什么是 1Password
: h7 p+ U& A1 R! B! z0 @* y% x
* [$ C, Q( B, l2 L1Password 是由加拿大开发商 AgileBits 开发的一款密码管理软件。除了用来存放账号密码，你还可以存放包括信用卡、身份证件之类的敏感信息。根据官方的发行公告（Release Notes），第一个正式版的 1Password 1.0.0 客户端发行于2006年，距今14年。
% w  Z. H5 x$ |
' g% ?+ Z6 }' w4 I9 {8 \/ b我们储存在 1Password 中的信息都是被加密的，任何数据在被传输前，1Password 都会使用 AES 256-bit 算法加密3次，即便是开发商 AgileBits 也无法获取。客户端和 1Password 服务器的认证和通信通过零知识证明协议加密。
" r8 u* c/ j8 w5 n' D. r! e
( I( {1 l( a+ o4 x1 Y, Q1 s' j2014年 OpenSSL 暴露的心脏滴血漏洞（Heartbleed）漏洞对整个互联网造成了难以估量的影响，所有依赖 SSL/TLS 协议的网站或客户端，都可能因此受到攻击。当时很多使用 OpenSSL 服务的科技巨头（e.g. Google, Facebook, Amazon 以及国内各梯队的互联网公司等…）的用户敏感数据被大量 Dump，其中有不少公司甚至明文保存用户密码。如果你愿意了解更多细节，可以搜下 “Akamai secure heap “，Alex Clemmer 专门写了文章来分析这件事，过程很是曲折。8 S8 C0 `! Z2 `, `- q% F) D8 Y
0 D0 `: w4 j% [/ Z
所幸 1Password 并不建立在 SSL/TLS 之上，因此并未受到波及，官方不久后还推出暸望塔（Watchtower）功能，用来检查你使用过的哪些网站遭到数据泄露，这个功能不久后就集成到客户端中。2 s! _6 ]3 ~# H, g) e

5 ~2 Z+ @. E" d+ X4 H$ P) K1Password 的盈利模式完全来自用户付费，因此他们没有任何第三方广告业务，也不使用、分享或出售用户数据。1Password 严格遵守欧盟数据保护通用条例 GDPR，他们在官网隐私介绍页面详细说明了隐私策略。7 v9 f3 {  T) t: x

! G$ m- G/ `! ?+ R2 `% n! B' ]苹果在2018年为全球超过123,000员工部署企业版1Password。: b  x9 c: `: J4 k6 R* p( [

: w, X! ^2 ^- U2 |* _4 s为什么要用 1Password. E3 z+ g" g- w( i9 h7 I9 P* [

3 }4 {; \- i5 u& D这个问题可以拆成两部分：( ~! N# s8 b! l6 z9 s6 q* o$ |
2 q, l) F3 e8 H3 F$ c/ k% i+ E
1）为什么要使用「密码管理器」；
6 G% @4 U- Y: R+ w$ T5 d0 w! T0 l" Z1 f0 y' p( E) u6 D
2）为什么要在众多密码管理器中选择  1Password？  b) d' Y9 Q8 `$ e: q
. U0 I  b' r5 Y( r  S5 ^0 r0 r
对问题1，很多人习惯在所有网站都使用相同密码，而且通常包含生日年月这样非常容易被外人获得的信息。一旦其中某个网站发生数据泄露，你所有的账户都会受到牵连。即便能做到不同账号不同密码，我们为了方便记忆，设定的密码也往往强度不足。* w  N3 w$ J$ T/ x+ @" D

, ?/ l; Z+ [6 z4 n+ Q" s3 W通常，高强度的好密码要满足：1 c1 [8 M$ H8 @& B
: o4 l$ F: R* K# _% G( @. ~. U
- 长度8位及以上；1 v) L5 k. u3 @

