如果你实行宽松的密码管理和卫生，越来越多的大规模安全漏洞中的一个会烧伤你，这只是个时间问题。不要感激你躲过了过去的安全漏洞子弹，并为自己披上盔甲，对抗未来的子弹。请继续阅读，我们将向您展示如何审核您的密码并保护您自己。

这有什么大不了的？为什么这很重要？

今年10月，Adobe披露存在一个严重的安全漏洞，影响了300万Adobe和Adobe软件用户。然后他们将这个数字修正为3800万。然后，更令人震惊的是，当黑客的数据库被泄露时，分析数据库的安全研究人员回来说，它更像是1.5亿个被泄露的用户账户。这种程度的用户暴露使Adobe漏洞成为历史上最严重的安全漏洞之一。

然而，Adobe并不是唯一一家在这条战线上；我们只是以他们的入侵作为开场白，因为这是最近才发生的令人痛苦的事情。仅在过去的几年里，就发生了数十起大规模的安全漏洞，其中包括密码在内的用户信息被泄露。

LinkedIn在2012年受到冲击(646万用户记录被泄露)。同年，eHarmony被点击(150万个用户记录)，Last.fm(650万个用户记录)和Yahoo！(45万个用户记录)也是如此。索尼Playstation网络在2011年受到冲击(1.01亿用户记录被泄露)。Gawker Media(Gizmodo和Lifehacker等网站的母公司)在2010年受到攻击(130万用户记录被泄露)。而这些只是登上新闻头条的大规模泄密事件的例子！

隐私权信息中心维护着一个从2005年到现在的安全漏洞数据库。他们的数据库包括广泛的入侵类型：被盗的信用卡、被盗的社保号码、被盗的密码和医疗记录。截至本文发布时，该数据库由4，033个漏洞组成，其中包含617，937，023条用户记录。并不是这数亿次入侵中的每一次都涉及用户密码，但其中数百万次涉及。

相关：在您的电子邮件密码泄露后如何恢复？这有什么关系呢？除了入侵带来的明显和直接的安全影响外，这些入侵还会造成附带损害。黑客可以立即开始测试他们在其他网站上获取的登录名和密码。

大多数人懒于使用他们的密码，如果有人使用bob@omewebemail.com和密码bob1979，同样的登录/密码对很有可能在其他网站上也有效。如果其他网站的知名度更高(比如银行网站，或者他在Adobe使用的密码实际上解锁了他的电子邮件收件箱)，那么就有问题了。一旦有人访问了您的电子邮件收件箱，他们就可以开始重新设置其他服务的密码，并获得对这些服务的访问权限。

阻止这种连锁反应在您使用的网站和服务网络中造成更多安全问题的唯一方法是遵循两条良好密码卫生的基本规则：

您的电子邮件密码应该很长、很强，并且在您的所有登录帐户中完全是唯一的。 每次登录都会获得一个长、强且唯一的密码。不会重复使用密码。永远不会。

这两条规则是我们曾与您分享过的所有安全指南的摘要，包括我们的紧急情况下如何在您的电子邮件密码被泄露后恢复。

现在，您可能会有点不安，因为坦率地说，几乎没有人拥有完全无懈可击的密码实践和安全性。如果您的密码卫生欠缺，您并不孤单。事实上，是时候忏悔了。

在How-to Geek工作的这些年里，我写了几十篇安全文章、关于安全漏洞的帖子和其他与密码相关的帖子。尽管我恰恰是那种消息灵通的人，应该知道得更清楚，尽管我使用了密码管理器，并为每一个新的网站和服务生成了安全的密码，但当我运行我的电子邮件，检查被泄露的Adobe登录列表，并将其与被泄露的密码进行匹配时，我仍然发现我被烧伤了。

很久以前，当我对密码卫生更加松懈的时候，我创建了那个Adobe账户，我使用的密码在我非常认真地制作好密码之前，在我注册的几十个网站和服务中很常见。

如果我完全实践了我所宣扬的，不仅创建了唯一和强大的密码，而且还审计了我的旧密码，确保这种情况从一开始就不会发生，所有这一切都是可以避免的。无论您甚至从未尝试过与您的密码实践保持一致和安全，还是您只需要检查它们以使自己放心，彻底的密码审计都是通向密码安全和安心之路。请继续阅读，我们将向您展示如何操作。

为您的最后一次安全挑战做准备

您可以手动审核您的密码，但这将非常单调乏味，而且您不会获得使用好的通用密码管理器的任何好处。我们将采取简单且基本上自动化的路线，而不是手动审核所有内容：我们将通过参加LastPass安全挑战来审核我们的密码。

本指南不包括设置LastPass，因此如果您尚未安装并运行LastPass系统，我们强烈建议您设置一个。请查看HTG LastPass入门指南以开始使用LastPass。虽然LastPass在我们编写指南后已经更新了(界面现在更漂亮、更流畅了)，但您仍然可以轻松地按照步骤操作。如果您是第一次设置LastPass，请确保从浏览器导入您存储的所有密码，因为我们的目标是审核您使用的每个密码。

将每次登录和密码输入LastPass：无论您是全新使用LastPass，还是没有在每次登录时都完全使用它，现在是时候确保您每次登录到LastPass系统时都输入了密码。我们将响应我们在电子邮件恢复指南中给出的建议，在您的电子邮件收件箱中梳理提醒：

在您的LastPass帐户上启用双因素身份验证：这一步对于执行安全审计并不是严格必要的，但在我们引起您的注意的同时，我们将尽我们所能鼓励您，当您在LastPass帐户中游手好闲时，不要打开双因素身份验证工具，以进一步保护您的LastPass保险库。(它不仅可以提高您的帐户安全性，还可以提高您的安全审核分数！)

