是的。

普通用户应该为每个站点使用长随机密码。密码不应重复，密码不应遵循可识别的模式。不允许泄露任何一个密码（例如您的 Adob​​e 或 LinkedIn 登录名），以使攻击者更容易猜出您的其他密码。这些要求使得记住密码几乎是不可能的。但这不是您应该使用密码管理器的主要原因。

主要原因是它可靠地保护您免受网络钓鱼攻击。如果您实际上访问的是正确的站点，则集成浏览器的密码管理器只会填写特定于站点的密码。因此，您不会不小心将您的 Paypal.com 密码输入 www.paypal.com.us.cgi-bin.webscr.xzy.ru。这对于普通用户来说更是如此，他们平均而言，依靠对网站的普遍熟悉程度来确定其是否合法（一种非常无效的启发式方法）。由于您不知道密码，因此无法输入密码。相反，只有在您位于真实站点时才会自动填写。

使用浏览器集成的密码管理器，不要被钓鱼。从字面上看就是这么简单。无论如何，网络钓鱼比密码泄露更为普遍和严重的威胁。

Microosft 研究实验室中有一些有趣的想法支持您的方法。例如http://research.microsoft.com/apps/pubs/default.aspx?id=227130。

他们指出，并非所有受密码保护的帐户都是平等的。他们将它们分类为：

• 无关帐户（未上锁的门）。
• 低后果账户（带锁的花园门）。
• 中等后果帐户（上锁的前门）。
• 高后果帐户（银行金库门）。
• 超敏感账户（我们喜欢想象的那些很酷的防爆门在 NORAD）。

并指出让无关帐户的密码与高后果帐户的密码一样强大是浪费精力。如果您不关心帐户，为什么不使用“密码”作为密码？

我同意他们的观点，但我仍然使用密码管理器并为所有内容设置唯一的强密码，原因很简单，我不想花时间弄清楚我对每个帐户的价值。使用我的密码管理器，我只需将所有内容都提高到强度并忘记它。

所以我会向普通用户推荐一个密码管理器，因为这是让他们使用强密码的最简单方法。

我能举个例子说明我如何利用你吗？

其中一个论坛（最低挂果）的用户详细信息被泄露，我现在有了您的姓名、电子邮件地址、密码，并且可能会找出您的一些浏览习惯。

假设我没有纯文本密码，所以我向您发送一封电子邮件，告诉您您的帐户已被盗用，请访问 ALFAR0ME0F0RUM.COM，它为您提供“更改密码”页面，如您所愿。你输入了一个普通密码的变体，我现在有一个纯文本的普通密码的变体。我现在可以轻松破解您的原始密码，我现在有 2 个您的循环密码。

现在假设您为 AlfaRomeoForum.com 使用了一个非主电子邮件帐户，该帐户使用了回收的密码。现在，我可以看到您使用该电子邮件地址注册的每项服务，并且可以猜出密码。

你用这个电子邮件地址买了东西，我现在知道你买了什么，什么时候买的。

哦，看，这里有一个服务，上面有你的主要电子邮件地址（我已经登录，它是用户名/密码，你在某个时候更改了电子邮件地址）

由于您的订单存在问题，我现在可以给您打电话并询问您一些安全问题。您在很久以前就设置了帐户，以至于您不记得在设置该商店帐户时没有询问安全问题。

假设你有一部 iPhone，我现在可以打电话给他们一个临时 icloud 密码，我可以回答安全问题，因为你已经告诉我了。我现在可以访问您的 iMessage，这也是您的短信。

我要求您的主要电子邮件提供商重置密码，这需要通过短信发送到您手机的密码。我现在可以访问您的电子邮件，并且可以像以前一样通过该电子邮件进行路由。

我目前想不出如何破解你的银行账户，但你现在能看到一个安全漏洞是如何打开一切的吗？即使您将主电子邮件用于被入侵的原始帐户，我仍然可以寻找您的帐户，只是它们更难找到。

如果您认为人们不会这样做，请参见此处

其他人已经指出了安全性的好处，我将只关注便利性和不便性。

如果您像我一样将密码管理器用于所有事情，除了管理器无法访问的地方，您就会习惯于使用它的便利性。

不同的网站有不同的政策，因此有时甚至不可能让门不锁，您必须将第一个字母大写，或者您使用无处不在的密码的任何快速派生。

很多时候我不记得我是否使用了错误的密码，或者我是否需要大写某些内容，或者我是否使用了错误的用户名或电子邮件。

即使您清除浏览器缓存，更好的密码管理器也会为您记住这些内容。当您使用将您的凭据注册到域的插件时，这具有额外的安全优势，可以击败网络钓鱼尝试，就像 LastPass 一样。

它并不总是像使用桌面浏览器那样方便，但是，LastPass for iPhone 没有与 Safari 集成，但它本身就是一个浏览器，可用于将密码复制到剪贴板。

公平地说，另一方面，如果您不知道您的密码是什么并且您无权访问您的经理，那么您就没有登录任何东西。