什么是 1Password# Q# {- ?# {. `" h+ V, v2 S# U
  f* ]: t% J* w8 w* v; j! |! ?
1Password 是由加拿大开发商 AgileBits 开发的一款密码管理软件。除了用来存放账号密码，你还可以存放包括信用卡、身份证件之类的敏感信息。根据官方的发行公告（Release Notes），第一个正式版的 1Password 1.0.0 客户端发行于2006年，距今14年。
5 {5 a1 r" ^. `# w. X, }
6 H3 T: B( ^6 k8 R- Y2 U我们储存在 1Password 中的信息都是被加密的，任何数据在被传输前，1Password 都会使用 AES 256-bit 算法加密3次，即便是开发商 AgileBits 也无法获取。客户端和 1Password 服务器的认证和通信通过零知识证明协议加密。- c$ Q5 d3 R# ?+ Q

' S. O$ E, T/ c% s) g4 _! k2014年 OpenSSL 暴露的心脏滴血漏洞（Heartbleed）漏洞对整个互联网造成了难以估量的影响，所有依赖 SSL/TLS 协议的网站或客户端，都可能因此受到攻击。当时很多使用 OpenSSL 服务的科技巨头（e.g. Google, Facebook, Amazon 以及国内各梯队的互联网公司等…）的用户敏感数据被大量 Dump，其中有不少公司甚至明文保存用户密码。如果你愿意了解更多细节，可以搜下 “Akamai secure heap “，Alex Clemmer 专门写了文章来分析这件事，过程很是曲折。
/ L/ ^+ @# R8 ]2 w* c& A8 w* i7 N5 R0 |0 m( @% |! {; V
所幸 1Password 并不建立在 SSL/TLS 之上，因此并未受到波及，官方不久后还推出暸望塔（Watchtower）功能，用来检查你使用过的哪些网站遭到数据泄露，这个功能不久后就集成到客户端中。
  }7 K% l) ]4 j: W
5 X' h" H$ U0 x3 o; U& c* S* s1Password 的盈利模式完全来自用户付费，因此他们没有任何第三方广告业务，也不使用、分享或出售用户数据。1Password 严格遵守欧盟数据保护通用条例 GDPR，他们在官网隐私介绍页面详细说明了隐私策略。5 P. Z: v: M" y0 z2 c
9 @( x: x$ h2 q
苹果在2018年为全球超过123,000员工部署企业版1Password。
! w: j$ |. \6 a: x
7 o7 q$ G/ ?, |$ u为什么要用 1Password
: k; w/ E" @1 ?9 `' p/ }3 l3 L. m
, l- C' d; u. M+ O& I这个问题可以拆成两部分：/ e# g4 S" i/ h1 n9 [; l: @3 r

( ^2 b' |# _8 h. }& p0 X& a1）为什么要使用「密码管理器」；
. G! {. b. Q2 ~" N* r, ?) \* y6 a, l; c3 ~2 h1 _( A! s
2）为什么要在众多密码管理器中选择  1Password？, i- u4 H/ S# J; ?# E. t8 w
$ O" C* m5 Y* K) {+ c/ D9 y8 t
对问题1，很多人习惯在所有网站都使用相同密码，而且通常包含生日年月这样非常容易被外人获得的信息。一旦其中某个网站发生数据泄露，你所有的账户都会受到牵连。即便能做到不同账号不同密码，我们为了方便记忆，设定的密码也往往强度不足。& |9 f# M. I4 A2 t

: ^: e/ g. a2 q2 k& J* L' Q通常，高强度的好密码要满足：
/ Z. f) s: s; \+ {3 _+ J: n- p, N' R1 U5 u' w
- 长度8位及以上；
, d! g  d+ r* o/ p( B5 I& o2 I( z  g: l8 p: ^% p5 X) `
- 同时包含大写字母和小写字母；
( \* I1 m# W& \# ?
. P5 ?& G8 ]( k% ?1 |5 D+ x+ h- 包含1及以上的特殊符号（e.g. *^%$=…）；
* V  c4 A# V" ^
4 u% q' N! g' T4 r. f8 G4 \- 自己能记住。$ r: K, I- {" l" t  X8 Z% s' p* K
7 I7 A! h* [' l' z" J" o4 @
在使用密码管理器之前，我曾一直用「基本密码」+「特征码」来设置密码，并为此感到洋洋得意。以 Gmail 账户举例，我以基本密码 “Yishi123+-/” + 特征码 “GL”（网站域名的首尾大写字母）作为密码  “Yishi123+-/GL”；如果账户涉及财产，就换个更长的基本密码。
& L! b7 n# _  t, a( i7 ?0 y6 i
# T/ R  w" D  I9 v" g* G7 e% B乍一看符合好密码的要求，自己也能记住，看起来比所有网站同用一个密码要强多了不是么。但这样做最多在黑客批量撞库时躲过一劫，实则没什么作用。8 n( ]7 t9 A" M6 ?2 `0 W
( ~# R2 ^8 Z6 Y6 R/ a' X& Y
因为只要黑客通过社工手段定位到你个人，不管你以什么方式组合特征码、特征码有多复杂，只要规则一致的，那么其中一个账号被盗，其他的就都能顺藤摸瓜推理出来。
+ C- B/ A% ?2 O& i1 S( j( P1 g
0 I: l; ?; e  V7 q因此，所谓基本密码+特征码，在安全性上形同虚设。
- G& B. |& \* [0 K# y+ r% T# I# q5 s7 s" A% _9 C5 A
有人说，那我每个网站都使用毫无规律的随机长密码。拿小本子把账号密码都记下来，按字母 a-z 给网站排序，每次登录时查下不就行了。除非本子遗失或黑客到家里盗走，我的密码都是万无一失的，也不怕撞库。
9 u5 `: w9 B! j$ u6 P' F
4 a% U! z/ T, {' ~' a# B这个办法安全系数确实最高。某种程度上，小本子就是你自制的密码管理器，但是用起来麻烦。# |* G9 g" ^. l

