2025 低後悔入門：密碼管理器怎麼選（並明確排除什麼不要用）

結論（不想研究的人直接照做）

1. 你只願意做一個選擇：用 Bitwarden 當你的密碼管理器，立刻把最常用的 10 個帳號搬進去，並把每個帳號都打開 2FA（兩步驟驗證）。
2. 你願意用錢換更低摩擦（尤其是家庭共享）：選 1Password，同樣先搬 10 個帳號 + 開 2FA。你要買的是「更少設定與更少出錯機會」，不是更多功能。
3. 你正在用或打算用：LastPass / 瀏覽器內建密碼 / Excel/記事本存密碼 —— 這篇文章的結論是：停，把時間花在遷移，而不是繼續辯論。

這篇文章在解什麼「後悔」

密碼管理器不是「更安全」的炫耀工具，而是把你從一個高機率、低可控的失敗模式救出來：

• 重複使用密碼 → 一個站外洩，其他站被撞庫。
• 密碼太簡單 → 被猜中 / 被社工 / 被釣魚後很難止血。
• 密碼散落各處 → 換機/忘記/交接/家人緊急狀況時，失控。

我們的世界觀是「降低後悔 > 追求極致」。在密碼這題上，低後悔的做法是：用一個可信的工具把風險集中、流程標準化、並建立可復原的備援。

我們怎麼選：NoRegretLab 的判斷規則（這不是功能比較文）

• 優先避免高風險錯誤：任何一個「失守就全盤皆輸」的失敗模式，都要優先處理。
• 低摩擦優先：你不會每天保持高紀律，所以工具要讓「安全的做法」自動化。
• 可承擔、可復原：選錯也要能撤退（可匯出、可移轉、恢復流程清楚）。

安全預設：為什麼是 Bitwarden

Bitwarden 的核心優勢不是「它一定比別人更安全」，而是它更符合低後悔的三件事：

• 可驗證：Bitwarden 會公開第三方安全審計與報告（含多年度、多面向）。你不用相信行銷文，你可以看「被怎麼檢查」。參考：Bitwarden — Compliance, Audits, and Certifications。
• 低摩擦開始：跨平台、上手門檻低，你真的有可能「今天就開始用」，而不是把安全拖延成永遠。
• 撤退成本低：你能匯出資料、能遷移。這點對「可承擔」很重要：選錯時你要能走。

付費換低摩擦：什麼情況我會讓你選 1Password

你要選 1Password 的理由只有一個：你在買「更少出錯機會」（尤其是家庭/跨裝置/日常使用習慣）。

1Password 清楚公開其安全模型、端到端加密與「雙鍵」概念（密碼 + Secret Key）的設計，並提供安全設計文件入口：

• 1Password — Security Principles and Features
• 1Password Support — About the 1Password security model
• 1Password Security Design — Key security features

如果你明確知道自己會因為麻煩而半途而廢，那你不該選「最便宜」，你該選「你會一直用」。在 NoRegretLab 的語言裡，這叫：用錢降低操作摩擦，換取可持續性。

明確排除：為什麼我不把 LastPass 放進你的安全預設

低後悔不是「永遠不會出事」，而是「出事時失敗模式可控」。密碼管理器的最壞情境就是：你的保管庫（vault）備份被拷走，攻擊者可以離線嘗試破解你的主密碼。

LastPass 在其公告中描述，攻擊者取得了包含客戶 vault 資料的備份（含部分未加密資訊如網站 URL，以及加密的使用者名稱/密碼等欄位），並指出攻擊者可能嘗試暴力猜測主密碼來解密。參考：

• LastPass — 12-22-2022: Notice of Security Incident
• LastPass — 03-01-2023: Security Incident Update and Recommended Actions

這類事件的重點不是「你現在是不是立刻被盜」，而是它把你推進一個長尾風險：只要你的主密碼不夠強，這個風險就會在未來某一天變成帳號災難。在 NoRegretLab 的框架裡，這不是你應該承擔的風險。

最低摩擦上手流程（15 分鐘版本）

1. 先選一個：Bitwarden（預設）或 1Password（付費換摩擦）。不要再做第三個選項。
2. 建立主密碼：用「夠長、你記得住、不重複使用」的片語型密碼；不要跟任何網站密碼重複。
3. 把最常用的 10 個帳號搬進去：信箱、Apple/Google、銀行/支付、社群、工作帳號先做。
4. 每個重要帳號都開 2FA：先從信箱開始，因為信箱通常是「一切重置的入口」。
5. 做一次復原演練：確認你知道：手機不見/電腦壞掉時，怎麼把 vault 拿回來。

你仍然可能後悔的地方（我們把風險寫在檯面上）

• 你輸在主密碼太弱：不管哪家密碼管理器，主密碼太弱都會讓你回到「離線破解」的恐懼裡。
• 你輸在釣魚與裝置被植入惡意程式：密碼管理器能降低風險，但不能替代基本的裝置衛生與警覺。
• 你輸在沒有備援：沒有準備復原流程，才是最常見的實際失敗。

參考來源（可追溯）

• Bitwarden — Compliance, Audits, and Certifications（含第三方審計與報告）：https://bitwarden.com/help/is-bitwarden-audited/
• 1Password — Security Principles and Features：https://1password.com/security/
• 1Password Support — About the 1Password security model：https://support.1password.com/1password-security/
• 1Password Security Design（安全設計文件）：https://agilebits.github.io/security-design/key-security-features.html
• LastPass — 12-22-2022: Notice of Security Incident：https://blog.lastpass.com/posts/notice-of-recent-security-incident
• LastPass — 03-01-2023: Security Incident Update and Recommended Actions：https://blog.lastpass.com/posts/security-incident-update-recommended-actions
• NIST SP 800-63B（其中提到支援貼上以利密碼管理器、以及密碼長度/黑名單等方向；另註：此版已被 SP 800-63-4 取代）：https://pages.nist.gov/800-63-3/sp800-63b.html