 自托管密码管理器划算吗？

取决于技术能力和需求。自托管的优势：(1) 数据主权 —— 数据只在你的服务器；(2) 隐私 —— 服务商无法看到任何元数据；(3) 可定制 —— 修改源码 / 加功能；(4) 大流量场景便宜 —— 超过 50 用户后比 SaaS 便宜。劣势：(1) 运维成本 —— 服务器 + 备份 + 安全更新；(2) 技术门槛 —— 需要 Linux / Docker 基础；(3) 可用性风险 —— 服务器挂了你访问不了密码（影响极大）；(4) 没专业团队 —— 安全审计、漏洞修复全靠自己。主流自托管选择：(1) Bitwarden 自托管（官方）—— Docker 一键，但占资源（4GB RAM 起）；(2) Vaultwarden（社区版）—— Bitwarden 兼容，Rust 实现，资源极少（< 100MB RAM），最受欢迎；(3) Padloc —— 现代 UI，专注端到端加密；(4) Passbolt —— 团队协作专注。典型 Vaultwarden 部署：(1) VPS（5-10 美元/月）；(2) Docker Compose；(3) Caddy / Nginx 反向代理 + HTTPS；(4) 备份到 S3 / 异地。实务：(1) 个人用户 → SaaS 更省心；(2) 小团队（< 30 人） → Bitwarden Cloud；(3) 大企业 / 高敏感 → Vaultwarden 自托管 + 完整运维。

Q: 主密码（master password）多长才安全？怎么记？

主密码必须强且自己能记住。强度要求：(1) 至少 16 位 —— 短于此暴力破解风险；(2) 大小写 + 数字 + 特殊字符；(3) 不是常见词 —— 字典攻击秒破；(4) 不与其他账号相关 —— "password123!" 之类。生成方式：(1) passphrase（口令短语）—— 4-6 个随机词；(2) 例："cherry-mountain-pencil-volcano-cloud-7"；(3) 比传统密码好记 + 比传统密码强（熵更高）；(4) Diceware 词表 —— 用骰子生成；(5) 密码管理器自带 passphrase 生成器。记忆技巧：(1) 写下来 + 锁保险柜 —— 不丢失；(2) 告诉家人 / 律师（紧急联系人）；(3) 多次手写练习 —— 形成肌肉记忆；(4) 不存数字载体 —— 不要存手机 / 邮箱 / 笔记本电脑。陷阱：(1) 主密码忘了 = 所有密码丢失（密码管理器无法重置）；(2) 用 4 位 PIN 当主密码 —— 几秒被破；(3) 给主密码 +"123" 个性化 —— 字典攻击仍秒破。实务：(1) passphrase 4-6 词 + 数字 / 特殊；(2) 写下来锁保险柜；(3) 告诉至少 1 个紧急联系人；(4) 每年验证一次"我还记得"。

Q: 主密码忘了怎么办？能找回吗？

绝大多数情况找不回。为什么：(1) 密码管理器用零知识架构 —— 服务端不知道你的主密码；(2) 数据用主密码加密 —— 没主密码无法解密；(3) 即使是 Bitwarden / 1Password 公司也没法重置你的密码。少数有救的情况：(1) 生物识别已注册 —— iPhone Face ID / Mac Touch ID 解锁可绕过主密码；(2) 紧急访问已设置 —— 提前指定紧急联系人，等待期后他们可访问；(3) 本地有"主密码提示" —— 多数管理器不存提示。Bitwarden 的"忘记密码"机制：(1) 不能找回原密码；(2) 可以"重置数据"——但所有密码都丢失；(3) 类似"格式化重新开始"。1Password 的 Secret Key：(1) 1Password 用主密码 + Secret Key 双重保护；(2) Secret Key 是 1Password 生成的（你登录时下载的）；(3) 两者都要才能登录；(4) 任何一个丢都无法恢复。预防：(1) 写下主密码 + 锁保险柜；(2) 设紧急联系人 / 紧急访问；(3) 1Password 的 Emergency Kit 打印保存；(4) 告知家人主密码位置（不告知具体密码）。实务：把"找回主密码"当成"不可能事件" → 强力预防。

