「Password123」、「我家寵物的名字 + 生日」、「所有網站都用同一組密碼」——這些密碼壞習慣是 90% 的人帳號被盜的根本原因。答案不是「想更難的密碼」,因為人腦記不住 100 個不同的密碼;正確答案是用密碼管理器(Password Manager)幫你記。本文用 5 分鐘帶你搞懂:為什麼必須用、為什麼選免費的 Bitwarden、怎麼快速設定、以及為什麼連 Bitwarden 自己都看不到你的密碼。
📌 5 句話 TL;DR:
1️⃣ 密碼管理器幫你每個網站生成獨立隨機密碼,自動填入。
2️⃣ Bitwarden 是新手最佳選擇:開源、零知識架構、永久免費版完整功能。
3️⃣ 免費版就夠用:無限密碼、無限裝置、跨平台同步、基本 2FA。
4️⃣ 主密碼忘了就完蛋 —— Bitwarden 也無法幫你重設(這正是安全的證明)。
5️⃣ 5 分鐘設定:註冊 → 下載 App → 匯入舊密碼 → 開 2FA → 日常使用。
為什麼必須用密碼管理器?
現代帳號被盜的 3 個典型攻擊路徑,全部都是「人腦想密碼」這個習慣造成的:
1. 撞庫攻擊(Credential Stuffing)— 最常見
駭客拿著從 LinkedIn / Yahoo / Adobe 等公司外洩的數十億組「Email + 密碼」,到所有網站去自動嘗試登入。如果你多個網站用同一組密碼,只要其中一個被外洩過,整串都會被破——銀行、券商、加密交易所、Email 全淪陷。
密碼管理器的解法:每個網站用獨立隨機密碼(例如 K2$jL!9pMxR&7vN3),單一外洩不會擴散。
2. 釣魚網站(Phishing)— 最難防
駭客寄一封假的「您的帳號異常,請立即驗證」郵件,連結到一個假網站(網址例如 g00gle.com)。你用肉眼以為是真的,輸入帳號密碼 → 駭客直接拿去登入真網站。
密碼管理器的解法:管理器認的是「網域」不是「外觀」。假網站的網域不對,密碼管理器就不會自動填入——這時你就會發現有問題。
3. 弱密碼 / 暴力破解
「Password123」、「abc123」、「你的生日」、「寵物名字」這類弱密碼,現代的 GPU 暴力破解工具 1 秒內就能跑完。即使加幾個符號,依然在駭客的「字典攻擊」清單中。
密碼管理器的解法:產生器自動產生 32 字元隨機密碼,包含大小寫 + 數字 + 符號,暴力破解需要幾百萬年。
為什麼選 Bitwarden?vs 1Password / KeePass / iCloud
市面上 4 大主流選擇的關鍵差異:
🥇 Bitwarden — 多數人最佳選擇
- ✅ 永久免費:個人完整功能(無限密碼、無限裝置、跨平台同步)
- ✅ 100% 開源:所有程式碼在 GitHub 公開,任何人可稽核
- ✅ 第三方稽核:Cure53 安全公司多次審核(2018, 2020, 2023)
- ✅ 可自架:技術用戶可在自己的伺服器上跑(Vaultwarden 社群版)
- ⚠️ UI 介面比 1Password 稍陽春,但功能完整
🥈 1Password — 高端家庭
- ✅ UX 設計業界最佳,autofill 流暢度頂尖
- ✅ Travel Mode(出國時隱藏特定密碼,海關檢查也安心)
- ❌ 沒有免費版,$3/月起跳(一年 $36)
- ❌ 閉源,必須相信公司
🥉 KeePass / KeePassXC — 技術宅最愛
- ✅ 完全免費 + 開源
- ✅ 純本地儲存,密碼從不上雲
- ❌ 跨裝置同步要手動處理(Dropbox、iCloud Drive 等)
- ❌ UX 很陽春,需要技術知識
Apple iCloud Keychain — 純 Apple 用戶
- ✅ Apple 用戶免費內建,無痛使用
- ❌ 只在 Apple 生態系內用(Android、Windows 都不行)
- ❌ 閉源,無法第三方稽核
💡 結論:除非你是純 Apple 用戶(用 Keychain)或重度技術宅(用 KeePass),Bitwarden 是 90% 人的最佳選擇——免費、開源、跨平台、安全等級不輸付費競品。
零知識架構:為什麼 Bitwarden 也看不到你的密碼?
