密码管理器使用指南：KeePassXC、Bitwarden自托管对比评测

数据泄露是当前互联网最大的安全威胁之一：

• 2024年，全球有超过200亿条账户记录（邮箱+密码组合）在暗网流通
• 黑客使用「凭证填充」攻击：将泄露的邮箱+密码组合自动测试到数千个网站
• 如果你在A网站和B网站使用相同密码，A网站数据泄露后，B网站账户自动沦陷

密码管理器的价值：为每个网站生成和存储独一无二的强密码（如XkL#9mQp2!vRnY），你只需要记住一个主密码。

KeePassXC是开源的离线密码管理器，数据存储在本地加密的.kdbx文件中，不依赖任何云服务。

优势：

• 完全离线，无云存储风险
• 开源，可审计
• 跨平台（Windows/macOS/Linux）
• 支持硬件密钥（YubiKey）二次验证

使用教程：

1. 下载 keepassxc.org
2. 新建数据库，设置强主密码（建议4个随机单词组成的口令，如「correct-horse-battery-staple」）
3. 可选：使用密钥文件（额外的保护层，即使主密码被猜到也无法打开）
4. 添加条目：每个账户一个条目，使用内置密码生成器生成随机密码

多设备同步：通过Syncthing（P2P同步）将.kdbx文件同步到手机（KeePassDX/Strongbox客户端）。不需要云服务，在本地网络或P2P加密传输。

如果需要便利的云同步但不想依赖Bitwarden公司的服务器，可以在AnubizHost VPS上自托管Vaultwarden（Bitwarden服务器的开源替代）：

docker run -d --name vaultwarden \
  -e ADMIN_TOKEN=$(openssl rand -base64 48) \
  -v /vw-data/:/data/ \
  -p 127.0.0.1:8080:80 \
  --restart unless-stopped \
  vaultwarden/server:latest

配合Nginx反向代理和Let's Encrypt SSL证书，通过HTTPS访问你自己的Bitwarden服务器。

客户端配置：在Bitwarden官方客户端（支持全平台）的设置中，将「Server URL」修改为你的自托管服务器地址（如 https://pass.yourdomain.com），即可使用所有Bitwarden功能，数据完全存储在你的VPS上。

主密码设置：

• 使用4-5个随机单词的口令（比复杂的随机字符串更好记，同样安全）
• 不要在密码管理器本身的账户中使用与其他地方相同的密码
• 定期检查是否设置了紧急访问（家人可以在紧急情况下访问你的密码库）

备份策略：

• KeePassXC：定期备份.kdbx文件到加密USB（推荐每月一次）
• Bitwarden/Vaultwarden：导出加密备份（JSON格式），存储在离线位置

浏览器扩展：KeePassXC-Browser扩展（Firefox/Chrome）和Bitwarden浏览器扩展都支持自动填充，不需要手动复制粘贴密码。启用扩展大大改善日常使用体验。

检查泄露：使用 haveibeenpwned.com 检查你的邮箱是否在已知数据泄露中出现。出现后立即更改对应网站的密码。