4 h+ Z7 \. l' n3 W2 e$ r小本子丢了或损坏怎么办，人在公开场所怎么办，每天登N个网站就要手动敲N遍毫无规律的密码，诸如此类的缺点很多，余不一一…& d% O8 u6 R- [1 I, g- t
# d& b3 P2 ^- z9 e5 v
而一个专业的密码管理器，就是用来解决这个问题的。, m$ J) \. K$ m
- k  L5 E% j+ r. Q
它本质上做了两件事：- j: a  s- E8 w. `" ?/ a8 B3 P" ]

* a/ E  z) ~6 v4 K2 m$ ]: h1 V% u: C1. 帮你生成足够强的随机密码；
7 S% e) o" M, B1 m, p2 T
4 @1 }0 k( w+ ~* L+ n' J2. 帮你管理好这些账户，要用时出现，不用时消失。
# K$ ?) c3 B* H% n4 S
% I4 {1 ]  K7 l: k1 v( q对问题2，我亲身使用过的密码管理器有 1Password、LastPass,、KeePass，除此之外还有一大票优秀产品如 DashLane, RoboForm … 等，虽然没用过，但它们都有各自粉丝拥簇。
. Y' ]# F" P8 P6 y* ^! D8 b
( B3 n- P' n9 n' h6 q如果你喜欢彻底开源、轻量、免费，那么我强烈推荐 KeePass，它的开发社区很活跃，光是在 macOS 上，开发者们就贡献了 KyPass，MacPass，KeePassX 等多个客户端的实现，并且功能十分强大。& C) ^& f+ M; l+ m7 J

: F8 _' M  @0 Y' h# F* A8 |( b. q但如果你和我一样，除了安全性，同样在意使用体验、灵活性和便利性，本着「能力范围内选择综合素质最好的」原则，那么我推荐 1Password。
- I9 g( i, }& h) T- s5 u% v, L3 n4 n; \( B* i3 h* M
1Password 并非开源，但它遵循公开规范（安全模型的白皮书），任何开发者都可以对其进行黑箱测试。
' j! d9 A+ s8 M& `3 K  M: \' ]
7 g# i9 p  H# x* j$ v7 \5 a& oDavid Schuetz 在他的博客对 1Password 的工作机制进行了极为详尽的探索，下图便是他总结的核心：
* c6 j, S' K* i+ o0 J2 y! \: U* P" Q0 r9 B' t
我们只需明白，1Password 最关键的安全要素，便是我在图中红框标出的 2SKD（two-secret key derivation）。而这两个所谓的 “Secret key”，分别是主密码（Master password）和 私钥（Secret key）。5 M% U2 O/ R, H1 o+ @5 P  I' K' Z

' k8 v2 s& `8 E& x7 M0 \5 h# j你不用看懂这套复杂的流程，只要抓住核心点，即，如何确保「我的密码只有我知道，即便1Password 也无法查看我的敏感信息」即可。关于这点，我会在下文设置主密码的步骤中，详细跟你解释。; I, g5 \% b( y6 V6 \$ Y
1 I9 p* _7 g; q7 p7 t
开源是个很大的话题，它也并非一切事物的银弹。: G" ]; W# s/ L5 ^0 }/ I  Q  ?
* e6 u/ @9 F9 e! k
受制于篇幅，本文我们主要讲解 1Password 的使用，如果你对开源感兴趣，以后可以单独写一篇文章。
; _+ k! y5 a" i' G
2 X/ H) l: J3 W9 s# ?准备就绪，接下来就开始我们的 1Password 之旅。