「零知識(Zero-Knowledge)」是密碼管理器最關鍵的安全設計。簡單說:
- 🔒 主密碼從未離開你的裝置:你輸入主密碼後,Bitwarden 客戶端在本地用它推導加密金鑰,從不傳給伺服器
- 🔐 雲端只存「密文」:你的密碼、卡號、筆記都用 AES-256-CBC + HMAC 加密後才上傳
- 🔑 加密金鑰也加密儲存:使用 PBKDF2-SHA256 600,000 次迭代或 Argon2id 強化
- 👀 Bitwarden 員工看不到:他們資料庫裡只有亂碼,沒主密碼就無法解密
🛡️ 這個架構的意義:即使整個 Bitwarden 公司被駭、伺服器資料庫全部外洩,駭客拿到的也只是「加密後的密文」——沒有你的主密碼,用 GPU 暴力破解需要數百萬年。這跟銀行不一樣(銀行知道你的密碼),所以反而更安全。
對比歷年資安事件:2016 至今 Bitwarden 從未發生用戶資料外洩事件。同期間 LastPass(最大競品)2022 年因員工筆電被攻擊,整個加密金庫流到暗網(雖然密碼仍是加密的,但用弱主密碼的用戶被暴力破解)。結論:選一個「零知識架構 + 開源 + 多次第三方稽核」的服務最穩。
Bitwarden 免費版 vs 付費版
99% 個人用戶用免費版就夠了。付費版($10/年)只是 nice-to-have:
什麼時候才該升級 Premium?
- 🔐 你已經買了 YubiKey 等硬體金鑰,想把它當作 Bitwarden 的 2FA
- 📎 你需要儲存加密文件(護照影本、身分證影本、機密文件等,最多 1GB)
- 🚨 你想設定緊急聯絡人(你去世或失能時,家人可在等待期後存取密碼)
- 📊 你想看健康報告(找出弱密碼、重複密碼、外洩密碼)
$10/年等於一杯咖啡的錢,建議用免費版 1–3 個月習慣後,如果有用到上述功能再升級,當作「支持開源軟體」也很值得。
Bitwarden 5 步驟設定教學(新手 5 分鐘搞定)
STEP 1:到 Bitwarden 官網註冊帳號
到 Bitwarden 官網 點「Get Started Free」。只要 Email + 主密碼(Master Password),無需信用卡。
🔑 主密碼的選擇:「Bitwarden 也救不了你」
Bitwarden 設計上無法重設主密碼——主密碼忘了,所有存在裡面的密碼都救不回來。
所以:
① 主密碼要夠長(至少 16 字元,建議用 4–5 個隨機英文單字組合,例如 correct-horse-battery-staple-2026,好記又難破)
② 主密碼要抄在紙上,放在家裡的保險箱或安全抽屜
③ 不要把主密碼存在其他密碼管理器、Email、雲端筆記、手機截圖
④ 開啟 Bitwarden 的「Emergency Access」(付費版功能),授權信任的家人在你失能時繼承
STEP 2:下載 Bitwarden App 與瀏覽器擴充
Bitwarden 是真正全平台,從以下管道下載:
- 📱 手機 App:iOS App Store / Google Play 搜尋「Bitwarden」
- 🖥️ 桌面 App:bitwarden.com/download 下載 Mac / Windows / Linux 版
- 🌐 瀏覽器擴充功能(最重要!):Chrome / Safari / Firefox / Edge / Brave 都支援
- ⌨️ 命令列工具:開發者用的 bw CLI(選用)
瀏覽器擴充功能是日常使用的核心——它會在你登入網站時自動跳出來填密碼,註冊新網站時提示「要不要產生 + 儲存隨機密碼」。
STEP 3:匯入舊密碼(從瀏覽器 / 其他密碼管理器)
Bitwarden 支援超過 50 種來源的匯入,最常見的:
- 🌐 從 Chrome / Safari / Firefox 內建密碼匯入:先到瀏覽器設定 → 密碼 → 匯出 CSV → Bitwarden 桌面 App → Tools → Import
- 🔑 從 1Password / LastPass / KeePass 匯入:在原管理器匯出 1pif/csv/xml → Bitwarden 直接識別
- 📋 手動逐一新增:適合密碼不多(< 20 個)的新手
⚠️ 匯入後務必做的事:
① 刪掉 CSV 檔案(CSV 是明文,被駭客拿到全部密碼一覽無遺)
② 清掉瀏覽器原本存的密碼(避免兩處不同步混亂)
③ 接下來新註冊網站,只用 Bitwarden 產生密碼
STEP 4:為 Bitwarden 帳號開啟 2FA(最重要!)