迎接“最后一程”安全挑战

现在你已经导入了所有的密码，是时候准备好面对没有加入1%的核心密码安全忍者的耻辱了。访问“LastPass安全挑战”页面，然后按页面底部的“开始挑战”。系统将提示您输入主密码，如上面的屏幕截图所示，然后LastPass会主动提出检查您的电子邮件库中是否有任何电子邮件地址属于它跟踪到的任何漏洞。没有充分的理由不利用这一点：

LastPass将为每个实例发出单个安全警报。如果你的电子邮件地址已经有很长一段时间了，那么要做好准备，因为它被卷入了多少次密码泄露事件中，这让你大吃一惊。以下是密码泄露通知的示例：

弹出窗口之后，您将被转到LastPass安全挑战赛的主面板中。还记得在指南的前面部分，当我谈到我目前如何实践良好的密码卫生时，我从来没有抽出时间来正确地更新许多较旧的网站和服务吗？这确实体现在我收到的分数上。哎呀：

这是我的分数，里面混杂着数年的随机密码。如果你一次又一次地使用同一把弱密码，如果你的分数更低，也不要太震惊。现在我们有了自己的分数(无论它是多么令人敬畏或可耻)，是时候挖掘数据了。您可以使用您的分数百分比旁边的快速链接，或者直接开始滚动。第一站，让我们来看看详细的结果。假设这是您的密码状态的10，000英尺的总览：

虽然你应该注意这里的所有统计数据，但真正重要的是“平均密码强度”，你的平均密码有多弱或多强，更重要的是，“重复密码的数量”和“有重复密码的站点数量”。在我的审计中，43个站点有8个受骗者。显然，我在很多网站上重复使用相同的低级密码是相当懒惰的。

下一站，分析站点部分。在这里，您将发现所有登录和密码的非常具体的细分，这些明细按重复密码使用(如果您有重复密码)、唯一密码，以及最后是存储在LastPass中的无密码登录进行组织。当你浏览列表时，惊叹于密码强度之间的对比。在我的例子中，我的一次财务登录被给予了45%的密码分数，而我女儿的“我的世界”登录被给予了满分100%。又来了，哎呀。

修复您可怕的安全挑战分数

审计列表中有两个非常有用的链接。如果你点击“显示”，它会显示该网站的密码，如果你点击“访问网站”，你可以直接跳转到网站，这样你就可以更改密码了。不仅应该更改每个重复的密码，而且任何附加到被攻破的帐户(如ADOBE.com或LinkedIn)的密码都应该永久作废。

根据您拥有的密码的数量或数量(以及您对良好的密码实践的勤奋程度)，此过程的这一步可能需要您10分钟或整个下午。虽然更改密码的过程会根据您正在更新的站点布局的不同而有所不同，但这里有一些需要遵循的一般准则(例如，我们在Remember the Milk使用我们的密码更新)：访问密码更改页面。通常，您需要输入当前密码，然后生成新密码。

要执行此操作，请单击带圆形箭头的锁徽标。LastPass将插入到新密码槽中(如上面的屏幕截图所示)。检查您的新密码，并根据需要进行调整(例如延长密码或添加特殊字符)：

单击“使用密码”，然后确认要更新您正在编辑的条目：

请务必也与网站确认更改。对LastPass保管库中的每个重复密码和弱密码重复此过程。

最后，您需要审核的最后一件事是您的LastPass主密码。点击挑战屏幕底部标有“Test the Strength of My LastPass Master Password”(测试我的最后一次通行证主密码的强度)的链接即可完成此操作。如果您没有看到这个：

你需要重置你的LastPass主密码，并增加强度，直到你收到一个漂亮的，肯定的，100%的强度确认。

查看结果并进一步增强您的最后一程安全性

在您仔细检查重复密码列表、删除旧条目以及整理和保护您的登录/密码列表之后，是时候再次运行审核了。现在，为了强调，您在下面看到的分数完全是通过提高密码安全性来实现的。(如果您启用额外的安全功能，如多因素身份验证，您将获得大约10%的提升)。

还不错!。在消除了所有重复的密码并将所有现有密码的强度提高到90%或更高之后，它确实提高了我们的分数。如果你很好奇为什么它没有跳到100%，有几个因素在起作用，其中最突出的是一些密码永远不能达到LastPass标准，因为网站管理员制定了愚蠢的策略。例如，我当地图书馆的登录密码是一个四位数的PIN(在LastPass安全等级中得分为4%)。大多数人在他们的列表中都会有一些类似的异常值，这会拖累他们的分数。

在这种情况下，重要的是不要灰心丧气，并将详细的细目作为衡量标准：

在密码更新过程中，我删除了17个重复/过期的站点，为每个站点和服务创建了唯一的密码，并在此过程中将具有重复密码的站点数量从43个减少到0个。

这只花了大约一个小时的时间(其中12.4%的时间花在了咒骂那些把密码更新链接放在不知名的地方的网站设计者身上)，而激发我动力的只是一次灾难性的密码泄露！我在这里做笔记，非常成功。

既然您已经对密码进行了审计，并且对拥有一系列唯一的密码充满信心，那么让我们利用这一前进的势头吧。更新我们的指南，通过增加密码迭代、按国家限制登录等方式使LastPass更加安全。在运行我们在这里概述的审计、遵循我们的LastPass安全指南和启用双因素算法之间，您将拥有一个令您引以为豪的防弹密码管理系统。