如今，我们大多数活动都在线上，需要注册各种网站来享受各种服务，记住各种密码。过于简单的密码，会有泄露的风险。而过于复杂的密码，我们难以记住，时间久了自然会忘记。而记录在本本上呢，又不太方便，总不能每次使用都要翻本本吧。那么，有没有一种简单的方式，能够解决记住各种密码的痛点呢？

答案是有的，那就是密码管理软件。在尝试了一些主流的密码管理软件以后，兜兜转转还是大名鼎鼎的1password最好用。今天，我们就简单的来介绍它。

什么是 1Password?

1Password 是由加拿大开发商 AgileBits 开发的一款密码管理软件。除了用来存放账号密码，你还可以存放包括信用卡、身份证件之类的敏感信息。根据官方的发行公告（Release Notes），第一个正式版的 1Password 1.0.0 客户端发行于2006年，距今14年。

我们储存在 1Password 中的信息都是被加密的，任何数据在被传输前，1Password 都会使用 AES 256-bit 算法加密3次，即便是开发商 AgileBits 也无法获取。客户端和 1Password 服务器的认证和通信通过零知识证明协议加密。

2014年 OpenSSL 暴露的心脏滴血漏洞（Heartbleed）漏洞对整个互联网造成了难以估量的影响，所有依赖 SSL/TLS 协议的网站或客户端，都可能因此受到攻击。当时很多使用 OpenSSL 服务的科技巨头（e.g. Google, Facebook, Amazon 以及国内各梯队的互联网公司等…）的用户敏感数据被大量 Dump，其中有不少公司甚至明文保存用户密码。如果你愿意了解更多细节，可以搜下 “Akamai secure heap “，Alex Clemmer 专门写了文章来分析这件事，过程很是曲折。

所幸 1Password 并不建立在 SSL/TLS 之上，因此并未受到波及，官方不久后还推出暸望塔（Watchtower）功能，用来检查你使用过的哪些网站遭到数据泄露，这个功能不久后就集成到客户端中。

1Password 的盈利模式完全来自用户付费，因此他们没有任何第三方广告业务，也不使用、分享或出售用户数据。1Password 严格遵守欧盟数据保护通用条例 GDPR，他们在官网隐私介绍页面详细说明了隐私策略。

苹果在2018年为全球超过123,000员工部署企业版1Password。

总之，在安全性方面，1password是有保障的。

为什么要用 1Password？

文章开头我们说过，如今我们很多的活动和服务都依赖于网上获取，这不免要使用到各种账号，有了各种密码。很多人设置密码，都喜欢用生日，纪念日等，而且为了便于记住，每个网站都设置相同的密码。这些简单且自己容易记住的密码，一旦某个网站发生了数据泄露，那么所有的账号都会受到牵连。即便能够做到每个账号都设置不同的密码，但我们为了便于记忆，设定的密码强度也往往不足，还是有泄露的风险。

高强度的好密码要满足：

• 长度8位及以上；
• 同时包含大写字母和小写字母；
• 包含1及以上的特殊符号（e.g. *^%$=…）；
• 自己能记住。

以前没有密码 管理器之前，我设置的 密码 都遵循一个格式：「基本密码」+「特征码」。比如：我的基本密码是Qw08JK#^*9of ，如果我注册的是Gmail账号，那么密码就变成：Qw08JK#^*9of Gmail，后面的【Gmail】就是特征码。如果涉及到财产的账号，基本密码就是另一个更长的。

这样设置，咋一看是很安全，符合高强密码的要求。但只要黑客定位到你个人，只要你使用的密码规则一致，如果一个密码发生泄露，其他密码都很容易推理出来。

所以，基本密码」+「特征码」的密码设置方式，也存在安全风险。

有的人可能想，如果我每个网站都用随机的不同的高强度密码，并记录在本子上，那不是安全了吗？其实这样做，某种程度上这个本子就是相当于你的一个密码管理器，安全性也得到有一定的保证。但是，用起来麻烦，你能保证每次小本本都在身边吗？万一本子丢失了怎么办？每次登录网站都需要拿小本本来查询密码并输入方便吗？………

诸多缺点不一一列举。

而专业的密码管理器，就是解决这些问题的。

它本质上做了两件事：

1. 帮你生成足够强的随机密码；
2. 帮你管理好这些账户，要用时出现，不用时消失。

这两件事情，很多密码管理器都可以办到，为什么又是选择1Password呢？

我最早用的密码管理器，就是1Password，白嫖了一年多，后来需要付费了，就陆陆续续尝试了其他一些主流的密码管理器，有LastPass，Bitwarden，等等，但兜兜转转又回到1Password的怀抱，除了有安全性的考虑外，使用体验，灵活性，便利性，UI设计界面等，1Password更符合习惯。所以，我推荐1Password.

