前段时间央视新闻发了个视频。

一直声称安全性非常可靠的苹果，居然遭遇密码泄露。

稍微查了下，黑客利用 CVE-2026-20643 的漏洞，发送伪装成快递、银行的链接，你点开 / 预览就中招。

你 iCloud 钥匙串所有密码（微信 / 支付宝 / 网银 /Apple ID）、短信验证码、支付信息、相册、定位，都会被盗取。

黑客甚至还能远程锁机勒索、盗刷。

虽然受影响的设备都是版本比较低的，但不得不防呀。

马上看了眼我手上的 iPhone，有 3 个网站的密码泄露了。

有的 bro 可能会好奇，怎么苹果会知道我的密码泄露？该不会它的服务器存着我的密码吧？

没有的事儿哈，这里用到一个叫隐私保护集合交集（PSI）的技术。

举个例子：你的密码 123456，SHA-256 加密后会变成一串乱码哈希。

8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca120c02adc216e0ba

这段哈希没法反推回原密码，放心。

苹果不会拿完整哈希去对比，而是在你手机本地先取哈希的前 15 位，定位泄露库的存储桶，再用加密技术把查询结果藏起来发给苹果。

苹果只返回对应桶的加密数据，最终匹配全在你 iPhone 本地完成，苹果全程看不到你的完整密码哈希，更不可能存你的原密码，匹配上就会通知你。

不过嚯 U1S1 啊 bro，现在还用这种 " 明文密码 "，实在是有些 out，甚至是非常不安全。

目前登录验证方式大致分为三大类：Passkey，2FA 和明文密码。

明文密码应该是目前使用人数最多，也是最普遍的一种。

特别是经常用电脑办公的，这种浏览器的密码自动填充服务可太方便了。

2FA 则是在明文密码的基础上再加一把小锁。

登录的时候，必须额外输入一遍验证码。

至于最后一个 Passkey，是目前最安全的 " 验证 " 方式。

相比于密码的局限性，它直接干掉了密码，用更安全的方式保护你的隐私。

Passkey 的原理就相当于你给网站发了一把锁，这个称之为公钥。而你的手机就存着这把锁的钥匙，叫做私钥。

这把私钥就藏在你手机的安全芯片中，需要通过人脸或者指纹等方式才能使用。

So，即使有黑客把网站黑了，它也只是把你的锁拿走了，无法获取任何敏感资料。

有人就担心，诶，那会不会用这个锁来做成钓鱼网站去让我开锁？

放心，Passkey 会识别钓鱼网站，只认正主。

原理就不多说，再扯下去就是很多技术相关的东西。

一张图讲明白。

经过了大半年的使用，玩过谷歌、微软、苹果和各种第三方密码管理工具后，反而是它最好用

Bitwarden。

首先，密码自动填充服务，有的。

最爽的一点是，它能以浏览器扩展的形式装载。

简单来说，你即使用 Chrome、Edge 还是 Firefox 等浏览器，都能 " 一键通关 "，不会出现换用浏览器导致密码不同步的问题。

它支持的浏览器也颇多，几乎囊括了市面上 97.23% 的浏览器。

而且，它的移动端支持安卓和 iOS。

所以它的适配性你完全不用担心，一个 App 就能在各种浏览器和移动操作系统中无缝使用。

其次，它的云端系统可以让你的各种密码库随时流转在各个设备之间，手机一旦注册新账号，电脑马上也能同步使用。

有的 bro 就发质疑，不是说云端不安全嘛，怎么还搞云端？

这也是我喜欢它的其中一点，你可以自己建立服务器，让数据存在你自己的硬盘中，高度的数据自主权。

对于我这种 iOS 安卓双修党，别提有多爽，何况家里还有 Mac 和 Windows 电脑的，一个指纹就能在四种不同操作系统设备中登录任意网站的爽感，jeng 爆呀 bro！

那么，有缺点么？——没有那是骗你的。

免费用户要用它的 2FA 功能，只能多下载一个 Authenticator 的 App。

这个 App 是专门来看 2FA 的验证码的。

如果你氪金了，那 2FA 功能就内置在密码管理 App 中。

简单来说，不氪金就得专门多下载一个 App 去看 2FA 的验证码，仅此而已。

所以，它在很多第三方的密码管理工具中，算是很良心的啦。

话说，你们现在都是用什么密码管理工具的？有什么槽点吗？