作為一位網站編輯，三易菌在日常工作中總是需要記住很多很多的密碼，有我們自己網站后臺管理頁面的，有工作郵箱的，有各種各樣媒體分發平臺的，還有許多友站的會員賬號，以及各種資訊和論文網站的付費賬號，再加上為了安全，所有這些密碼都會不定期進行修改，同時還需要在單位、家中，以及出差專用的筆記本電腦和手機等多臺設備上進行同步。可以想見，管理所有的這些密碼，本身就不是一件容易的事情。

[[384672]]

正因如此，我們其實很早就關注過一些專業的“密碼管理軟件”，例如大名鼎鼎的LastPass、號稱免費的Bitwarden，以及某些手機或者電腦中自帶的密碼管理功能。

事實上這類軟件有三個共同的特征，其一就是可以記住賬號和密碼并進行便利的批量管理。例如修改了某個網站的賬戶密碼后，這些軟件就會自動記住新密碼，不需要再專門到軟件中再次修改一遍。

二是可以將這些密碼與生物識別特征掛鉤。比如用一個指紋關聯一批性質相同的密碼，需要登錄的時候掃一下指紋，軟件就會自動輸入正確的密碼，從而避免了“死記硬背”的麻煩。

三就是此類軟件普遍支持在多個設備間自動對密碼進行同步。比如剛換了一臺新手機或新電腦，那么只需要安裝上相應的密碼管理軟件，其他設備上已有的密碼就會被自動同步過來，不需要再次手動輸入一遍。

怎么樣，是不是覺得特別方便?然而出于業內人士的直覺和對自身工作資料重要性的考量，我們并未使用這類軟件。事實上，我們主要擔心的是其跨設備同步機制會導致密碼被軟件運營方所取得，或者至少是可能暴露在它們的服務器中，從而導致一定風險。

如今看來，不得不說我們的做法可以說是非常正確，但我們所擔心的理由本身卻并未成立。因為這些“密碼管理軟件”真正的安全漏洞還不在于其同步機制，而是發生在更簡單、同時也更加令人難以置信的地方。

近日，德國安全公司Exodus對市面上多款“密碼管理軟件”進行了深入調查。他們發現，一方面這些密碼管理軟件確實會使用高度加密算法和點對點傳輸等安全技術，來確保密碼在上傳到服務器以及在不同設備之間同步時的安全性;但從另一方面來說，真正不安全的其實并非密碼同步機制，而在于這些軟件本身就可能存在嚴重的安全漏洞。

為什么會這么說呢，主要的原因在于，許多此類密碼管理軟件出于商業利益的考量，會集成名為“跟蹤器”的插件。以最為知名的密碼管理軟件LastPass為例，其一口氣內置了七個“跟蹤器”。其中四個是由Google提供，主要用于偵測和記錄軟件使用中發生的崩潰和錯誤等現象，并自動將錯誤報告傳回開發者以供進行分析改進，而另外三個跟蹤器則分別來自三家信息分析企業，這些跟蹤器會記錄用戶在使用軟件時的一些行為信息，比如電腦或手機的型號、配置、用戶是否習慣使用指紋來關聯密碼，以及用戶所處的位置信息等。

很顯然，這些“跟蹤器”收集數據的目的是為了進行市場分析，客戶調查，以及用于精準地投放廣告。雖然在公開聲明中，我們可以看到軟件公司聲稱“跟蹤器”并不會收集或上傳用戶的密碼數據，但Exodus方面指出，關鍵的問題并不在于跟蹤器的行為是怎樣的，而在于提供這些“跟蹤器”的市場調查公司可能并不具備很高的編程水平。

也就是說，雖然密碼管理軟件本身可能用上了最新的加密技術，擁有高度安全可靠的代碼水平。但廣告公司和市場調查公司的程序員水平或許并沒有這么高，這就導致他們所寫出的這些“跟蹤器”插件里，安全漏洞可就太多了。而一旦本身理應是高度安全的軟件集成了這些“跟蹤器”插件，就算跟蹤器本身不作惡，但其也會為黑客的攻擊大開方便之門，使得原本應該高度安全的軟件變成了到處都是漏洞和易被攻擊的靶子。

更為重要的是，密碼管理軟件與殺毒軟件和文件加密軟件一樣，都屬于涉及到高度安全技術的領域，對于這些軟件公司的程序員來說，他們不可能不知道那些市場調查公司或互聯網廣告公司的技術水平是怎樣的，但他們還是選擇在產品中集成了這類可能有問題的插件。這樣的行為本身，實際上就足以看出相關企業在道德規范以及對用戶利益的重視上，到底抱有怎樣的態度。換而言之，即便它們自身的代碼再安全、加密功能設計得再好，顯然也不再值得受到我們的信任了。