Q: 怎么从浏览器迁移到密码管理器？

几步完成。1. 选定密码管理器 —— 装好客户端 + 设主密码。2. 导出浏览器密码：(1) Chrome：设置 → 密码 → 导出（CSV）；(2) Edge / Firefox / Safari 同样有导出；(3) CSV 含所有 URL / username / password。3. 导入密码管理器：(1) Bitwarden：Vault → Tools → Import → 选 Chrome / 自定义 CSV；(2) 1Password：Files → Import → 类似流程；(3) KeePass：File → Import → CSV。4. 验证：(1) 抽查几个网站登录是否成功；(2) 检查总数对得上。5. 清理：(1) 删除 CSV 文件（包含明文密码）；(2) 浏览器中关闭密码保存（避免冲突）；(3) 浏览器中删除已存密码。6. 安装浏览器扩展：(1) Bitwarden / 1Password / KeeWeb 都有浏览器扩展；(2) 自动填充 / 弹出建议密码 / 检测新密码自动保存。7. 加强弱密码：(1) 用密码管理器自带的"安全审计" / "Watchtower"；(2) 找出重复 / 弱 / 已泄露密码；(3) 逐个改成强密码（每次登录改一个）。实务：(1) 一周完成迁移 + 清理；(2) 高价值账号优先（银行 / 邮箱 / 社交）；(3) 低价值账号慢慢改。

Q: 密码管理器 + 2FA 怎么配合？2FA 也存密码管理器里安全吗？

核心争议：把 2FA 和密码放一起会不会"鸡蛋同篮"？。两派观点：(1) 保守派：2FA 必须单独存（专门 2FA App 如 Google Authenticator / Authy / Aegis）—— 防"密码管理器被攻破"；(2) 实用派：2FA 存密码管理器一起 —— 方便、密码管理器主密码 + 2FA 自身已是双层防御。实际场景：(1) 密码管理器主密码强 + 生物识别 + 2FA 启用 —— 已经很安全；(2) 完全分离 2FA 增加使用阻力 → 用户可能不开 2FA → 反而更危险；(3) 极高敏感账号（银行 / 加密货币）→ 仍然分离更稳。主流方案：(1) Bitwarden Premium + 2FA 存储 —— 一站式；(2) 1Password + 2FA 存储 —— 同上；(3) 专门 2FA App：Google Authenticator（无云备份，丢手机就完）/ Authy（云备份）/ Aegis（开源 + 加密导出）/ 1Password（如果用）。实务建议：(1) 绝大多数账号 → 2FA 存密码管理器（方便+安全）；(2) 银行 / 加密货币 / 主邮箱 → 单独的 2FA App + 备份恢复码；(3) 密码管理器自身的 2FA → 专门 2FA App（不能存自己里面）；(4) 备份恢复码 → 打印 + 锁保险柜。

2026-04-26 · 约 5 分钟 🔐 密码生成

强密码记不住、用一套密码到处跑容易泄露、记事本明文存太危险——密码管理器是现代用户的必需品。但选哪个、怎么用、自托管划不划算，这些选择影响日后多年的密码生活。这篇讲清主流方案的差异和实战建议。

为什么必须用密码管理器

不用密码管理器：
  ↓
记不住强密码
  ↓
用同一套密码到处用
  ↓
任何一个网站泄露 → 所有账号被攻破
  ↓
"撞库攻击"广泛使用

真实案例：

2013 Adobe 1.5 亿账号泄露
2016 LinkedIn 1.6 亿
2019 Capital One 1 亿
2021 Facebook 5.3 亿

每年都有大型泄露。如果你在 Adobe 用的密码也用在 Gmail —— 黑客拿到 Adobe 密码 → 试 Gmail → 进了。

对策：

每个网站用不同的强密码
这些密码人脑记不住
必须用密码管理器

三大主流方案对比

维度	Bitwarden	1Password	KeePass
开源	✓	✗	✓
免费版	✓ 功能强	✗	✓ 完全免费
跨平台	✓	✓	✓（多客户端）
浏览器扩展	✓	✓	✓（部分客户端）
云同步	✓（自带或自托管）	✓（自带）	✗（自己同步）
自托管	✓	✗	N/A（本地）
UI 体验	朴素	极佳	老旧
价格（个人）	免费 / $10 年	$36 年	免费
适合	性价比 / 自托管	体验 / 企业	极客 / 离线

