## 背景

前段邮箱收到好几封关于 Apple 账户的邮件，内容为被修改安全问题和密码等，经咨询 Apple 客服，获知该 Apple 账户目前属于土耳其区，问题还在处理中，本次就聊聊密码管理。

## 方案

### 密码检测

回顾过往，CSDN、天涯、网易 等都发生过密码泄露事件，重点吐槽下其中两家：一是 CSDN，服务互联网技术人员的网站竟然明文存储密码；二是网易，做互联网基础设施邮箱起家的，出现安全问题还拒不承认，当时注册手机号已经不用了，改密码着实费了一番功夫。

首先，通过 Firefox Monitor 或 Have I Been Pwned 检查自己的密码是否已泄露，如有泄露就修改，当然还有一种思路是默认现有密码均已泄露；其次，整理一遍注册过的互联网产品账号，不用的注销，还在用的核对更新信息，包括绑定的手机号、邮箱等，另外针对提供第三方授权登录服务的产品如 微博、微信（设置 – 隐私 – 授权管理）、Google（账号 – 第三方应用和服务）、Facebook（设置与隐私 – 应用和网站）等，检查清理一遍授权。

### 密码分级

关于忘记密码这事，@冉冉 Ray 发过两条很经典的微博，用户想密码、每个产品设不同密码、定期改密码真的很痛苦，不忘记密码也不现实，作为产品经理，需要理解这种痛苦，做好产品安全性和便捷性的权衡。说回用户侧，基于用户的密码管理需求，已有专业工具比如 LastPass 等，支持随机生成、自动填写登录信息，很方便，不过 LastPass 也出过安全事件。

怎么办呢？比工具更重要的是策略：一是不设密码，新的网站 / 应用直接手机号一键、验证码登录或通过第三方如微信（选择仅用于登录的昵称和头像）、Google 等授权登录，因为后期可取消授权；二是密码分级，重要的产品：身份类（邮箱、手机号、微信、Apple 账户等）、资料类（笔记、网盘等）、资金类（银行、支付宝等），复杂密码；普通产品，相对简单的密码。关于密码设置，Google 建议 “不得少于 8 位，密码可以是字母、数字和符号的任意组合”。

额外安全信息比如密码的安全保护问题、家里的硬件密码等，使用笔记产品记录，好记性不如烂笔头。最后，@tombkeeper 讲过：“任何信息，只要放到网上，就要假设在某一天会被所有人知道 —— 不管是在绝不泄露用户隐私的网站填写个人信息，还是往自己的邮箱、网盘里存数据。不想让人知道的，别放在网上；特别不想让人知道的，别输入电脑。”

## 扩展阅读

1、问答：如何管理好自己的密码、用什么方式记密码最好