但从安全性来说，除了使用AES 256-bit 算法加密这个军队和银行都使用的加密技术以外，它还遵循公开规范（安全模型的白皮书），虽然并非开源，但任何开发者都可以对其进行黑箱测试。

David Schuetz 在他的博客对 1Password 的工作机制进行了极为详尽的探索，下图便是他总结的核心：

这些复杂的技术，普通人可看不懂，我们只需明白，1Password 最关键的安全要素，便是图中红框标出的 2SKD（two-secret key derivation）。而这两个所谓的 “Secret key”，分别是主密码（Master password）和 私钥（Secret key）。它是如何确保「我的密码只有我知道，即便1Password 也无法查看我的敏感信息」的关键。

所谓 2SKD（two-secret key derivation）机制，指的是1Password 同时使用你自己设定的主密码（Master password）和私钥（Secret key）来加密你的信息，以及在与服务器通信的过程中验证你的身份。

主密码（Master password）不会被 1Password 存储，它只有在被运行的时候短暂存在于机器的内存中。

Secret key（即图中的 Account key）在且仅在本地生成，不会上传到服务器。

因此，如果有一天你忘记了主密码或私钥中的任何一个，那么你将再也无法恢复你存储的所有账户信息，所以务必要保管好。

好了，下面我们将一步一步来开始我们的1Password之旅吧。这里我用Windows版本为例，现在1Password 各个平台的界面高度统一，其他平台的界面使用都差不多。

注册账户

登陆 1Password 官方网站：点击访问

点击「免费试用」，1Password 支持14天免费试用，只需要一个邮箱，不需要绑定信用卡。

根据需要，选择个人版&Families（家庭版本），点击免「费试用14天」。

1Password现在统一采用订阅制（Subscription），你可以按月付费或按年付费，比现在平台及设备数量，还可以实时更新最新版本。个人版本每月2.99美金，如果是家庭一起使用，一个家庭可以5个成员，价格就更加美丽了，平均每月不到1美金。

购买建议：

• 直接在官网购买，不要贪图便宜去某宝购买，基本上是黑卡，一旦被查明，无理由封号；
• 如果购买的是家庭版，不要和家庭成员以外不熟悉的人共用家庭账户，密码是敏感信息，家庭账户管理员可以回复成员被删除的内容，存在安全隐患。
• 不要使用任何来源的破解版，这一点应该很容易理解，因为你不知道破解版是否留有后面或木马。如果你不想付费，推荐使用Bitwarden，开源，基本功能免费。

继续注册，填上昵称，电子邮件，然后点击下一步。为了避免邮件推送对用户的干扰，1Password 默认取消邮件订阅的选项，保持原状就好。

输入邮箱收到的六位数验证码

设置主密码

这是最核心的密码，主密码应该不同于你在其他任何平台使用过的密码，是独一无二的。万一遗忘，1Password 也无法帮你找回，因此务必慎重。主密码在设置后随时可更改，不限次数，但前提是你记得原主密码。

设置主密码有几个原则：

• 你的主密码是独一无二的；
• 你的主密码是没有明显规律的；
• 你的主密码是自己能记住的。

你应该对自己的主密码负责，确保它牢牢存在你的脑子里。

添加付款方式，我们现在只是试用，只需点击底部的「创建账户但之后添加付款方式」

生成密钥（Secret key ），并下载保存到本地。先不要管它，稍后会讲解如何使用。

好了，到这一步，账户已经创建完毕。接下来根据自己的系统获取相应的版本后，就可以开始使用1Password了。

开启1Password

现在，我们已经完成了前期的准备工作。打开安装好的1Password，点击登录，如图：

现在，我们有三种登录方式，你可以直接输入账户详细信息登录，也可以选择在1Password.com上登录。我们选择在1Password.com上登录。就会跳转至详细步骤，如下图：

点击我找到我的账户详细信息了，就会出现如下页面：

示例账户信息从上往下分别是：

1. Web 版 1Password 登陆地址：my.1paasword.com
2. 你的登陆账户名：jiuforex@gmal.com 
3. 你的私钥 Secret key：A3-9ALEBL-KP2VTQ-……….
4. 你的主密码：*********

