如今,我们大多数活动都在线上,需要注册各种网站来享受各种服务,记住各种密码。过于简单的密码,会有泄露的风险。而过于复杂的密码,我们难以记住,时间久了自然会忘记。而记录在本本上呢,又不太方便,总不能每次使用都要翻本本吧。那么,有没有一种简单的方式,能够解决记住各种密码的痛点呢?
答案是有的,那就是密码管理软件。在尝试了一些主流的密码管理软件以后,兜兜转转还是大名鼎鼎的1password最好用。今天,我们就简单的来介绍它。
什么是 1Password?
1Password 是由加拿大开发商 AgileBits 开发的一款密码管理软件。除了用来存放账号密码,你还可以存放包括信用卡、身份证件之类的敏感信息。根据官方的发行公告(Release Notes),第一个正式版的 1Password 1.0.0 客户端发行于2006年,距今14年。
我们储存在 1Password 中的信息都是被加密的,任何数据在被传输前,1Password 都会使用 AES 256-bit 算法加密3次,即便是开发商 AgileBits 也无法获取。客户端和 1Password 服务器的认证和通信通过零知识证明协议加密。
2014年 OpenSSL 暴露的心脏滴血漏洞(Heartbleed)漏洞对整个互联网造成了难以估量的影响,所有依赖 SSL/TLS 协议的网站或客户端,都可能因此受到攻击。当时很多使用 OpenSSL 服务的科技巨头(e.g. Google, Facebook, Amazon 以及国内各梯队的互联网公司等…)的用户敏感数据被大量 Dump,其中有不少公司甚至明文保存用户密码。如果你愿意了解更多细节,可以搜下 “Akamai secure heap “,Alex Clemmer 专门写了文章来分析这件事,过程很是曲折。
所幸 1Password 并不建立在 SSL/TLS 之上,因此并未受到波及,官方不久后还推出暸望塔(Watchtower)功能,用来检查你使用过的哪些网站遭到数据泄露,这个功能不久后就集成到客户端中。
1Password 的盈利模式完全来自用户付费,因此他们没有任何第三方广告业务,也不使用、分享或出售用户数据。1Password 严格遵守欧盟数据保护通用条例 GDPR,他们在官网隐私介绍页面详细说明了隐私策略。
苹果在2018年为全球超过123,000员工部署企业版1Password。
总之,在安全性方面,1password是有保障的。
为什么要用 1Password?
文章开头我们说过,如今我们很多的活动和服务都依赖于网上获取,这不免要使用到各种账号,有了各种密码。很多人设置密码,都喜欢用生日,纪念日等,而且为了便于记住,每个网站都设置相同的密码。这些简单且自己容易记住的密码,一旦某个网站发生了数据泄露,那么所有的账号都会受到牵连。即便能够做到每个账号都设置不同的密码,但我们为了便于记忆,设定的密码强度也往往不足,还是有泄露的风险。
高强度的好密码要满足:
- 长度8位及以上;
- 同时包含大写字母和小写字母;
- 包含1及以上的特殊符号(e.g. *^%$=…);
- 自己能记住。
以前没有密码 管理器之前,我设置的 密码 都遵循一个格式:「基本密码」+「特征码」。比如:我的基本密码是Qw08JK#^*9of ,如果我注册的是Gmail账号,那么密码就变成:Qw08JK#^*9of Gmail,后面的【Gmail】就是特征码。如果涉及到财产的账号,基本密码就是另一个更长的。
这样设置,咋一看是很安全,符合高强密码的要求。但只要黑客定位到你个人,只要你使用的密码规则一致,如果一个密码发生泄露,其他密码都很容易推理出来。
所以,基本密码」+「特征码」的密码设置方式,也存在安全风险。
有的人可能想,如果我每个网站都用随机的不同的高强度密码,并记录在本子上,那不是安全了吗?其实这样做,某种程度上这个本子就是相当于你的一个密码管理器,安全性也得到有一定的保证。但是,用起来麻烦,你能保证每次小本本都在身边吗?万一本子丢失了怎么办?每次登录网站都需要拿小本本来查询密码并输入方便吗?………
诸多缺点不一一列举。
而专业的密码管理器,就是解决这些问题的。
它本质上做了两件事:
- 帮你生成足够强的随机密码;
- 帮你管理好这些账户,要用时出现,不用时消失。
这两件事情,很多密码管理器都可以办到,为什么又是选择1Password呢?
