为什么每个网站都要用不同密码

数据说话：密码重复使用的规模

密码重复使用是目前互联网上最普遍的安全问题之一。根据Google的研究，约65%的人在多个账号上重复使用密码，约13%的人在所有账号上使用完全相同的密码。在已知的密码泄露数据库中，超过80%的密码出现在多个泄露事件中，说明这些密码在多个网站上被重复使用。

这意味着什么？每年都有数十亿条凭证被泄露，并流入地下市场。这些凭证被自动化机器人用来尝试登录其他网站（撞库攻击）。统计学告诉我们，如果你重复使用密码，你只需等待"最弱的那个环节"被攻破。

撞库攻击的工作原理与规模

撞库攻击的工作流程：攻击者从暗网购买或免费获取泄露的凭证数据库（格式为 email:password）；使用自动化工具（如OpenBullet、Sentry MBA）并发地向数百个热门网站发起登录请求；对成功登录的账号（"命中"）进行变现：出售账号访问权、盗取存储的支付信息、使用积分和优惠券、发送垃圾邮件或钓鱼邮件。

规模数据：Akamai 的研究显示，2022年仅在金融服务、电子商务和游戏行业就记录了逾1450亿次撞库攻击。这些攻击的成功率通常只有0.1%-2%，但面对数十亿条凭证，即使1%的成功率也意味着数百万个账号被攻破。

密码重复使用的"乘数效应"

想象你在10个网站上使用相同的密码。这10个网站的安全水平参差不齐——有的使用了最新的密码哈希算法，有的可能还在用MD5甚至明文存储。如果其中安全性最差的那个网站（你可能已经几年没有使用了）发生数据泄露，攻击者就获得了访问所有10个账号的钥匙。

更糟糕的是，密码重复使用往往创造了一个链式反应：攻击者攻破了一个次要账号→ 从中获取了你的邮箱地址 → 尝试用同样密码攻击你的邮箱 → 成功进入邮箱后，可以通过"忘记密码"重置其他所有网站的密码 → 整个账号体系崩溃。

为什么"变体"策略不起作用

许多人认为可以通过使用"基础密码+网站名称变体"的策略来平衡唯一性和记忆负担，例如：MyPass@Google、MyPass@Facebook、MyPass@Amazon。这个策略听起来聪明，但实际上几乎没有安全价值。

原因：当攻击者获得了你在一个网站的密码（如 MyPass@Facebook）并破解后，他们立即就能推断出你的密码模式。现代破解工具会自动尝试这种变体：将获得的密码中的"Facebook"替换为其他网站名称。所有基于这种模式的密码都会被快速破解。

密码管理器：唯一实际可行的解决方案

真正做到每个网站使用不同的强密码，在没有工具帮助的情况下是不可能的。人类平均需要管理100个或更多的在线账号。记忆100个不同的强密码是超出人类认知能力的任务。密码管理器解决了这个根本性的问题：它负责记忆和填充所有这些密码，你只需记住一个主密码。

开始使用密码管理器的三个步骤：选择并安装一个可信的密码管理器（Bitwarden 免费开源，1Password 付费优质）；为密码管理器设置一个强密码短语作为主密码（5-6个随机单词）；逐步将现有账号迁移进来，并将所有新账号的密码由管理器生成和存储。第三步不需要一次完成，可以在几周内逐步迁移。

对"密码管理器太麻烦"的反驳

许多人认为使用密码管理器比手动记忆密码更麻烦。实际上，在初始设置之后，密码管理器往往比手动管理更方便：浏览器扩展可以在登录页面自动识别并填充凭证，无需手动输入；移动应用支持生物识别（指纹、面部识别）解锁，比输入密码更快；再也不需要点击"忘记密码"——因为每个密码都被可靠地存储着；跨设备同步意味着你在任何设备上都能获取密码。

使用密码管理器的实际"成本"是一次性的：设置时间（约30-60分钟）和迁移现有密码的时间（可以分批进行）。这个初始投入可以长期节省大量时间（不再因忘记密码而频繁重置）和潜在的安全事故处理成本。从任何角度衡量，这都是一次值得的投资。