还记得我们前面说过的所谓 2SKD（two-secret key derivation）机制吗？这里就详细的用到了。只有填对了私钥和密码，才可以登录到我们的账户，无论是遗漏了哪一个信息，都无法进入账户。每次登录新的设备，都需要用到私钥和密码。所以，私钥和密码务必一定要保存好。一旦遗忘，就再也无法恢复我们所有的账户信息。

我们前面有一个生成密钥（Secret key ），并下载保存到本地的PDF文件，找到它。这就是 1Password 急救包（Emergency kit），这里详细记录了你的邮箱，私钥，自己可以把密码填上。现在，你有两种选择：

1. 将它打印出来，然后放到安全的地方。以防有天突然忘记主密码，你可以在图中框出的地方，将你的主密码写上作为备份。
2. 将它存放在 U 盘里，然后放到安全的地方。

总之，不要将它发到网上，也不要拍照传到云相册。

OK，现在终于来到主界面了。欢迎页面的这几个快捷选项，你以后随时可以设置，现在我们直接进入。

创建登录信息

如图所示，不出意外的话，你看到的信息应该和下图没有差别。界面包含了侧边栏，账号列表，全局搜索，新的项目等选项。

现在，该如何在1Password创建信息呢？我们可以点击【新的项目】，就会看到：「登录信息」、「安全备注」、「身份标识」等，这些类型实际上都是模板，由不同的表单组成，你可以随意组合或添加新的字段、组别等等，类型还是比较丰富的。

我们以创建「登录信息」为例，来详细讲解。比如我想存储我Exness平台的登录账号，该怎么做呢？

1. 点击「新的项目」按钮
2. 将「登录信息」标题改为Exness@Dalofly
3. 填入用户名：jiuforex@gmail.com
4. 填入Exness的登录密码：xxxx
5. 填入网站地址：exness.com

点击保存，就这么简单。

每次给账号起标题时，我都是以「网站@账号」的形式命名，例如我有两个 Exness交易账号，用户名分别是 Dalofly和 DaloAAA，那么我会以 “Exness@Dalofly”，”Exness@DaloAAA”分别命名。 这样每次要找账号时，只要在 1Password 全局搜索框输入几个字母就可以迅速定位，节约大量时间。

在填写密码时，下方都会跳出一个【创建新密码】的小钥匙选项，这个其实是1Password 自带的密码生成器，每次你创建新账号或编辑老账号时，只要点击钥匙选项，密码生成器就会弹出。

• 字符，可以控制生成密码的长度
• 数字，可以在生成的密码中插入数字
• 符号，可以在生成的密码中插入符号
• 类型，可以选择密码的类型

这个功能好处在于，可以根据需求生成想要的密码，而且保证每一个密码都不尽相同。这样即可保证密码的复杂性和唯一性。我们再也不用像以前一样绞尽脑汁去想合适的密码了。1Password 还提供免费的网页版密码生成器，如果读到这里你还没在本地安装 1Password 软件的话，不妨在网页上玩玩看。

掌握 1Password 正确的使用方式

刚才我们已经创建保存了自己的第一个登录账号。

现在你可能会有一个新的问题，自己有那么多的网站账号，难道要手动一个一个的输入创建吗？另外，平时注册网站时都是在网页上操作，以后每次要在网页上输一遍，然后打开 1Password 再输一遍吗？

当然不是。

你可以快速导入已有的账号，你可以从浏览器中导入，也可以从其他密码管理器中导入，目前支持的有Chome，Safari，Edge，LassPass等。按照提示操作即可。

如果上面的数据源都不符合，你还可以自行制作 CSV 文件来批量导入（Excel 可以导出 CSV 格式），只需要确保内容格式跟 1Password 所要求的匹配即可。

针对原先已存在的各种网站账号，我建议在你登录这个网站时把账号信息直接同步到 1Password，登录即保存，省去在软件重新输入的烦恼。

1Password 官方浏览器插件

 以下是 1Password 官方支持的全部浏览器：

选择浏览器进行安装，因为众所周知的原因，某些地区不能访问 Chrome 应用商店，因此你需要自备梯子道具。如果你能成功打开，看到的页面应该是如下：

选择人数使用最多的那个安装即可。

安装完成后，一般浏览器右上角都会出现1Password的图标，点击登录。

登录完成后，

只要你在 1Password 保存了相应网站的账号，每次登录时，登录界面上都会出现 1Password 的标志。点击后，1Password 就在对应位置弹出所有相关账号，选择你要登录的账号，OK，完成。