我最早用的密码管理器,就是1Password,白嫖了一年多,后来需要付费了,就陆陆续续尝试了其他一些主流的密码管理器,有LastPass,Bitwarden,等等,但兜兜转转又回到1Password的怀抱,除了有安全性的考虑外,使用体验,灵活性,便利性,UI设计界面等,1Password更符合习惯。所以,我推荐1Password.
但从安全性来说,除了使用AES 256-bit 算法加密这个军队和银行都使用的加密技术以外,它还遵循公开规范(安全模型的白皮书),虽然并非开源,但任何开发者都可以对其进行黑箱测试。
David Schuetz 在他的博客对 1Password 的工作机制进行了极为详尽的探索,下图便是他总结的核心:
这些复杂的技术,普通人可看不懂,我们只需明白,1Password 最关键的安全要素,便是图中红框标出的 2SKD(two-secret key derivation)。而这两个所谓的 “Secret key”,分别是主密码(Master password)和 私钥(Secret key)。它是如何确保「我的密码只有我知道,即便1Password 也无法查看我的敏感信息」的关键。
所谓 2SKD(two-secret key derivation)机制,指的是1Password 同时使用你自己设定的主密码(Master password)和私钥(Secret key)来加密你的信息,以及在与服务器通信的过程中验证你的身份。
主密码(Master password)不会被 1Password 存储,它只有在被运行的时候短暂存在于机器的内存中。
Secret key(即图中的 Account key)在且仅在本地生成,不会上传到服务器。
因此,如果有一天你忘记了主密码或私钥中的任何一个,那么你将再也无法恢复你存储的所有账户信息,所以务必要保管好。
好了,下面我们将一步一步来开始我们的1Password之旅吧。这里我用Windows版本为例,现在1Password 各个平台的界面高度统一,其他平台的界面使用都差不多。
注册账户
登陆 1Password 官方网站:点击访问
点击「免费试用」,1Password 支持14天免费试用,只需要一个邮箱,不需要绑定信用卡。
根据需要,选择个人版&Families(家庭版本),点击免「费试用14天」。
1Password现在统一采用订阅制(Subscription),你可以按月付费或按年付费,比现在平台及设备数量,还可以实时更新最新版本。个人版本每月2.99美金,如果是家庭一起使用,一个家庭可以5个成员,价格就更加美丽了,平均每月不到1美金。
购买建议:
- 直接在官网购买,不要贪图便宜去某宝购买,基本上是黑卡,一旦被查明,无理由封号;
- 如果购买的是家庭版,不要和家庭成员以外不熟悉的人共用家庭账户,密码是敏感信息,家庭账户管理员可以回复成员被删除的内容,存在安全隐患。
- 不要使用任何来源的破解版,这一点应该很容易理解,因为你不知道破解版是否留有后面或木马。如果你不想付费,推荐使用Bitwarden,开源,基本功能免费。
继续注册,填上昵称,电子邮件,然后点击下一步。为了避免邮件推送对用户的干扰,1Password 默认取消邮件订阅的选项,保持原状就好。
输入邮箱收到的六位数验证码
设置主密码
这是最核心的密码,主密码应该不同于你在其他任何平台使用过的密码,是独一无二的。万一遗忘,1Password 也无法帮你找回,因此务必慎重。主密码在设置后随时可更改,不限次数,但前提是你记得原主密码。
设置主密码有几个原则:
- 你的主密码是独一无二的;
- 你的主密码是没有明显规律的;
- 你的主密码是自己能记住的。
你应该对自己的主密码负责,确保它牢牢存在你的脑子里。
添加付款方式,我们现在只是试用,只需点击底部的「创建账户但之后添加付款方式」
生成密钥(Secret key ),并下载保存到本地。先不要管它,稍后会讲解如何使用。
好了,到这一步,账户已经创建完毕。接下来根据自己的系统获取相应的版本后,就可以开始使用1Password了。
开启1Password
现在,我们已经完成了前期的准备工作。打开安装好的1Password,点击登录,如图:
现在,我们有三种登录方式,你可以直接输入账户详细信息登录,也可以选择在1Password.com上登录。我们选择在1Password.com上登录。就会跳转至详细步骤,如下图:
点击我找到我的账户详细信息了,就会出现如下页面:
示例账户信息从上往下分别是:
- Web 版 1Password 登陆地址:my.1paasword.com
- 你的登陆账户名:jiuforex@gmal.com
- 你的私钥 Secret key:A3-9ALEBL-KP2VTQ-……….