Bitwarden：性价比之王

优势：

开源代码可审计
免费版功能强（无限密码、跨设备同步）
付费 $10/年（个人）—— 是 1Password 的 1/3-1/4
可自托管（社区版完全免费）

免费版包括：

无限密码 / 跨设备同步
基础 2FA（TOTP）存储（部分功能 Premium）
密码生成器
跨平台客户端 + 浏览器扩展

Premium $10/年：

TOTP（2FA）生成
文件附件
紧急访问
Vault 健康报告（找出弱 / 重复 / 已泄露密码）

家庭版 $40/年（6 人）：

共享密码库
共享文件夹

1Password：体验之王

优势：

UI 业界最美
功能完整（Watchtower 安全监控、Travel Mode、Secrets Automation）
企业生态强（SSO 集成 / 团队管理 / 审计日志）
客户支持响应快

关键特性：

Secret Key：除了主密码，还有一个 1Password 生成的 Secret Key —— 双重保护
Watchtower：监控密码强度、重复、泄露
Travel Mode：出国时临时隐藏敏感库
1Password X：浏览器扩展独立运行

价格：

个人 $2.99/月 = $36/年
家庭（5 人）$4.99/月 = $60/年
团队 $7.99/用户/月

KeePass：极客之选

优势：

完全开源（GPL）
完全免费
100% 本地（数据只在你的设备）
强加密（AES-256 / Twofish / ChaCha20）
插件丰富（几百个社区插件）

劣势：

UI 老旧（Windows XP 风格）
同步要自己处理（Dropbox / OneDrive / Syncthing）
多设备体验差（不同客户端实现各异）
学习曲线陡

主流客户端：

KeePass（Windows 官方）
KeePassXC（跨平台，最受欢迎）
KeePassium（iOS）
KeePassDX（Android）
KeeWeb（Web 版）

适合：

数据主权敏感
完全离线场景
预算 0 + 愿意折腾
企业内网

自托管：Vaultwarden（最受欢迎）

Vaultwarden = Bitwarden 服务端的 Rust 重写：

Bitwarden 客户端兼容
资源占用极低（< 100MB RAM）
Docker 一键部署
完全免费 + 开源

与官方 Bitwarden 自托管对比：

维度	官方 Bitwarden Server	Vaultwarden
实现	C# / .NET	Rust
资源占用	4GB RAM 起	100MB
数据库	MS SQL Server	SQLite / MySQL / PostgreSQL
Premium 功能	需付费 license	全部免费可用
维护	官方	社区

典型 Vaultwarden 部署：

# docker-compose.yml
version: '3.8'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    volumes:
      - ./vw-data:/data
    environment:
      - DOMAIN=https://vault.example.com
      - SIGNUPS_ALLOWED=false  # 关闭注册
      - ADMIN_TOKEN=${ADMIN_TOKEN}
    ports:
      - "8080:80"

配套：

Caddy / Nginx 反向代理 + HTTPS
定期备份到 S3 / 异地
监控 / 告警

成本：

VPS 5-10 美元/月（DigitalOcean / Hetzner / Linode）
比 SaaS 便宜（如果你有 5 人以上）

风险：

服务器挂了你访问不了密码
必须有完善的备份策略
安全更新自己跟进

主密码：必须超强

强度要求：

至少 16 位
大小写 + 数字 + 特殊字符
不是常见词
不与其他账号相关

推荐：Passphrase（口令短语）：

4-6 个随机单词
例：“cherry-mountain-pencil-volcano-cloud-7”
比传统密码好记 + 更强（熵更高）

Diceware：

用骰子从词表选词
7776 词的标准词表
5 个词 = 64 bit 熵 ≈ 暴力破解需要 5800 万亿次尝试

记忆技巧：

写下来 + 锁保险柜
告诉紧急联系人（家人 / 律师）
多次手写练习
不存数字载体（不存手机 / 邮箱 / 笔记本电脑）

严重警告：

主密码忘了 = 所有密码丢失
密码管理器无法重置主密码
必须有备份方案

主密码备份方案

方案 A：纸质备份
  ↓
  写下主密码（含 1Password Secret Key）
  打印 Bitwarden 恢复码 / 1Password Emergency Kit
  ↓
  锁保险柜
  
方案 B：紧急联系人
  ↓
  Bitwarden Premium / 1Password 支持
  ↓
  指定家人 / 律师为紧急联系人
  ↓
  你失踪 / 死亡时他们等待期后可访问
  
