什么是 1Password& u7 }0 s+ {) [1 X. L/ r
2 p5 X  l1 |& ]- O( Q0 M
1Password 是由加拿大开发商 AgileBits 开发的一款密码管理软件。除了用来存放账号密码，你还可以存放包括信用卡、身份证件之类的敏感信息。根据官方的发行公告（Release Notes），第一个正式版的 1Password 1.0.0 客户端发行于2006年，距今14年。
6 h7 p7 G$ a1 O% k; d
7 P1 I% `7 }, k我们储存在 1Password 中的信息都是被加密的，任何数据在被传输前，1Password 都会使用 AES 256-bit 算法加密3次，即便是开发商 AgileBits 也无法获取。客户端和 1Password 服务器的认证和通信通过零知识证明协议加密。6 X4 d$ ^0 z% U5 O  A0 m) {
: n: L; g6 b; U5 ^# r
2014年 OpenSSL 暴露的心脏滴血漏洞（Heartbleed）漏洞对整个互联网造成了难以估量的影响，所有依赖 SSL/TLS 协议的网站或客户端，都可能因此受到攻击。当时很多使用 OpenSSL 服务的科技巨头（e.g. Google, Facebook, Amazon 以及国内各梯队的互联网公司等…）的用户敏感数据被大量 Dump，其中有不少公司甚至明文保存用户密码。如果你愿意了解更多细节，可以搜下 “Akamai secure heap “，Alex Clemmer 专门写了文章来分析这件事，过程很是曲折。! |, Y7 A8 |0 n, [4 G6 U4 a: ?) }* k
" w$ i. k1 ]: D" |: i2 |
所幸 1Password 并不建立在 SSL/TLS 之上，因此并未受到波及，官方不久后还推出暸望塔（Watchtower）功能，用来检查你使用过的哪些网站遭到数据泄露，这个功能不久后就集成到客户端中。
) w- U( ?/ o, z2 R8 c
" _: l" a# {7 L1 R& \1Password 的盈利模式完全来自用户付费，因此他们没有任何第三方广告业务，也不使用、分享或出售用户数据。1Password 严格遵守欧盟数据保护通用条例 GDPR，他们在官网隐私介绍页面详细说明了隐私策略。! _) C# C+ n* {. V  \/ |
8 V! W& Z1 i- }8 p; j0 I9 q
苹果在2018年为全球超过123,000员工部署企业版1Password。
; C. x: ~' j$ M3 g
. B. c' C9 L, |3 k+ o" r' A为什么要用 1Password1 i) p0 e5 M, K6 h6 c, z

  ]) ?$ J2 r! r4 l+ D# M, `这个问题可以拆成两部分：% U/ A( r2 ]# p+ `, p. \( a' R0 o  O

* d/ ~1 W: C! M+ T: [' r1）为什么要使用「密码管理器」；9 }$ S' m( W6 z) d; i

1 A7 |& o; j" s9 ]4 ^2）为什么要在众多密码管理器中选择  1Password？
0 U1 ~2 G: P+ m4 L0 ^4 S: u. X: O# ?$ @+ p. z: Q
对问题1，很多人习惯在所有网站都使用相同密码，而且通常包含生日年月这样非常容易被外人获得的信息。一旦其中某个网站发生数据泄露，你所有的账户都会受到牵连。即便能做到不同账号不同密码，我们为了方便记忆，设定的密码也往往强度不足。$ Y/ Z# E0 x" Y( t
; y2 w% s0 y! c. Z1 K# A
通常，高强度的好密码要满足：
) y0 f2 V3 I& G6 [) {
9 P+ e9 d' F: H: |9 G% X( G& f$ C- 长度8位及以上；
6 W/ I6 V8 l7 Y0 k0 Q4 K' |  i
1 m2 m# g8 v% ?% Q: x* R- 同时包含大写字母和小写字母；
$ Q5 p+ }' ^3 b8 ^
; q* ^7 C% u% P/ `' B! x4 u" g6 d; E- 包含1及以上的特殊符号（e.g. *^%$=…）；
& G0 N+ ~* g6 a$ d8 U& k9 q% K# j$ n& y; m& p! n6 D
- 自己能记住。
7 Z$ I% A7 n, Y0 S+ m
8 v9 c0 O1 t9 m% e; x5 y/ }1 l在使用密码管理器之前，我曾一直用「基本密码」+「特征码」来设置密码，并为此感到洋洋得意。以 Gmail 账户举例，我以基本密码 “Yishi123+-/” + 特征码 “GL”（网站域名的首尾大写字母）作为密码  “Yishi123+-/GL”；如果账户涉及财产，就换个更长的基本密码。, P! K4 M2 D! g* p% t2 k8 t, B
3 G# }2 _1 S; u
乍一看符合好密码的要求，自己也能记住，看起来比所有网站同用一个密码要强多了不是么。但这样做最多在黑客批量撞库时躲过一劫，实则没什么作用。1 o  K0 c$ R! d' [& K
# @9 P7 z9 \+ ?: ?
因为只要黑客通过社工手段定位到你个人，不管你以什么方式组合特征码、特征码有多复杂，只要规则一致的，那么其中一个账号被盗，其他的就都能顺藤摸瓜推理出来。; [9 h; t% P: g) Q