- 你的主密码:*********
还记得我们前面说过的所谓 2SKD(two-secret key derivation)机制吗?这里就详细的用到了。只有填对了私钥和密码,才可以登录到我们的账户,无论是遗漏了哪一个信息,都无法进入账户。每次登录新的设备,都需要用到私钥和密码。所以,私钥和密码务必一定要保存好。一旦遗忘,就再也无法恢复我们所有的账户信息。
我们前面有一个生成密钥(Secret key ),并下载保存到本地的PDF文件,找到它。这就是 1Password 急救包(Emergency kit),这里详细记录了你的邮箱,私钥,自己可以把密码填上。现在,你有两种选择:
- 将它打印出来,然后放到安全的地方。以防有天突然忘记主密码,你可以在图中框出的地方,将你的主密码写上作为备份。
- 将它存放在 U 盘里,然后放到安全的地方。
总之,不要将它发到网上,也不要拍照传到云相册。
OK,现在终于来到主界面了。欢迎页面的这几个快捷选项,你以后随时可以设置,现在我们直接进入。
创建登录信息
如图所示,不出意外的话,你看到的信息应该和下图没有差别。界面包含了侧边栏,账号列表,全局搜索,新的项目等选项。
现在,该如何在1Password创建信息呢?我们可以点击【新的项目】,就会看到:「登录信息」、「安全备注」、「身份标识」等,这些类型实际上都是模板,由不同的表单组成,你可以随意组合或添加新的字段、组别等等,类型还是比较丰富的。
我们以创建「登录信息」为例,来详细讲解。比如我想存储我Exness平台的登录账号,该怎么做呢?
- 点击「新的项目」按钮
- 将「登录信息」标题改为Exness@Dalofly
- 填入用户名:jiuforex@gmail.com
- 填入Exness的登录密码:xxxx
- 填入网站地址:exness.com
点击保存,就这么简单。
每次给账号起标题时,我都是以「网站@账号」的形式命名,例如我有两个 Exness交易账号,用户名分别是 Dalofly和 DaloAAA,那么我会以 “Exness@Dalofly”,”Exness@DaloAAA”分别命名。 这样每次要找账号时,只要在 1Password 全局搜索框输入几个字母就可以迅速定位,节约大量时间。
在填写密码时,下方都会跳出一个【创建新密码】的小钥匙选项,这个其实是1Password 自带的密码生成器,每次你创建新账号或编辑老账号时,只要点击钥匙选项,密码生成器就会弹出。
- 字符,可以控制生成密码的长度
- 数字,可以在生成的密码中插入数字
- 符号,可以在生成的密码中插入符号
- 类型,可以选择密码的类型
这个功能好处在于,可以根据需求生成想要的密码,而且保证每一个密码都不尽相同。这样即可保证密码的复杂性和唯一性。我们再也不用像以前一样绞尽脑汁去想合适的密码了。1Password 还提供免费的网页版密码生成器,如果读到这里你还没在本地安装 1Password 软件的话,不妨在网页上玩玩看。
掌握 1Password 正确的使用方式
刚才我们已经创建保存了自己的第一个登录账号。
现在你可能会有一个新的问题,自己有那么多的网站账号,难道要手动一个一个的输入创建吗?另外,平时注册网站时都是在网页上操作,以后每次要在网页上输一遍,然后打开 1Password 再输一遍吗?
当然不是。
你可以快速导入已有的账号,你可以从浏览器中导入,也可以从其他密码管理器中导入,目前支持的有Chome,Safari,Edge,LassPass等。按照提示操作即可。
如果上面的数据源都不符合,你还可以自行制作 CSV 文件来批量导入(Excel 可以导出 CSV 格式),只需要确保内容格式跟 1Password 所要求的匹配即可。
针对原先已存在的各种网站账号,我建议在你登录这个网站时把账号信息直接同步到 1Password,登录即保存,省去在软件重新输入的烦恼。
1Password 官方浏览器插件
以下是 1Password 官方支持的全部浏览器:
选择浏览器进行安装,因为众所周知的原因,某些地区不能访问 Chrome 应用商店,因此你需要自备梯子道具。如果你能成功打开,看到的页面应该是如下:
选择人数使用最多的那个安装即可。
安装完成后,一般浏览器右上角都会出现1Password的图标,点击登录。
登录完成后,
只要你在 1Password 保存了相应网站的账号,每次登录时,登录界面上都会出现 1Password 的标志。点击后,1Password 就在对应位置弹出所有相关账号,选择你要登录的账号,OK,完成。
已经在 1Password 储存的账号,快速登录是没问题了;没在 1Password 储存的老账号,还有新注册账号又要如何同步?