已经在 1Password 储存的账号，快速登录是没问题了；没在 1Password 储存的老账号，还有新注册账号又要如何同步？

这很简单，不管你是登录原有账号，或是注册新号，只要在界面的输入框旁点击 输入完账号和密码后，再点击「在 1Password 中保存」，1Password 就会自动把这个网站的账号、密码、网址、标题同步到你数据库。

如果一个网站换了网址，可以在相应的账号上添上新网址，下次用新网址登录的时候就可以自动填充账号和密码了。

保险库

保险库类似于我们现实中的保险库，里面存储我们各类信息，我们创建各种登录账号，信用卡信息，文档等，都存储在保险库里。我们在一开始创建登录信息时，默认保存账号的保险库就已经在 1Password 服务器上托管。

多个保险库

在 1Password 中，我们可以创建多个保险库来存储数据。保险库相当于数据库或文件夹，存放所有数据项。我创建了多个保险库，将其分类为私人、工作、财务、健康和其他。实现分类管理。当我们删除一个保险库时，保险库里所有的信息都会被删除。

1Password 还支持创建“共享”保险库，只有得到特别授权的人可以访问。我们可以为家人创建了一个共享保险库，允许三人访问。

使用 1Password 双重验证

双要素验证（Two-factor authentication），也称 2FA 或二次验证。它是基于时间、Token 等自然变量结合一定加密算法组合出一组动态密码，通常每30秒刷新一次，很难获取或破解。我们在一些网站的安全设置看到的二次验证，基本都是 TOTP 动态密码（Time-based one-time password）验证。

1Password 插件显示的「一次性密码」，即为 TOTP 动态密码。只要设置完成，以后再登录对应网站，1Password 不仅帮你自动填写登录信息，连动态密码也不用你烦心。

当然，如果你不喜欢 1Password 自动填写动态密码，可以选择 Google Authenticator 或其他动态密码管理软件，这里不再赘述。

WatchTower瞭望塔功能

Watchtower 是 1Password 的安全警报系统，会对弱密码、重复使用的密码、数据泄露事件中泄露的密码和有漏洞的密码发出警报，也会提醒信用卡、驾照、身份证和护照的到期日（这些信息在设备本地经过检查识别）。

如果我们的瞭望塔里面出现了警报的数据，就应该立刻停用该密码，并修改所有曾使用过该密码的账户密码。

Watchtower 的数据泄露监控器不断更新最近的数据泄露情况。1Password 从 haveibeenpwned 网站获取数据，那里的数据库收集了过往泄露事件中泄露的密码。

旅行模式

1Password 的旅行模式旨在帮助用户在跨越国境时隐藏敏感信息，对记者、研究人员、政治难民和希望保持敏感信息私密的人很有用。

旅行模式会自动隐藏 1Password 账户中的所有保险库，除了那些被标记为旅行安全的。这个模式只能在 1password 网页账户中开启。为了测试，我登录了账户，进入个人主页，点开了”旅行模式”下的旅行图标。

数据导出

在 1Password 左侧边栏上边有三个点，点击就可以看到数据导出的选项。输入主密码验证，1Password 就会将所有账号信息打包成明文文件，需要注意的是，明文文件是未加密的，任何人拿到这个文件就等于获得里面包含的全部信息，所以务必小心。

可以导出到离线的U盘里或者安全的位置环境。

如果你有朋友也使用 1Password，那么分享账号就变得异常容易。在账号的详情页点击「分享」，就可以邮件、信息、打印、Airdrop（限 Apple 设备）形式把账号发送给朋友

最后一点需要注意的是，一定要在【设置】，【安全】里把【剪贴板】一项打勾，默认也是✔的。一些敏感信息会留在系统剪贴板上，如果不慎被第三方软件（如某狗，某度等厂商的输入法）上传，有可能造成损失。

好了，基本上主要功能都介绍完毕了，其他一些功能诸如用来加密文件等，需要各位慢慢摸索。

我使用的1Password是一年80多元人民币的个人版，比官方每月2.99美金，年付35.88美金要便宜好多，当然，如果家庭版更为便宜。关于如何更为便宜的使用1Password，我们有机会再讲解。

祝你1Password 使用愉快。