2 Billion Passwords Leaked Last Year. One Was Probably Yours.
Reusing passwords is how credential stuffing attacks compromise millions of accounts. Here are the 5 password security mistakes you are probably making — and how a password manager fixes them.
Published: 2026-04-09 · 5 min read
每 4 个人里就有 1 个,密码已经在黑市里了
2024 年一年,全球泄露的账号密码超过 20 亿条——相当于地球上每 4 个人里就有 1 个中招。你的,大概率也在里面。
2024 年,仅 Have I Been Pwned 等公开泄露库新增的凭据数量
Verizon 在 2024 年数据泄露调查报告(DBIR)里从另一个角度印证了这一点:针对网站账户的攻击里,约八成都跟被盗或泄露的密码有关。换句话说,黑客最常走的门,就是你的密码。
这类攻击不挑大小公司。每一次泄露,都在给撞库攻击提供弹药——黑客拿着从 A 网站泄露的邮箱和密码,自动去 B、C、D……一个个"撞",看能撞开哪个。邮箱、银行、购物网站只要共用一个密码,一次泄露就会让多个账户一起沦陷。
撞库是全自动的。攻击者用一大批被控制的电脑(业内叫"僵尸网络")同时在上万个网站上批量试密码——银行、邮箱、社交平台、电商——泄露事件曝光后几个小时就能扫一轮。成功率只有 0.1%–2%,但架不住基数大,每年还是有数百万账户中招。
你可能正在犯的 5 个密码错误
大多数人都知道密码安全重要,但"知道"和"做到"差了十万八千里。来看看这五个常见错误——以及背后的真相。
- "我的密码已经够复杂了"
- "我能记住所有密码"
- "浏览器帮我保存了,没问题"
- "没人会针对我"
- "双因素认证已经足够了"
- 再复杂的密码,在多个网站重复用就是定时炸弹
- 100 多个账户,谁的脑子也记不过来
- 浏览器没有泄露提醒、不支持 Passkey,安全存储也不靠谱
- 撞库攻击全自动——机器人不挑目标
- 2FA 有用,但 SMS 验证码可能被截获——两道防线缺一不可
错误一:"我的密码已经够复杂了"
复杂密码当然好。但只要在多个网站复用同一个,再强的密码都是定时炸弹——一次泄露,全线崩盘。
错误二:"我能记住所有密码"
每人平均拥有的在线账户数量
邮箱、银行、社交媒体、视频会员、购物网站、办公工具,再加上那些你注册完就忘了的 App……100 多个不同的复杂密码,没人记得住。最后总得在哪儿偷个懒——而偷懒的地方,往往就是密码。
错误三:"浏览器帮我保存了,没问题"
浏览器能存密码,但能做的也就仅此而已。它不会替你生成高强度密码,不会提醒哪些密码被你重复用了,也管不了 Passkey(用指纹或面容代替密码登录的新方式)、安全笔记、双因素验证码这些。有时候,保存下来的密码甚至能被电脑上的其他程序读到。
错误四:"没人会针对我"
这恰恰是问题所在:没人专门针对你。撞库是机器人干的活,它不挑目标、不看余额、不问职业,就是挨个拿泄露库里的账号密码去撞。撞到就收割,仅此而已。
错误五:"双因素认证已经足够了"
双因素认证(2FA)确实多加了一层保护,但它替代不了一个又强又不重复的密码。有些 2FA 方式——比如短信验证码——是可能被截获的(手机卡被复制、或短信被转发到别人那儿,都能做到)。一旦攻击者拿到了你的密码,2FA 就从"第二道防线"变成了"最后一道防线"。尤其在短信场景下,这道防线未必牢靠,所以强密码仍是第一要务。
密码安全的关键不是"有一个好密码",而是建立一套体系——给每个账户生成独一无二的密码,并安全地存好。这就是密码管理器干的事。
密码管理器究竟能做什么
如果你从没用过密码管理器,最简单的理解就是:它帮你记住所有密码,你再也不用自己记了。但它能干的活儿远不止这些。
- 好几个网站用同一个密码
- 图好记,设了个弱密码
- 三天两头忘密码、反复重置
- 每次登录都得手动输
- 不知道哪些账户已经泄露了
- 每个账户一个独立密码
- 随机生成,根本猜不到
- 注册时自动保存
- 登录时自动填充,告别手动输入
- 只需记住一个主密码(Master Password)
用起来也很简单,整个流程是这样的:
注册新账号时,密码管理器帮你生成一个高强度密码(比如 x7#mK!9qLp$2vR——这串你一眼都不用看),自动保存好,下次登录自动填上。从注册到登录,一步都不多。
把这套体系装进一个 App:ByteGuard
前面说的那套"体系"——给每个账户一个独立密码、安全存好、还要支持 Passkey 和 2FA——做成一个 App,就是 ByteGuard。
它采用端到端加密的零知识架构——主密码永远不离开设备,服务端没有能解开你数据的任何密钥。就算服务器被攻破、或收到司法传票,拿到的也只是一堆密文,没有你的密钥永远解不开。
ByteGuard 把以下三样东西放在一个 App 里:
- Passkey——新一代无密码登录,用 Face ID 或 Touch ID 代替输密码。
- 传统密码——自动生成、自动保存、自动填充。
- TOTP 双因素码——那种每 30 秒变一次的 6 位动态码(Google Authenticator 就是干这个的),不用再装第二个 App。
所有内容加密存储在你的 iPhone 上。
比浏览器自带管理多做了什么
- 统一管理 8 类条目:密码、银行卡、TOTP、Passkey、API Key、证件、许可、笔记
- 泄露主动监测:对接 HIBP,告诉你哪些密码已在数据库被公开
- 三端 E2E 同步:Mac / iPad / iPhone 一处搞定,iCloud 只传密文
别让今晚又是一句"明天再说"。花 10 分钟装一个密码管理器,先把浏览器里那几个重复的密码导进去——以后每一次登录,都会感谢现在的自己。