什么是 1Password
* p8 p( b5 L3 h3 F2 o+ `4 n/ _1 k6 `' I$ A- N$ @6 Y
1Password 是由加拿大开发商 AgileBits 开发的一款密码管理软件。除了用来存放账号密码，你还可以存放包括信用卡、身份证件之类的敏感信息。根据官方的发行公告（Release Notes），第一个正式版的 1Password 1.0.0 客户端发行于2006年，距今14年。1 S/ s/ V0 o* i: L  @% r) F

2 u- O9 w. s) Y! V" b% n% z. a- d我们储存在 1Password 中的信息都是被加密的，任何数据在被传输前，1Password 都会使用 AES 256-bit 算法加密3次，即便是开发商 AgileBits 也无法获取。客户端和 1Password 服务器的认证和通信通过零知识证明协议加密。& r5 i# w# }3 W, v4 y$ v
: C+ t* S# R/ T6 H/ h
2014年 OpenSSL 暴露的心脏滴血漏洞（Heartbleed）漏洞对整个互联网造成了难以估量的影响，所有依赖 SSL/TLS 协议的网站或客户端，都可能因此受到攻击。当时很多使用 OpenSSL 服务的科技巨头（e.g. Google, Facebook, Amazon 以及国内各梯队的互联网公司等…）的用户敏感数据被大量 Dump，其中有不少公司甚至明文保存用户密码。如果你愿意了解更多细节，可以搜下 “Akamai secure heap “，Alex Clemmer 专门写了文章来分析这件事，过程很是曲折。
  A; t0 `5 i2 u/ Z1 _* B0 ~* V- r1 A5 d+ V  _
所幸 1Password 并不建立在 SSL/TLS 之上，因此并未受到波及，官方不久后还推出暸望塔（Watchtower）功能，用来检查你使用过的哪些网站遭到数据泄露，这个功能不久后就集成到客户端中。
9 e' m* D; O( @, L, j
2 n7 E2 Z$ d0 v+ x! Z  @; W- H1Password 的盈利模式完全来自用户付费，因此他们没有任何第三方广告业务，也不使用、分享或出售用户数据。1Password 严格遵守欧盟数据保护通用条例 GDPR，他们在官网隐私介绍页面详细说明了隐私策略。
( v# X4 ?9 v$ u, C; z$ k2 G. \$ _2 {6 V
苹果在2018年为全球超过123,000员工部署企业版1Password。
  N- {+ c2 [; x- B$ x. Z
# r( S+ p- O! V" k为什么要用 1Password# Y1 _2 j: T% k% _8 y

' `( i* g3 \; K. B这个问题可以拆成两部分：7 \, h8 ?8 |+ k. {1 |

+ b8 ~; E. u& {' M9 {1）为什么要使用「密码管理器」；
1 B' ~/ _. K* d* p+ J; W, w% Y
5 g0 ?+ p" Z/ D1 `2）为什么要在众多密码管理器中选择  1Password？  P1 d2 h6 i" v  S7 }0 j
6 i3 m$ [% N- E
对问题1，很多人习惯在所有网站都使用相同密码，而且通常包含生日年月这样非常容易被外人获得的信息。一旦其中某个网站发生数据泄露，你所有的账户都会受到牵连。即便能做到不同账号不同密码，我们为了方便记忆，设定的密码也往往强度不足。
$ ?4 W) b. L7 q6 s& X7 ~$ m: E' T
通常，高强度的好密码要满足：
. n  j+ P- u6 Z, I; q6 i0 V
. ~! B3 N% o9 _" d4 z; o- 长度8位及以上；/ R# _1 x. Y0 i1 C* y0 f; p
7 l* P. }% Z# L, \: J+ F
- 同时包含大写字母和小写字母；
7 k' X1 P1 Z* P' H- ]" b% ~2 _+ E2 k, l& V2 H
- 包含1及以上的特殊符号（e.g. *^%$=…）；, E3 p2 ~2 [- B6 }' s. }+ T

/ P4 L! \3 h) s% Z+ t: t3 _5 m- 自己能记住。/ |4 S& y2 h3 w4 A3 U7 @! |* R

0 R7 z0 P' y) V" H) R9 q) p在使用密码管理器之前，我曾一直用「基本密码」+「特征码」来设置密码，并为此感到洋洋得意。以 Gmail 账户举例，我以基本密码 “Yishi123+-/” + 特征码 “GL”（网站域名的首尾大写字母）作为密码  “Yishi123+-/GL”；如果账户涉及财产，就换个更长的基本密码。
( }- U4 [' ~& K4 S! C1 y* a; n, {& s  [3 H- i
乍一看符合好密码的要求，自己也能记住，看起来比所有网站同用一个密码要强多了不是么。但这样做最多在黑客批量撞库时躲过一劫，实则没什么作用。
% l, A8 F  ?: t" d
3 ?/ |% W- a# c% p. d因为只要黑客通过社工手段定位到你个人，不管你以什么方式组合特征码、特征码有多复杂，只要规则一致的，那么其中一个账号被盗，其他的就都能顺藤摸瓜推理出来。* P4 m7 s5 k8 Z$ y* j" S
( j( e, v, m( J9 c3 K7 H$ P! d$ I3 X
因此，所谓基本密码+特征码，在安全性上形同虚设。$ X/ _+ ?% [6 O) c0 X/ X2 S7 {

