安全指南

密碼管理器 vs 密碼產生器

了解產生密碼與安全儲存於密碼管理器之間的差異。

摘要

密碼產生器建立一個秘密。密碼管理器儲存、整理、填入並保護秘密。您通常需要這兩種功能，無論它們來自同一個產品還是不同的工具。

產生器的功能

PwdGen 使用 Web Crypto 在本機隨機產生密碼。它可以調整長度、符號、易混淆字元過濾、密碼短語以及使用情境預設。它不維護帳戶或密碼庫。

密碼管理器的功能

密碼管理器幫助您實用地管理獨特憑證。它儲存長隨機密碼，將其填入合法網站，並可減少不安全的複製貼上習慣。使用強大的主憑證、復原計畫和支援的 MFA 來保護管理器。

實用建議

• 產生獨特密碼。
• 儲存在受信任的管理器中。
• 避免使用文件和螢幕截圖。
• 檢視復原選項。
• 在適當時使用通行金鑰。

詳細指引

本指南專注於了解產生與儲存密碼之間的差異。它是為選擇如何將 PwdGen 與密碼管理器搭配使用的讀者所寫，因此實用目標並非提出戲劇性的安全主張。目標是選擇一個能在日常使用中存活的密碼習慣：登入表單、密碼管理器、行動鍵盤、帳戶復原、共用裝置，以及偶爾遇到有奇怪驗證規則的服務。只有當真人能夠一致遵循時，安全建議才有用。

最安全的起點是隨機性加上獨特性。隨機性表示數值是從一個大空間中由密碼學上合適的隨機來源選出，而非來自生日、寵物名、鍵盤模式或喜愛的名言。獨特性表示同一個密碼不會在其他地方使用。一個長但重複使用的密碼可能在一次無關的資料外洩後迅速失效，而獨特的隨機密碼則將損害限制在單一帳戶。

針對這個主題，實用的預設做法是在本機產生，然後將數值儲存在受信任的密碼管理器中。您可以使用 20 字元密碼產生器 套用此預設，然後將最終數值儲存在受信任的密碼管理器中。PwdGen 使用 Web Crypto 在瀏覽器中本機產生數值；產生的密碼不會傳送到 PwdGen 伺服器。這種本機設計減少了伺服器端的暴露，但無法防範所有威脅。惡意的瀏覽器擴充功能、受損的裝置、釣魚頁面或不安全的剪貼簿處理仍可能在密碼產生後將其暴露。

最常見應避免的問題是將密碼儲存在純文字筆記、瀏覽器草稿、聊天訊息、螢幕截圖和工單中。這些問題之所以重要，是因為攻擊者很少需要暴力破解所有可能的密碼，當人類習慣給了他們捷徑時。憑證填充、釣魚、外洩密碼清單和帳戶復原濫用通常比純數學搜尋更實際。這就是為什麼最佳建議結合了密碼品質與帳戶層級控制，例如 MFA、通行金鑰、復原碼儲存，以及定期檢視復原電子郵件或電話設定。

套用建議時請使用此檢查清單：

• 使用產生器建立隨機性。
• 使用管理器記住並自動填入。
• 使用 MFA 或通行金鑰保護管理器。
• 僅為可安全保護的備份進行匯出。

如果網站拒絕理想設定，請勿手動將密碼強制改為較弱的模式。一次調整一個變數。如果符號被拒絕，請啟用大寫、小寫和數字，並增加長度。如果最大長度很短，請使用可接受的最大長度，並確保數值是獨特的。如果密碼必須朗讀、列印或在電視或路由器螢幕上輸入，請考慮排除易混淆字元，並增加長度以補償較小的字母集。

最後，請記住密碼建議的界限。強密碼是一層防禦，而非保證。它無法讓釣魚頁面安全、修復惡意軟體，或補償儲存憑證不當的服務。有用的習慣雖然無聊但持久：產生獨特數值、安全儲存、保護復原路徑，並在懷疑暴露時迅速更換。

安全的下一步

閱讀本指南後，執行一個小型帳戶稽核，而不是試圖一次修復所有問題。挑選一個被接管後會造成最大麻煩的帳戶，確認其密碼是獨特的，並檢查復原電子郵件、復原電話、MFA 方法和備份碼儲存。如果該鏈條的任何部分薄弱，請先改善該部分，再處理風險較低的帳戶。這個順序讓工作可管理，並保護攻擊者最可能用作跳板的帳戶。對於密碼管理器 vs 密碼產生器，最佳結果是可重複的習慣：在本機產生、小心儲存、避免重複使用。

常見問題

如果我使用 PwdGen，還需要密碼管理器嗎？

通常需要。PwdGen 建立密碼；密碼管理器安全地儲存和填入獨特數值。

密碼管理器也能產生密碼嗎？

許多可以。當您想要透明的本機產生器、特殊預設或第二意見時，PwdGen 很有用。

我應該將產生的密碼儲存在文件中嗎？

不。請使用受信任的密碼管理器或秘密管理器，而不是筆記、試算表、聊天或電子郵件草稿。