每個術語解釋
無術語

您用來證明存取服務時是您本人的秘密字元串。這是保護您帳戶的數位鑰匙。強密碼是長的、對每個服務唯一的、隨機的且難以猜測的。

密碼管理器儲存您所有憑證、安全筆記和敏感資料的加密容器。它就像數位保險箱：只能用您的主密碼打開。裡面的一切都是加密的，沒有正確的金鑰就無法讀取。

在密碼管理器中您需要記住的唯一密碼。它作為解鎖您保險庫並產生解密所有資料的加密金鑰的主鑰匙。它是唯一不儲存在任何地方的密碼——它只存在於您的腦海中。

透過輸入您的憑證（通常是使用者名稱和密碼）來識別您自己以存取您的帳戶的過程。「Login」是名詞（登入過程），「log in」是動詞（登入的動作）。

正式結束應用程式或服務中活動會話的過程。當您登出時，會話令牌被無效化，資料從記憶體中清除，防止同一裝置的其他用戶存取您的帳戶。

識別您對系統的資料集：通常是使用者名稱（或電子郵件）加上密碼。也可以包括數位憑證、硬體令牌或生物辨識資料。

任何必須保持私密的敏感資料：密碼、API金鑰、令牌、憑證或任何授予系統存取權的資訊。現代密碼管理器允許儲存各種秘密，不僅僅是密碼。

使用數學演算法和金鑰將可讀資料轉換為不可讀格式的過程。只有擁有正確金鑰的人才能逆轉過程（解密）並讀取原始資訊。這是密碼管理器所有安全的基礎。

最廣泛使用的加密標準，目前被認為是不可破解的。數字「256」指的是金鑰大小（位元）：2^256種可能的組合。即使使用世界上所有電腦，透過暴力破解也需要比宇宙年齡更長的時間。這是政府用於機密資訊的相同標準。

將您的主密碼（可讀文字）轉換為適合加密的256位元加密金鑰的演算法。它透過執行數千次重複的數學運算來實現，使暴力攻擊極其緩慢。如果駭客嘗試測試數百萬個密碼，PBKDF2會使其花費數年而不是幾秒。

使用PBKDF2、Argon2或bcrypt等專門演算法從秘密（通常是您的主密碼）產生加密金鑰的過程。結果是一個固定長度的二進位金鑰，它是確定性的（相同的密碼總是產生相同的金鑰）且不可逆的（您無法從金鑰獲得密碼）。

在衍生或儲存密碼之前添加到密碼的獨特隨機值。它確保兩個使用相同密碼的用戶最終得到完全不同的金鑰。它可以防止字典攻擊和彩虹表（預計算的常見雜湊列表）。

一種模型，資料在來源裝置上加密，只在目標裝置上解密。沒有中介（無論是服務提供商還是伺服器）可以讀取傳輸中的資料。這是WhatsApp、Signal和像Cleverpass這樣的零知識管理器的基礎。

一種安全系統，需要兩個獨立的身份證明才能存取：您<em>知道的</em>東西（密碼）和您<em>擁有的</em>東西（您的手機、臨時代碼）或您<em>是的</em>東西（生物辨識）。即使您的密碼被盜，沒有第二因素他們也進不去。

每30秒變化一次的6位數數字代碼，用作第二認證因素。您的認證器應用程式（Google Authenticator、Authy...）使用結合秘密金鑰和當前時間的數學演算法產生它。沒有您的裝置，代碼不可能被猜到。

使用您身體的獨特物理資料解鎖密碼管理器的能力：指紋（Touch ID）、面部識別（Face ID）或虹膜。它比輸入主密碼更快更方便，儘管在重新安裝應用程式時仍定期需要主密碼。