3 y7 u( F; K& M" W$ @6 k/ F有人说，那我每个网站都使用毫无规律的随机长密码。拿小本子把账号密码都记下来，按字母 a-z 给网站排序，每次登录时查下不就行了。除非本子遗失或黑客到家里盗走，我的密码都是万无一失的，也不怕撞库。
# R$ {* p& o7 _- Z+ ?8 m- f$ Z: m* p, l$ y8 f# C; T/ T7 W- w
这个办法安全系数确实最高。某种程度上，小本子就是你自制的密码管理器，但是用起来麻烦。
' r3 Y% M" \* d- C) N) l" G9 E' I+ s. ]
小本子丢了或损坏怎么办，人在公开场所怎么办，每天登N个网站就要手动敲N遍毫无规律的密码，诸如此类的缺点很多，余不一一…; x5 y" Y1 A3 r7 B  B4 S
6 s. d( B' d7 c1 L6 I
而一个专业的密码管理器，就是用来解决这个问题的。% S, k* Y  k$ _2 b
+ T" ?6 y/ u+ N" |
它本质上做了两件事：
% n, m! ^" ^2 i" J0 ^* ?: K8 e4 r$ M& N9 u: ~# r) X
1. 帮你生成足够强的随机密码；
/ a2 v) Q: ?" w/ l1 K) c. d  i" o1 S( k3 l! _9 X, G
2. 帮你管理好这些账户，要用时出现，不用时消失。: c6 z7 q" @4 E! p
  {$ B3 G7 V* X( _/ z
对问题2，我亲身使用过的密码管理器有 1Password、LastPass,、KeePass，除此之外还有一大票优秀产品如 DashLane, RoboForm … 等，虽然没用过，但它们都有各自粉丝拥簇。7 a8 K/ s& b% R6 G" w7 \
# E! O; z" @  i* C4 v) Z
如果你喜欢彻底开源、轻量、免费，那么我强烈推荐 KeePass，它的开发社区很活跃，光是在 macOS 上，开发者们就贡献了 KyPass，MacPass，KeePassX 等多个客户端的实现，并且功能十分强大。" o9 }' Q" p7 B* }
+ z9 s7 o6 o$ A! ^+ f) K* z+ G+ f
但如果你和我一样，除了安全性，同样在意使用体验、灵活性和便利性，本着「能力范围内选择综合素质最好的」原则，那么我推荐 1Password。
- W! [# M( B$ F  B$ \, d8 v, ?7 i1 y
1Password 并非开源，但它遵循公开规范（安全模型的白皮书），任何开发者都可以对其进行黑箱测试。
- Y! n* m% U: u. W5 U' V( X$ F2 D0 o1 g# z7 O
David Schuetz 在他的博客对 1Password 的工作机制进行了极为详尽的探索，下图便是他总结的核心：
/ k3 B& v; I$ {& K7 {  d) Q* w& D
% w& J( C( E( l1 h% w我们只需明白，1Password 最关键的安全要素，便是我在图中红框标出的 2SKD（two-secret key derivation）。而这两个所谓的 “Secret key”，分别是主密码（Master password）和 私钥（Secret key）。
3 k4 C: I3 Z1 \, s' q: |1 D) d! D  I/ {( D9 d/ G" ]+ b7 _3 M
你不用看懂这套复杂的流程，只要抓住核心点，即，如何确保「我的密码只有我知道，即便1Password 也无法查看我的敏感信息」即可。关于这点，我会在下文设置主密码的步骤中，详细跟你解释。( W; _/ R7 C/ ?( P# R  R% @3 f

3 ]# ]( u! f' `9 K4 }9 u' \: w- q% Z9 v4 u开源是个很大的话题，它也并非一切事物的银弹。
; _/ {1 I7 x' L7 h" ]
* x: D3 q$ u* Q& I受制于篇幅，本文我们主要讲解 1Password 的使用，如果你对开源感兴趣，以后可以单独写一篇文章。: b. c: ?1 }7 `, B3 ]3 U  m' F' z

' t7 A/ _3 _1 g! {+ s准备就绪，接下来就开始我们的 1Password 之旅。