密码管理器引入了不同的风险，它们并不能消除所有风险。如果密码管理器通常比几十个记住的密码更具固有风险，这是值得商榷的。中央密码的风险是否超过了数十个实施不善的密码的风险？这可能都取决于实施。

密码管理器以最大的复杂性自动创建和“记住”唯一密码的过程，并且可以自动定期更新密码。不仅如此，它们还可以突出显示您不在您认为自己所在网站的登录页面上。所有这些好处都很难传递，但您需要确保您的密码管理器得到适当保护。

你说得对，把所有的鸡蛋放在一个篮子里，你就有被广泛使用的风险。但是有一些方法可以减轻这种风险。例如，一些密码管理器需要 2 因素身份验证才能访问密码。

“冒险”总是在旁观者的眼中。一个人可以接受的，另一个人就不会接受。每个人/组织都需要自己做出决定。

[披露：我为 1Password 的制造商 AgileBits 工作]

正如其他人很好地指出的那样，密码管理器面临不同的风险。我显然觉得使用设计良好的密码管理器是一个不错的选择。

我想解决已经提出的“一篮子鸡蛋”问题。是的，密码管理器确实将你所有的鸡蛋放在一个篮子里，所以你应该看看这个篮子的保护程度。但是，让我们看看不使用密码管理器时的相同安全问题（篮子里有很多鸡蛋）。

密码重用也是把多个鸡蛋放在一个篮子里

假设 Molly（我的一只狗）重复使用1chaseR4bbits十个不同站点和服务的密码。（莫莉不是一只很聪明的狗。）通过这样做，这十个地点中的每一个都变成了同一个篮子里的鸡蛋。如果她的密码被发现，她在这些网站上的所有帐户都会被盗用。

现在让我们看看重用篮子的保护情况如何。它容易受到她的密码在传输过程中被捕获，容易受到网络钓鱼攻击，容易受到十个站点和服务中任何一个的破坏。事实上，篮子越大（她重复使用密码的网站越多）就越容易受到攻击。

很简单，密码重用就是把多个鸡蛋放在一个保护得很差的篮子里。一个好的密码管理器可以解决密码重用问题，给你一个非常扎实的篮子。

杂记

您将网络钓鱼攻击列为对密码管理器主密码的威胁。使用 1Password，应用程序完全在本地运行，因此网络钓鱼攻击的余地很小。某些本地运行的程序可能会尝试欺骗 1Password。我们（还）还没有看到类似的情况，因此还没有启用反措施。（有人记得站点密钥吗？太糟糕了！）

您提到了维护即使是少量的强、易记、可键入的密码也很困难。大约四年前，我写了一些建议（请参阅Towards Better Master Passwords）关于如何为您确实需要记住的几个密码执行此操作。这是今天仍然有效的建议（并被 XKCD 采纳），如果遵循得当，即使攻击者确切知道您使用的是什么系统，它仍然很有效。

您是否将密码管理器与 OpenID 混淆了？我不知道您如何通过网络钓鱼密码管理器主密码。

无论如何，我的密码管理器可以通过应用程序或浏览器插件访问，并且需要从新设备或美国以外的任何地方进行 MFA。

我想这一如既往地取决于，如果您的受信任设备不安全，那么它就有风险。

密码管理器，至少是 lastpass，对于防止网络钓鱼非常有用，即使您没有捕获虚假域，它也会。

您绝对正确，恶意软件是对密码管理器的最大威胁。

确保密码管理器安全的一种方法是将其放在手机上。此时，您的手机遭受恶意软件的风险比您的笔记本电脑要小。

如果您有高度的安全意识，您可以购买第二台设备（iPod touch？），仅用于密码管理，别无其他。你甚至没有打开无线，更不用说将它连接到互联网了。在这种情况下，设备遭受恶意软件的风险非常低。

许多密码管理器都有一些反恶意软件预防措施。例如，在 Windows 上使用 1password，您可以在提升的安全提示符处输入您的主密码。还有一些技巧可以安全地将密码发送到应用程序，例如混合剪贴板和键盘操作，这可以打败键盘记录器。这些预防措施并非无懈可击，您应该假设笔记本电脑上的恶意软件意味着完全妥协，但它们确实可以击败许多常见的恶意软件。

最终，正如其他人所指出的那样，您对密码采取的任何方法都存在一定程度的风险。我相信对于大多数人来说，使用密码管理器比在任何地方都使用相同的密码更可取，这似乎是另一种常见的方法。