Bitwarden 帳號本身也要開 2FA,這樣即使主密碼被外洩,駭客還需要你的 Authenticator 碼才能登入。免費版支援以下 2FA 方法:
- ✅ Authenticator App(推薦):Google Authenticator、Microsoft Authenticator、1Password、Authy 都可
- ✅ Email 驗證碼(次選,不推薦)
- 🔐 硬體金鑰 YubiKey(Premium 才有,建議付費用戶優先用這個)
完整 2FA 設定教學請看 2FA 雙重驗證完整設定教學。
STEP 5:日常使用(一切自動化)
設定完之後,你的日常使用流程:
- 登入舊網站:點瀏覽器擴充 → 找到該網站 → 點「Auto-fill」自動填入
- 註冊新網站:到註冊頁時,點 Bitwarden 圖標 → 「Generate Password」→ 產生 32 字元隨機 → 點「Save」儲存到金庫
- 跨裝置登入:手機開 Bitwarden App,輸入主密碼解鎖 → 找到該帳號 → 複製密碼貼到瀏覽器
- 定期換高風險帳號密碼:銀行、券商、加密交易所建議 6–12 個月換一次(用 Bitwarden 一鍵產生)
5 個進階使用技巧
- 🔢 用密碼產生器,不要用「自己記得住的」:產生器預設 14 字元,建議調到 20+ 字元。每個網站不同。
- 🎫 把信用卡資料也存進去:Bitwarden 可儲存信用卡 + CVV,購物時自動填入,比 Apple Pay / Google Pay 跨平台。
- 🆔 儲存身分證明文件:護照號碼、身分證字號、駕照、加上對應的 OCR 影本(Premium 版)。
- 📝 用「Secure Notes」存私密資料:銀行帳號、WiFi 密碼、API key、加密貨幣冷錢包助記詞(雖然冷錢包通常建議只寫紙上)。
- 🏢 家人共用:開 Families 帳號:$40/年 給 6 個家人用,共用密碼庫(例如 Netflix、Spotify 共用密碼)。
Bitwarden 常見 FAQ
Q1:主密碼忘了怎麼辦?真的沒救?
真的沒救,因為這正是 Bitwarden 安全的核心。3 個救援機制:
① Hint 提示:你註冊時可設定一個提示問題,Bitwarden 會 Email 給你(但提示不是答案,只是提醒)。
② Emergency Access(Premium):你預先指定信任的家人,他們可請求繼承權,等待期過後能解密你的金庫。
③ 所以最重要的事:把主密碼抄在紙上,放在家裡保險箱或保險櫃。
Q2:Bitwarden 是台灣公司嗎?資料存在哪?
美國公司(Bitwarden, Inc.),總部加州。資料儲存在 Microsoft Azure(不是 AWS),可以選美國或歐盟地區。對台灣用戶來說,同步速度都很快,且因為是零知識架構,資料儲存在哪都不影響安全性。
Q3:Bitwarden 跟 LastPass 有什麼差別?我該不該換?
LastPass 在 2022 年發生重大資料外洩事件——員工筆電被攻擊,整個用戶加密金庫流到暗網。雖然金庫仍是加密的,但用弱主密碼的用戶陸續被暴力破解。Bitwarden 至今沒有類似事件,且開源 + 多次第三方稽核更透明。建議從 LastPass 遷移到 Bitwarden,匯出 + 匯入只要 10 分鐘。
Q4:免費版真的夠用嗎?什麼時候要付費?
對 90% 個人用戶真的夠用。只有當你想用 YubiKey 硬體金鑰、需要儲存 1GB 加密文件、或想設定緊急聯絡人時,才需要付 $10/年升級 Premium。即使不需要這些功能,每年付 $10 支持開源項目也值得。
Q5:Bitwarden 可以自架(self-host)嗎?
可以。Bitwarden 官方有「Self-hosted」版本,可在自己的伺服器上跑(Docker 容器)。社群版本「Vaultwarden」更輕量,在 Raspberry Pi 上都能跑。適合技術用戶,可以完全控制資料;但維運成本不低,新手不建議。
Q6:手機沒電了,怎麼存取我的密碼?
兩種備援:
① 用另一台裝置(電腦、平板)登入 Bitwarden Web Vault(vault.bitwarden.com)
② 重要的少數密碼(Email、Bitwarden 主密碼),抄在紙上當作離線備份
Q7:可以同時用 Bitwarden + iCloud Keychain 嗎?
可以,但不建議——兩個地方都存密碼會造成「不知道哪邊是最新的」混亂。建議擇一作為主力,另一個關閉自動儲存。iOS / macOS 用戶可在「設定 → 密碼 → AutoFill Passwords」選擇用 Bitwarden 取代 iCloud Keychain。
📚 延伸閱讀:完整資安工具箱
密碼管理器是基礎,再搭配以下工具就能建立完整資安:
- 🔐 2FA 雙重驗證完整設定教學 — 跟密碼管理器搭配,雙重保護
- 🛡️ Surfshark VPN 評價 — 公共 Wi-Fi 加密,防止登入時被攔截
- 🔒 Nexo 完整安全性 — 加密理財平台的 4 大安全支柱
- 🚀 Nexo 註冊與 KYC 教學 — 安全的加密理財開戶
- 🏦 IB 盈透證券開戶教學 — 美股投資首選
總結:今天就做的 3 件事
- 到 Bitwarden 官網註冊免費帳號,設一組長且記得住的主密碼(推薦 4–5 個英文單字組合)
- 下載瀏覽器擴充功能 + 手機 App,匯入舊密碼(從 Chrome / 1Password / LastPass)
- 為 Bitwarden 帳號開啟 2FA(Authenticator App,5 分鐘搞定)
Bitwarden 是免費的,但能擋下 95% 的帳號被盜攻擊。對加密投資者、海外券商用戶、數位遊牧族來說,這 5 分鐘是投資報酬率最高的資安動作,比任何防毒軟體、付費 VPN 都優先。