讓您認證一次即可存取多個服務而無需重新輸入憑證的系統。最常見的例子是「使用Google登入」或「繼續使用Apple」。中央身份管理對所有聯合服務的存取。

完全取代密碼的加密憑證。它使用公鑰/私鑰對：網站儲存公鑰，您在裝置上保留私鑰。要認證，您使用本地生物辨識或PIN證明您擁有私鑰。它抵抗網路釣魚，因為私鑰永不共享。

自動偵測應用程式和瀏覽器中的使用者名稱和密碼欄位，並一鍵填入您儲存的憑證的功能。它消除了手動輸入長而複雜密碼的需要。

衡量使用自動攻擊猜測或破解密碼的難度。它根據長度、字元多樣性（大寫、小寫、數字、符號）和隨機性計算。通常以熵的位元數表示或作為弱/中/強/非常強的分數。

根據您設定的參數自動建立隨機、安全密碼的工具：長度、字元類型、單字與符號。它消除了建立可預測密碼或重複使用相同密碼的人類習慣。

保持保險庫在所有裝置（手機、平板電腦、電腦）上更新和一致的過程。當您在一個裝置上新增或修改憑證時，變更會透過雲端儲存自動傳播到其他裝置。

代表已驗證身份或存取權限的資料字串。不是每次向伺服器請求都發送您的密碼，而是系統在您認證時發出令牌。之後的請求使用該令牌。如果令牌過期或被撤銷，您需要重新認證。

授權存取特定資源的短期令牌（分鐘或小時）。它與每個請求一起發送以證明您有權限。因為它是短期的，如果有人截獲它，攻擊視窗很小。它在API和OAuth系統中很常見。

長期令牌（天或月）僅用於在存取令牌過期時獲取新的存取令牌，而不需要用戶重新輸入憑證。它只發送到認證伺服器，不是每個請求都發送，這減少了被盜的暴露。

服務提供商對用戶敏感資料沒有技術存取權的系統設計模型。資料在離開用戶裝置之前就在用戶裝置上加密，提供商只儲存（或傳輸）已加密且無法解密的資料。即使在法院命令下，它也無法透露密碼，因為它在數學上無法存取它們。

一種標準協定，允許應用程式代表您存取另一個應用程式的資源而不共享您的密碼。當應用程式要求您「使用Google連接」時，它使用OAuth。您授予該應用程式存取某些Google資料的權限（例如，您的雲端硬碟），但Google永不與該應用程式共享您的密碼。

衡量密碼或加密金鑰的隨機性和不可預測性，以位元表示。更多位元的熵意味著更多可能的組合且更難猜測。具有128位元熵的密碼有2^128種可能的組合——實際上不可能破解。

機密資料在未經授權的情況下被存取、複製或竊取的安全事件。當公司被駭時，它可以同時影響數百萬用戶。在洩漏中洩漏的密碼通常出現在暗網上，並用於後續攻擊。

在資料洩漏中暴露或被攻擊者知道的密碼。已洩漏的密碼應該立即在使用它的每個服務上更改。現代密碼管理器將您的密碼與洩漏資料庫進行比較並提醒您。

一種社交工程攻擊，攻擊者冒充受信任的實體（銀行、社交網路、公司）誘騙您在假網站上輸入憑證。它通常透過電子郵件、簡訊或即時訊息到達，帶有連結到合法網站副本。

一種攻擊技術，系統地嘗試所有可能的密碼組合直到找到正確的。使用現代電腦，簡單的8字元密碼可以在幾小時內被破解。這就是為什麼長度很重要以及為什麼PBKDF2減慢每次嘗試。

一種自動攻擊，在先前洩漏中洩漏的使用者名稱/密碼組合被嘗試用於其他服務。它有效是因為許多人在多個網站上重複使用相同的密碼。如果您的密碼從一個論壇洩漏，攻擊者會在您的銀行或電子郵件上測試相同的密碼。

第三方在雙方（例如您和網站）不知情的情況下截獲通訊的攻擊。攻擊者可以讀取、修改或注入資料。端對端加密使截獲資料變得無用：即使他們捕獲它，它也是加密的。