这很简单,不管你是登录原有账号,或是注册新号,只要在界面的输入框旁点击 输入完账号和密码后,再点击「在 1Password 中保存」,1Password 就会自动把这个网站的账号、密码、网址、标题同步到你数据库。
如果一个网站换了网址,可以在相应的账号上添上新网址,下次用新网址登录的时候就可以自动填充账号和密码了。
保险库
保险库类似于我们现实中的保险库,里面存储我们各类信息,我们创建各种登录账号,信用卡信息,文档等,都存储在保险库里。我们在一开始创建登录信息时,默认保存账号的保险库就已经在 1Password 服务器上托管。
多个保险库
在 1Password 中,我们可以创建多个保险库来存储数据。保险库相当于数据库或文件夹,存放所有数据项。我创建了多个保险库,将其分类为私人、工作、财务、健康和其他。实现分类管理。当我们删除一个保险库时,保险库里所有的信息都会被删除。
1Password 还支持创建“共享”保险库,只有得到特别授权的人可以访问。我们可以为家人创建了一个共享保险库,允许三人访问。
使用 1Password 双重验证
双要素验证(Two-factor authentication),也称 2FA 或二次验证。它是基于时间、Token 等自然变量结合一定加密算法组合出一组动态密码,通常每30秒刷新一次,很难获取或破解。我们在一些网站的安全设置看到的二次验证,基本都是 TOTP 动态密码(Time-based one-time password)验证。
1Password 插件显示的「一次性密码」,即为 TOTP 动态密码。只要设置完成,以后再登录对应网站,1Password 不仅帮你自动填写登录信息,连动态密码也不用你烦心。
当然,如果你不喜欢 1Password 自动填写动态密码,可以选择 Google Authenticator 或其他动态密码管理软件,这里不再赘述。
WatchTower瞭望塔功能
Watchtower 是 1Password 的安全警报系统,会对弱密码、重复使用的密码、数据泄露事件中泄露的密码和有漏洞的密码发出警报,也会提醒信用卡、驾照、身份证和护照的到期日(这些信息在设备本地经过检查识别)。
如果我们的瞭望塔里面出现了警报的数据,就应该立刻停用该密码,并修改所有曾使用过该密码的账户密码。
Watchtower 的数据泄露监控器不断更新最近的数据泄露情况。1Password 从 haveibeenpwned 网站获取数据,那里的数据库收集了过往泄露事件中泄露的密码。
旅行模式
1Password 的旅行模式旨在帮助用户在跨越国境时隐藏敏感信息,对记者、研究人员、政治难民和希望保持敏感信息私密的人很有用。
旅行模式会自动隐藏 1Password 账户中的所有保险库,除了那些被标记为旅行安全的。这个模式只能在 1password 网页账户中开启。为了测试,我登录了账户,进入个人主页,点开了”旅行模式”下的旅行图标。
数据导出
在 1Password 左侧边栏上边有三个点,点击就可以看到数据导出的选项。输入主密码验证,1Password 就会将所有账号信息打包成明文文件,需要注意的是,明文文件是未加密的,任何人拿到这个文件就等于获得里面包含的全部信息,所以务必小心。
可以导出到离线的U盘里或者安全的位置环境。
如果你有朋友也使用 1Password,那么分享账号就变得异常容易。在账号的详情页点击「分享」,就可以邮件、信息、打印、Airdrop(限 Apple 设备)形式把账号发送给朋友
最后一点需要注意的是,一定要在【设置】,【安全】里把【剪贴板】一项打勾,默认也是✔的。一些敏感信息会留在系统剪贴板上,如果不慎被第三方软件(如某狗,某度等厂商的输入法)上传,有可能造成损失。
好了,基本上主要功能都介绍完毕了,其他一些功能诸如用来加密文件等,需要各位慢慢摸索。
我使用的1Password是一年80多元人民币的个人版,比官方每月2.99美金,年付35.88美金要便宜好多,当然,如果家庭版更为便宜。关于如何更为便宜的使用1Password,我们有机会再讲解。
发表回复