方案 C：多副本
  ↓
  纸质备份多份（家 + 律师 + 保险箱）
  ↓
  避免单点失败

从浏览器迁移

1. 选定密码管理器 + 装客户端 + 设主密码
   ↓
2. 浏览器导出密码（CSV）
   - Chrome: 设置 → 密码 → 导出
   - Edge: 类似
   - Firefox: about:logins → 导出
   - Safari: 设置 → 密码 → 导出
   ↓
3. 密码管理器导入 CSV
   ↓
4. 抽查几个登录验证
   ↓
5. 删除 CSV 文件 + 浏览器中关闭密码保存
   ↓
6. 安装浏览器扩展（自动填充）
   ↓
7. 用 Watchtower / Vault Health 找弱密码
   ↓
8. 逐个改强密码

2FA 怎么配合

核心争议：2FA 存密码管理器 vs 单独 App？

保守派：单独存

防”密码管理器被攻破”
鸡蛋不放一篮

实用派：合并存

方便（自动填充密码 + 2FA）
主密码 + 2FA 已经双层

实际建议：

账号类型	推荐方案
普通账号（社交 / 论坛）	2FA 存密码管理器（方便）
银行 / 加密货币	单独 2FA App（更稳）
主邮箱	单独 2FA App + 多备份
密码管理器自身	必须单独 2FA App
工作 / 公司	看公司政策

主流 2FA App：

Google Authenticator：简单，无云备份（丢手机就完）
Authy：云备份（密码加密），跨设备
Aegis（Android 开源）：本地 + 加密导出
1Password / Bitwarden：内置 2FA

关键：

永远保存恢复码（打印 + 锁保险柜）
2FA App 启用密码 / 生物识别保护
主邮箱的 2FA 必须最稳

实战清单

✅ 必做：

从浏览器迁移到密码管理器
主密码超强（16+ 位 / passphrase）
主密码备份纸质 + 紧急联系人
启用密码管理器自身的 2FA
定期用 Watchtower / Vault Health 检查
高价值账号 2FA 单独存

❌ 避免：

浏览器存高价值账号密码
用相同主密码 / 弱主密码
主密码不备份
一处 2FA 没启用
把密码管理器主密码 + 2FA 都放一处
不定期 review 密码强度

密码管理器是数字时代的必备基础设施——选好方案、设置强主密码、备份恢复方案，能保护你所有在线账号 30 年。

❓ 常见问题

为什么要用密码管理器？浏览器存密码不行吗？

浏览器存密码安全性不足。浏览器存密码的问题：(1) 加密弱 —— Chrome / Edge 用 OS 级加密（DPAPI / Keychain），但物理访问 + 用户 unlock 状态时可读；(2) 跨设备同步弱 —— Chrome 同步要登录 Google 账号 → 谷歌账号被攻破 = 所有密码被攻破；(3) 不区分账号 —— 同一浏览器登录多个用户难分隔；(4) 无审计 —— 看不到密码强度、重复使用、泄露历史。密码管理器的优势：(1) 零知识加密 —— 服务端只存加密 blob，主密码不上传；(2) 强加密 —— AES-256 + PBKDF2 / Argon2 慢哈希；(3) 跨平台同步 —— 桌面 / 手机 / 浏览器一致；(4) 生成强密码 —— 32 位随机不重复；(5) 泄露监控 —— Have I Been Pwned 集成；(6) 2FA 集成 —— 部分支持存 TOTP；(7) 共享密码 —— 家人 / 团队共享。实务：(1) 浏览器存密码 = 中等安全 vs 密码管理器 = 高安全；(2) 全部敏感账号（银行 / 邮箱 / 社交）必须用密码管理器；(3) 不要既用浏览器存又用密码管理器 —— 会冲突。

Bitwarden vs 1Password 选哪个？

两者都好，差异在生态 + 价格。Bitwarden：(1) 开源 —— 代码可审计；(2) 免费版功能强 —— 跨设备同步 / 无限密码 / 2FA 存储 / 密码生成；(3) 付费 $10/年个人 —— 高级 2FA / 文件附件 / 紧急联系人；(4) 家庭 $40/年 —— 6 人共享；(5) 企业 $3/用户/月；(6) 可自托管（社区版免费）；(7) UI 朴素 —— 功能为主、设计偏工程师风。1Password：(1) 闭源 —— 商业产品；(2) 无免费版 —— $2.99/月起（个人）；(3) 家庭 $4.99/月；(4) 企业 $7.99/用户/月；(5) 不能自托管；(6) UI 极佳 —— 业界最美观、最易用；(7) 生态完整 —— Watchtower 安全监控、Travel Mode 出差模式。选择：(1) 预算优先 / 开源党 / 自托管需求 → Bitwarden；(2) 追求体验 / 团队协作 / 企业 → 1Password；(3) 完全免费 → Bitwarden 免费版（功能足够个人）；(4) 学生 / 极简 → Bitwarden 免费版。