3 A& V; O+ C' M- 同时包含大写字母和小写字母；' i  \8 {% B& T+ S% D% r+ A  x
# z4 x# R1 d# G9 O7 L
- 包含1及以上的特殊符号（e.g. *^%$=…）；) x8 u6 F/ K0 p. j
) P4 v9 X% s! [" M+ c
- 自己能记住。
2 @2 |2 ^. W$ g# O! v8 [9 p+ h* K$ Z6 h: f
在使用密码管理器之前，我曾一直用「基本密码」+「特征码」来设置密码，并为此感到洋洋得意。以 Gmail 账户举例，我以基本密码 “Yishi123+-/” + 特征码 “GL”（网站域名的首尾大写字母）作为密码  “Yishi123+-/GL”；如果账户涉及财产，就换个更长的基本密码。4 z; x6 H# `( D3 Y  X7 g- n5 _
8 ~( W* Z; s6 K' w* o
乍一看符合好密码的要求，自己也能记住，看起来比所有网站同用一个密码要强多了不是么。但这样做最多在黑客批量撞库时躲过一劫，实则没什么作用。$ V7 u' a) f1 M+ M* N1 Y" D
$ g) g8 H9 D$ U# _* g! y3 E2 f
因为只要黑客通过社工手段定位到你个人，不管你以什么方式组合特征码、特征码有多复杂，只要规则一致的，那么其中一个账号被盗，其他的就都能顺藤摸瓜推理出来。
) j& s1 p- x/ c: b1 p
0 K: `1 O) _7 a5 i0 [. G& R因此，所谓基本密码+特征码，在安全性上形同虚设。
5 J1 \( f) m9 H9 }) X
- o$ @2 \& {" }有人说，那我每个网站都使用毫无规律的随机长密码。拿小本子把账号密码都记下来，按字母 a-z 给网站排序，每次登录时查下不就行了。除非本子遗失或黑客到家里盗走，我的密码都是万无一失的，也不怕撞库。
4 Z9 \: Q: M, c
! M+ B% G7 [" y' v* [+ x. F; I& [这个办法安全系数确实最高。某种程度上，小本子就是你自制的密码管理器，但是用起来麻烦。% V+ B% q2 g% Y3 l: b) R

( a7 q; d, f( {4 W* y+ {* q小本子丢了或损坏怎么办，人在公开场所怎么办，每天登N个网站就要手动敲N遍毫无规律的密码，诸如此类的缺点很多，余不一一…
4 R2 T/ c! {5 g8 E. V
% s. A1 K; U, q* H8 c3 |' R而一个专业的密码管理器，就是用来解决这个问题的。% \5 s, O3 O  U4 X

" L8 I% V7 c6 P+ ~6 v5 Q它本质上做了两件事：7 D& P- r9 b7 w! d

0 e8 D, F: i" \( e( @2 c1 Q! S+ V1. 帮你生成足够强的随机密码；
1 r6 F' |/ Q: x8 ]$ B/ E7 n5 M  G1 O9 u
2. 帮你管理好这些账户，要用时出现，不用时消失。5 l9 g. l) w6 ~. l& {

2 Q7 |7 V" Q# d对问题2，我亲身使用过的密码管理器有 1Password、LastPass,、KeePass，除此之外还有一大票优秀产品如 DashLane, RoboForm … 等，虽然没用过，但它们都有各自粉丝拥簇。
7 h( P1 m$ H) q. Z! w1 H' E2 ]% ^1 k% X2 ]) t2 B
如果你喜欢彻底开源、轻量、免费，那么我强烈推荐 KeePass，它的开发社区很活跃，光是在 macOS 上，开发者们就贡献了 KyPass，MacPass，KeePassX 等多个客户端的实现，并且功能十分强大。
4 C  h" N7 j8 K, ~/ q) r6 B# n" ?; S4 d( J8 r
但如果你和我一样，除了安全性，同样在意使用体验、灵活性和便利性，本着「能力范围内选择综合素质最好的」原则，那么我推荐 1Password。
, y/ A1 x4 w- a& z! r/ r+ i. I& r# R+ [: |
1Password 并非开源，但它遵循公开规范（安全模型的白皮书），任何开发者都可以对其进行黑箱测试。
4 Z" U# t5 i7 K4 N" U  l: ?
* c% `( a) l% c" w7 c1 wDavid Schuetz 在他的博客对 1Password 的工作机制进行了极为详尽的探索，下图便是他总结的核心：# Y- ]6 |0 A4 S

# k$ m# \7 g2 O7 d/ O3 H我们只需明白，1Password 最关键的安全要素，便是我在图中红框标出的 2SKD（two-secret key derivation）。而这两个所谓的 “Secret key”，分别是主密码（Master password）和 私钥（Secret key）。
: X# H$ u1 M6 Y& s: S
* z5 J( H, y% J你不用看懂这套复杂的流程，只要抓住核心点，即，如何确保「我的密码只有我知道，即便1Password 也无法查看我的敏感信息」即可。关于这点，我会在下文设置主密码的步骤中，详细跟你解释。) s; L; E! _- I9 y, w) E

/ T# T3 B5 O. p( y4 K0 T开源是个很大的话题，它也并非一切事物的银弹。; n7 [$ ^, O, k) |
, S, b% y- p; q2 E# \  F$ Y7 i
受制于篇幅，本文我们主要讲解 1Password 的使用，如果你对开源感兴趣，以后可以单独写一篇文章。2 J$ X: j3 U& N! N: F
* u; M) \6 B) p: }7 O% i; F* w
准备就绪，接下来就开始我们的 1Password 之旅。