如果你的密码管理和个人卫生都很松懈，那么越来越多的大规模安全漏洞会烧死你，这只是时间问题。别再庆幸你躲过了过去的安全漏洞子弹，为未来的子弹穿上盔甲。请继续阅读，我们将向您展示如何审核密码和保护自己。

有什么大不了的，为什么这很重要？

今年10月，Adobe透露，有一个重大的安全漏洞影响了300万用户Adobe.com和Adobe软件。然后他们把数字改为3800万。然后，更令人震惊的是，当黑客的数据库被泄露时，分析数据库的安全研究人员回来说，这更像是1.5亿个被泄露的用户帐户。这种程度的用户暴露使Adobe漏洞成为历史上最严重的安全漏洞之一。

然而，Adobe在这方面并不孤单；我们只是以他们的漏洞作为开场白，因为这是一个令人痛苦的近期事件。仅在过去几年，就发生了数十起大规模的安全漏洞，包括密码在内的用户信息遭到泄露。

LinkedIn在2012年受到攻击（646万条用户记录被泄露）。同年，eHarmony也受到了冲击（150万条用户记录）最后一个.fm（650万用户记录）和雅虎！（450000条用户记录）。索尼Playstation网络在2011年受到冲击（1.01亿用户记录被泄露）。Gawker Media（Gizmodo和tl80等网站的母公司）在2010年遭到攻击（130万条用户记录被泄露）。而这些只是造成新闻的重大违规的例子！

隐私权信息交换所拥有一个从2005年至今的安全漏洞数据库。他们的数据库包括各种各样的违规类型：信用卡泄露、社会安全号码被盗、密码被盗和医疗记录。截至本文发布之日，该数据库由4033个漏洞组成，包含617937023条用户记录。不是每一个数以亿计的漏洞涉及用户密码，但数以百万计的人这样做。

相关：如何恢复后，你的电子邮件密码被泄露

大多数人都懒得使用密码，如果有人使用[email protected]使用密码bob1979，相同的登录/密码对将在其他网站上工作。如果其他网站的知名度更高（比如银行网站，或者如果他在Adobe使用的密码实际上打开了他的电子邮件收件箱），那么就有问题了。一旦有人访问了您的电子邮件收件箱，他们就可以开始重置其他服务的密码，并获得对它们的访问权。

要阻止这种连锁反应在您使用的网站和服务网络中造成更多安全问题，唯一的方法是遵循两条基本的密码卫生规则：

1. 你的电子邮件密码应该是长的，强的，并且在所有登录中是完全唯一的。
2. 每次登录都会得到一个长、强且唯一的密码。无密码重用。永远不会。

这两条规则是我们与你分享过的每一条安全指南的外卖，包括我们的紧急情况——它击中了粉丝指南——在你的电子邮件密码被泄露后如何恢复。

现在，你可能有点不安了，因为，坦白地说，几乎没有人拥有完全密封的密码实践和安全性。如果你的密码不卫生，你并不孤单。事实上，是时候忏悔了。

在howtogeek工作的这些年里，我写了几十篇安全文章，关于安全漏洞的帖子，以及其他与密码相关的帖子。尽管我是那种应该更了解情况的知情人士，尽管我使用了密码管理器，为每一个新网站和服务生成了安全的密码，但当我把我的电子邮件浏览了泄露的Adobe登录列表，并将其与泄露的密码进行比对时，我仍然发现我被烧坏了。

我很早以前就建立了Adobe帐户，那时我对密码的管理非常宽松，我使用的密码在很多网站和服务中都很常见，在我非常认真地**好密码之前，我就已经注册了这些网站和服务。

如果我充分实践了我所宣扬的，不仅创建了独特而强大的密码，而且还审核了我的旧密码，以确保这种情况从一开始就不会发生，所有这些都是可以避免的。无论您是否从未尝试过与您的密码实践保持一致和安全，或者您只需要检查它们以使自己放松，彻底的密码审核是密码安全和安心的途径。请继续阅读我们的演示。

为你的最后***安全挑战做准备

您可以手动审计您的密码，但这将是非常繁琐的，您不会获得任何好处，使用一个好的通用密码管理器。我们将采用简单且基本自动化的方法，而不是手动审核所有内容：我们将通过接受LastPass安全挑战来审核密码。

本指南不包括设置LastPass，因此如果您还没有安装并运行LastPass系统，我们强烈建议您设置一个。查看HTG指南，开始使用LastPass。虽然LastPass在我们编写指南之后已经更新了（现在界面更漂亮，流线型更好），但是您仍然可以轻松地遵循这些步骤。如果您是第一次设置LastPass，请确保从浏览器导入所有存储的密码，因为我们的目标是审核您使用的每个密码。

在LastPass中输入每个登录名和密码：无论您是LastPass的新用户还是尚未完全使用它进行每次登录，现在都是确保您已将每个登录名输入LastPass系统的时候了。我们将回应我们在电子邮件恢复指南中给出的建议，该指南将梳理您的电子邮件收件箱以获取提醒：

Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinati*** there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

在你的LastPass帐户上启用双因素身份验证：这一步对执行安全审核不是严格必要的，但是当你在LastPass帐户中捣乱时，我们将尽一切努力鼓励你启用双因素身份验证以进一步保护你的LastPass保险库。（它不仅提高了您的帐户安全性，还将提高您的安全审核分数！）