! n/ Y9 e2 Z4 o  X) C4 i因此，所谓基本密码+特征码，在安全性上形同虚设。1 h+ M* t& ^: c( P! ~" A7 L" g2 I
# c$ g1 \  J/ D! t6 t+ N4 q8 \$ V* _
有人说，那我每个网站都使用毫无规律的随机长密码。拿小本子把账号密码都记下来，按字母 a-z 给网站排序，每次登录时查下不就行了。除非本子遗失或黑客到家里盗走，我的密码都是万无一失的，也不怕撞库。+ X$ h7 E% f4 O+ K" t
3 t0 C1 {: T$ j5 L5 M. l
这个办法安全系数确实最高。某种程度上，小本子就是你自制的密码管理器，但是用起来麻烦。7 `. b* U6 a  p/ E* v
7 v; s0 L& a/ E, L' z8 N, ~
小本子丢了或损坏怎么办，人在公开场所怎么办，每天登N个网站就要手动敲N遍毫无规律的密码，诸如此类的缺点很多，余不一一…6 F! \0 U) i) \" J# k  b& b

4 v2 X3 b& G! F1 V$ Q/ n9 x而一个专业的密码管理器，就是用来解决这个问题的。( [9 E) X" t  M0 h

4 |, f3 |) W( z- q它本质上做了两件事：0 c2 p: u1 ^& [- q+ k# L

! z: w/ C' D# X3 Z1. 帮你生成足够强的随机密码；8 ]+ U; {, S( H+ I

  n8 @) Q$ j0 J, b; E5 y2. 帮你管理好这些账户，要用时出现，不用时消失。
/ e6 k5 t! M/ j
2 v# h7 p2 o% a" c9 M6 g) j对问题2，我亲身使用过的密码管理器有 1Password、LastPass,、KeePass，除此之外还有一大票优秀产品如 DashLane, RoboForm … 等，虽然没用过，但它们都有各自粉丝拥簇。/ A- e; |9 [' Z+ @% |- @4 u& G

+ k; ]6 c+ T0 \$ r* @* C如果你喜欢彻底开源、轻量、免费，那么我强烈推荐 KeePass，它的开发社区很活跃，光是在 macOS 上，开发者们就贡献了 KyPass，MacPass，KeePassX 等多个客户端的实现，并且功能十分强大。% X$ \4 N6 l% Z# O/ g2 A0 c

3 E- h  T5 [: d$ L" M( x5 a但如果你和我一样，除了安全性，同样在意使用体验、灵活性和便利性，本着「能力范围内选择综合素质最好的」原则，那么我推荐 1Password。
9 x! J) W- Q8 l4 Z  {; v: [
; I2 x- Y' Z+ J2 R3 k1Password 并非开源，但它遵循公开规范（安全模型的白皮书），任何开发者都可以对其进行黑箱测试。
3 o) S) S9 _7 e1 `0 x
1 }" t( x: _7 K9 h) B9 r: P) @David Schuetz 在他的博客对 1Password 的工作机制进行了极为详尽的探索，下图便是他总结的核心：2 `( U9 b! v% u' `
$ V& v4 k7 ]0 {$ G  N5 r
我们只需明白，1Password 最关键的安全要素，便是我在图中红框标出的 2SKD（two-secret key derivation）。而这两个所谓的 “Secret key”，分别是主密码（Master password）和 私钥（Secret key）。8 Q9 w0 k' `' @1 e' @% G* e6 H
9 Z) X/ @& M! o
你不用看懂这套复杂的流程，只要抓住核心点，即，如何确保「我的密码只有我知道，即便1Password 也无法查看我的敏感信息」即可。关于这点，我会在下文设置主密码的步骤中，详细跟你解释。
7 u. l; _  x$ D. Y2 ]% q  H: }0 l" t7 [7 i$ n
开源是个很大的话题，它也并非一切事物的银弹。
- O4 _' L& e1 n  ?, x: t8 A
8 B  k3 m$ H  e" b3 Z% k受制于篇幅，本文我们主要讲解 1Password 的使用，如果你对开源感兴趣，以后可以单独写一篇文章。
* q; R8 j, m8 |1 f" P& H
: z: [8 Q# g5 |! M准备就绪，接下来就开始我们的 1Password 之旅。