KeePass 是什么？为什么有人推荐？

KeePass = 本地数据库的"祖师爷"。KeePass 特点：(1) 完全开源（GPL）+ 完全免费；(2) 本地数据库 —— 单个 .kdbx 文件存所有密码；(3) 无云同步（需自己处理）—— 用 Dropbox / OneDrive / 同步盘自行同步；(4) 强加密 —— AES-256 / Twofish / ChaCha20；(5) 插件丰富 —— 几百个社区插件扩展功能；(6) 跨平台（KeePass 官方 Windows + 第三方 KeePassXC 跨平台、KeePassDX Android、Strongbox iOS）。优势：(1) 零云依赖 —— 数据永远在本地；(2) 绝对开源 —— 不可能"突然下架"；(3) 零订阅费；(4) 完全自己掌控数据。劣势：(1) 使用麻烦 —— 需要自己同步文件 / 管理多设备；(2) UI 老旧 —— 像 Windows XP 时代；(3) 第三方客户端体验参差 —— 不同平台不同实现；(4) 新手不友好 —— 配置复杂。适合：(1) 极度重视数据主权 的人；(2) 完全离线场景（无互联网）；(3) 预算 0 且愿意折腾；(4) 企业内网 不能用云端方案。实务：多数人 → Bitwarden 体验更好；KeePass 适合特定需求。

自托管密码管理器划算吗？

取决于技术能力和需求。自托管的优势：(1) 数据主权 —— 数据只在你的服务器；(2) 隐私 —— 服务商无法看到任何元数据；(3) 可定制 —— 修改源码 / 加功能；(4) 大流量场景便宜 —— 超过 50 用户后比 SaaS 便宜。劣势：(1) 运维成本 —— 服务器 + 备份 + 安全更新；(2) 技术门槛 —— 需要 Linux / Docker 基础；(3) 可用性风险 —— 服务器挂了你访问不了密码（影响极大）；(4) 没专业团队 —— 安全审计、漏洞修复全靠自己。主流自托管选择：(1) Bitwarden 自托管（官方）—— Docker 一键，但占资源（4GB RAM 起）；(2) Vaultwarden（社区版）—— Bitwarden 兼容，Rust 实现，资源极少（< 100MB RAM），最受欢迎；(3) Padloc —— 现代 UI，专注端到端加密；(4) Passbolt —— 团队协作专注。典型 Vaultwarden 部署：(1) VPS（5-10 美元/月）；(2) Docker Compose；(3) Caddy / Nginx 反向代理 + HTTPS；(4) 备份到 S3 / 异地。实务：(1) 个人用户 → SaaS 更省心；(2) 小团队（< 30 人） → Bitwarden Cloud；(3) 大企业 / 高敏感 → Vaultwarden 自托管 + 完整运维。

主密码（master password）多长才安全？怎么记？

主密码必须强且自己能记住。强度要求：(1) 至少 16 位 —— 短于此暴力破解风险；(2) 大小写 + 数字 + 特殊字符；(3) 不是常见词 —— 字典攻击秒破；(4) 不与其他账号相关 —— "password123!" 之类。生成方式：(1) passphrase（口令短语）—— 4-6 个随机词；(2) 例："cherry-mountain-pencil-volcano-cloud-7"；(3) 比传统密码好记 + 比传统密码强（熵更高）；(4) Diceware 词表 —— 用骰子生成；(5) 密码管理器自带 passphrase 生成器。记忆技巧：(1) 写下来 + 锁保险柜 —— 不丢失；(2) 告诉家人 / 律师（紧急联系人）；(3) 多次手写练习 —— 形成肌肉记忆；(4) 不存数字载体 —— 不要存手机 / 邮箱 / 笔记本电脑。陷阱：(1) 主密码忘了 = 所有密码丢失（密码管理器无法重置）；(2) 用 4 位 PIN 当主密码 —— 几秒被破；(3) 给主密码 +"123" 个性化 —— 字典攻击仍秒破。实务：(1) passphrase 4-6 词 + 数字 / 特殊；(2) 写下来锁保险柜；(3) 告诉至少 1 个紧急联系人；(4) 每年验证一次"我还记得"。