接受lastpass安全挑战

现在你已经导入了所有的密码，是时候让自己为没有加入1%的硬核密码安全忍者而感到羞愧了。访问LastPass Security Challenge页面，然后按页面底部的“Start the Challenge”。系统将提示您输入主密码，如上面的屏幕截图所示，然后LastPass将提供检查您的保险库中包含的任何电子邮件地址是否属于它跟踪到的任何违规行为的一部分。没有充分的理由不利用这一点：

If you’re lucky, it returns a negative. If you’re lucky, you get a pop-up like this asking if you want more information about the breaches your email was involved in:

LastPass将为每个实例发出一个安全警报。如果你已经有你的电子邮件地址很长一段时间了，准备好震惊于有多少密码泄露已经纠结在一起。下面是一个密码违反通知的示例：

在弹出窗口之后，您将进入LastPass安全挑战的主面板。还记得之前在指南中我谈到我目前如何实践良好的密码卫生，但我从来没有抽出时间来适当地更新许多旧的网站和服务吗？从我得到的分数中就可以看出。哎哟：

这是我的分数和多年的随机密码混合在一起。如果你一次又一次地使用同一把弱密码，你的分数甚至更低，不要太震惊。现在我们有了我们的分数（不管它多么可怕或可耻），是时候挖掘数据了。你可以使用分数百分比旁边的快速链接，也可以开始滚动。第一站，我们来看看详细的结果。请将此作为密码状态的10000英尺概述：

虽然你应该注意这里的所有统计数据，但真正重要的是“平均密码强度”，你的平均密码有多弱或多强，更重要的是，“重复密码的数量”和“有重复密码的站点的数量”。在我审计的原因，有8个重复在43个网站。很明显，我在不止几个网站上很懒得重复使用同一个低级密码。

下一站，分析站点部分。在这里，你会发现一个非常具体的细分，你所有的登录和密码组织的重复密码使用（如果你有重复的），唯一的密码，最后，登录没有密码存储在LastPass。当你浏览列表时，请惊叹于密码优势之间的对比。在我的例子中，我的一个财务登录被给予45%的密码分数，而我女儿的Minecraft登录被给予完美的100%分数。又来了，哎哟。

修正你糟糕的安全挑战分数

审计列表中有两个非常有用的链接。如果您单击“显示”，它将显示该网站的密码，如果您单击“访问网站”，您可以直接跳转到该网站，这样您就可以更改密码。不仅要更改每个重复的密码，还要更改任何附加到被破坏的帐户的密码（例如Adobe.com或LinkedIn）应该永久退役。

取决于你有多少密码（以及你对良好的密码实践有多认真），这个过程的这一步可能需要你十分钟或整个下午。尽管更改密码的过程会根据您正在更新的站点的布局而有所不同，但以下是一些需要遵循的一般准则（我们以RemembertheMilk的密码更新为例）：访问密码更改页面。通常，您需要输入当前密码，然后生成新密码。

为此，请单击带有圆形箭头徽标的锁。LastPass**新的密码槽（如上面的屏幕截图所示）。查看您的新密码，并根据需要进行调整（例如加长密码或添加特殊字符）：

单击“使用密码”，然后确认要更新正在编辑的条目：

请务必与网站确认更改。对上次通行保险库中的每个重复和弱密码重复此过程。

最后，您最不需要审核的是您的LastPass主密码。通过点击质询屏幕底部的链接“测试我的LastPass主密码的强度”。如果你看不到这个：

你需要重置你的LastPass主密码，并增加强度，直到你收到一个不错的，积极的，100%强度确认。

调查结果并进一步加强你的lastpass安全性

在您费力地浏览了重复密码列表、删除了旧条目，或者整理并保护了您的登录/密码列表之后，是时候再次运行审计了。现在，为了强调，你在下面看到的分数仅仅是通过提高密码安全性来提高的。（如果您启用其他安全功能，如多因素身份验证，您将获得大约10%的提升）。

不错！在消除了所有重复的密码，并使所有现有的密码达到90%或更好的强度，它真的提高了我们的分数。如果你想知道为什么它没有跳到100%，有几个因素在起作用，其中最突出的是，一些密码永远不能提出的最后通过标准，因为愚蠢的政策到位的网站管理员。例如，我的本地库的登录密码是一个四位数的pin（在LastPass安全等级中得分为4%）。大多数人都会在他们的列表中出现类似的异常值，这会拖累他们的分数。

在这种情况下，重要的是不要气馁，并使用您的详细细分作为衡量标准：

在密码更新过程中，我删减了17个重复/过期的站点，为每个站点和服务创建了一个唯一的密码，并在更新过程中将具有重复密码的站点数量从43个减少到0个。

它只花了大约一个小时的时间（其中12.4%的时间用来咒骂那些把密码更新链接放在晦涩地方的网站设计师），而让我有动力的只是一次灾难性的密码泄露！我在这里做个记录，巨大的成功。

既然你已经审核了你的密码，并且对拥有一个稳定的唯一密码感到兴奋，那么让我们利用这个前进的动力。点击我们的指南，通过增加密码迭代次数、按国家限制登录等，使LastPass更加安全。在运行我们在这里概述的审计、遵循我们的LastPass安全指南和启用双因素算法之间，您将拥有一个您可以引以为豪的防弹密码管理系统。