主密码忘了怎么办？能找回吗？

绝大多数情况找不回。为什么：(1) 密码管理器用零知识架构 —— 服务端不知道你的主密码；(2) 数据用主密码加密 —— 没主密码无法解密；(3) 即使是 Bitwarden / 1Password 公司也没法重置你的密码。少数有救的情况：(1) 生物识别已注册 —— iPhone Face ID / Mac Touch ID 解锁可绕过主密码；(2) 紧急访问已设置 —— 提前指定紧急联系人，等待期后他们可访问；(3) 本地有"主密码提示" —— 多数管理器不存提示。Bitwarden 的"忘记密码"机制：(1) 不能找回原密码；(2) 可以"重置数据"——但所有密码都丢失；(3) 类似"格式化重新开始"。1Password 的 Secret Key：(1) 1Password 用主密码 + Secret Key 双重保护；(2) Secret Key 是 1Password 生成的（你登录时下载的）；(3) 两者都要才能登录；(4) 任何一个丢都无法恢复。预防：(1) 写下主密码 + 锁保险柜；(2) 设紧急联系人 / 紧急访问；(3) 1Password 的 Emergency Kit 打印保存；(4) 告知家人主密码位置（不告知具体密码）。实务：把"找回主密码"当成"不可能事件" → 强力预防。

怎么从浏览器迁移到密码管理器？

几步完成。1. 选定密码管理器 —— 装好客户端 + 设主密码。2. 导出浏览器密码：(1) Chrome：设置 → 密码 → 导出（CSV）；(2) Edge / Firefox / Safari 同样有导出；(3) CSV 含所有 URL / username / password。3. 导入密码管理器：(1) Bitwarden：Vault → Tools → Import → 选 Chrome / 自定义 CSV；(2) 1Password：Files → Import → 类似流程；(3) KeePass：File → Import → CSV。4. 验证：(1) 抽查几个网站登录是否成功；(2) 检查总数对得上。5. 清理：(1) 删除 CSV 文件（包含明文密码）；(2) 浏览器中关闭密码保存（避免冲突）；(3) 浏览器中删除已存密码。6. 安装浏览器扩展：(1) Bitwarden / 1Password / KeeWeb 都有浏览器扩展；(2) 自动填充 / 弹出建议密码 / 检测新密码自动保存。7. 加强弱密码：(1) 用密码管理器自带的"安全审计" / "Watchtower"；(2) 找出重复 / 弱 / 已泄露密码；(3) 逐个改成强密码（每次登录改一个）。实务：(1) 一周完成迁移 + 清理；(2) 高价值账号优先（银行 / 邮箱 / 社交）；(3) 低价值账号慢慢改。

密码管理器 + 2FA 怎么配合？2FA 也存密码管理器里安全吗？

核心争议：把 2FA 和密码放一起会不会"鸡蛋同篮"？。两派观点：(1) 保守派：2FA 必须单独存（专门 2FA App 如 Google Authenticator / Authy / Aegis）—— 防"密码管理器被攻破"；(2) 实用派：2FA 存密码管理器一起 —— 方便、密码管理器主密码 + 2FA 自身已是双层防御。实际场景：(1) 密码管理器主密码强 + 生物识别 + 2FA 启用 —— 已经很安全；(2) 完全分离 2FA 增加使用阻力 → 用户可能不开 2FA → 反而更危险；(3) 极高敏感账号（银行 / 加密货币）→ 仍然分离更稳。主流方案：(1) Bitwarden Premium + 2FA 存储 —— 一站式；(2) 1Password + 2FA 存储 —— 同上；(3) 专门 2FA App：Google Authenticator（无云备份，丢手机就完）/ Authy（云备份）/ Aegis（开源 + 加密导出）/ 1Password（如果用）。实务建议：(1) 绝大多数账号 → 2FA 存密码管理器（方便+安全）；(2) 银行 / 加密货币 / 主邮箱 → 单独的 2FA App + 备份恢复码；(3) 密码管理器自身的 2FA → 专门 2FA App（不能存自己里面）；(4) 备份恢复码 → 打印 + 锁保险柜。