一场安全危机,一个密码应用,一种美好生活。
为什么要用 1Password?
先来回顾一下近期发生在我周遭的一些事——
【2014 年 3 月 25 日】暗黑破坏神3:夺魂之镰(Diablo3:Reaper of souls)上市,却发现伴随自己多年的台服战网账号密码竟然怎么也想不不起来,邮箱和密码提示问题带着我曾经无限的美好记忆,被遗忘在那只能魂牵梦萦却无望昨日重现的青春时光之中了。
【2014 年 3 月 27 日】祸不单行,因为一个低级错误,公司服务器账号和邮箱账号密码丢失。虽然个人和客户的隐私信息没有泄漏,但服务器被迫全线歇菜,一半以上小伙伴们的工作停滞。
【2014 年 4 月 7 日】Heartbleed 曝光。
【2014 年 4 月 12 日】彭博社报道,美国 NSA 已经利用 Heartbleed 漏洞获取信息为时数年了。
【2014 年 4 月 14 日】加拿大财政局发表声明,由于 Heartbleed,900 个纳税人的个人身份信息被从政府系统里窃取。加拿大纳税人们成为 Heartbleed 的第一个受害案例。
Life goes on, Heart is bleeding……
而以上这些,就是我购买并开始使用 1Password 的原因,只为避免下次再以这样悲伤的故事作为我文章的开头。啊~多么痛的领悟。
什么是 1Password?
1Password 是来自加拿大开发商 agilebits 的一款跨平台(Windows,Mac,Android,iPhone,iPad)密码管理应用,甚至是个人大部分信息管理应用,在业界知名已久。因为 1Password 使用的是 AES(advanced encryption standard)256 位加密,而非 OpenSSL,Heartbleed 并未对其造成影响。
agilebits 官方 blog 有应对 Heartbleed 的一些建议。4 月 16 日,他们还推出一款叫 1Password Watchtower 的工具,可以帮助鉴别出容易遭受 Heartbleed 的网站并建议用户及时更改密码。另外,他们的官网和 blog 也有很多关于 1Password 和密码、隐私保护方法的介绍和说明。
为什么要用 1Password?
回答这问题之前,先列几条密码保护的原则:
- 避免在多个不同场合使用相同的一组密码。
- 经常改换自己的密码。
- 避免相同一组密码先后重复使用,避免新修改的密码使用之前用过的。
- 避免使用一些可预测的词汇或数字号码,例如,重复的字,可查到的某个词的拼音缩写,身份证号,驾照号,某人生日,某个纪念日,亲朋或宠物的名字,个人偏好的事物等等。
- 最好创建随机密码,降低人为猜中的几率。密码位数至少 12 位。(国内许多服务或网站支持最高16位,国外多数支持 32 位以上)
- 密码中最好包括数字,符号和字母。如果支持大小写识别,最好大小写并用。
与之对比,再列出一些安全度较低的密码:
- 拼音或单词+数字:qinaide2008,niuxmima123,alexchou789
- 固定的字母或数字排列:123456,369258147,qwerty,asdfg
- 和个人信息相关的字母或数字:Alexchou1989/1/1,021-XXXXXX,+86 13XXXXX
- 系统默认的密码:111,888,000000
- 某个词汇或者某句话的拼音:woainiyiwannian1314,gongxifacai888
- 有一些小模糊的词:1l0veU,p@ssw0rd
- 重复的词或数字:456456,bugeinibugeini
- 手机号码,身份证号,驾照号,学生证号,亲朋生日、名字等等任何和个人信息相关,并且可以通过调查获取的信息。
要保证所有地方的密码都毫不重复并且牢记他们还不能混淆,再加上经常改换它们,而且还有诸多注意事项……果然是「密码虐我千百遍,我待密码如初见」啊。
面对这么一项专业技术活儿,不是每个人都是密码学专业毕业的吧?也不是每个人都有那么多时间专门用来改密码吧?
所以矛盾就在于:安全 = 麻烦事儿,省事儿 = 不安全 = 更麻烦的事儿。
如果刚才那一连串个人和世界性的事件,加上这一堆关于密码保护的麻烦事儿,还不足以回答「为什么要用 1Password?」这个问题的话,我想起来一句微软 XBox 的广告语:Life is short,Play more。
生活很美好,生命却有限,尽量把时间精力放到美好的事物和人身上总是好的。而防盗密码什么的,恐怕很难作为一种美好的事物被人们想起来。既然如此,为什么要为密码而操心呢?
1Password 的价值正在于此,就像它的名字一样,只需要「一个密码」,就可以安全又省事儿地把这些麻烦事儿都料理好。
既然 1Password 掌握了几乎所有个人信息,若是它本身不安全,岂不是「一着不慎满盘皆输」?
首先,如本文开头所说,因为 1Passwowrd 采用 AES(advanced encryption standard )256 位加密,这个加密标准本身的安全性是很高的。
其次,所有的个人信息都由且只由一个主密码(Master Password)看管,除了设置这个主密码的人,任何人都无法开启,包括应用程序开发商。所以保证这个密码的安全性够高,并且牢牢记住就够了。
最后,1Password 保存的所有数据都在本地,它提供的网络云同步数据也是加密后之后才同步。假如 iCloud 或者 Dropbox 有什么意外,这些数据都是如上所述加密的,只能被主密码(Master Password)开启,有几分飞机黑匣子的意味。这是 agilebits 官方过去针对 1Password 安全性的说明。
关于第三方登录
何为第三方登录?各位在很多网站都会见到类似场景:
国外亦是如此:
过去,登录一个新的网站服务,需要注册账号,填写邮箱,密码(如果是不太熟悉的网站还得想一个新密码),发邮件、收邮件确认等等非常麻烦。
最近几年,类似这样「用微博账号登录」的登录方式非常普遍,因为这样做可以免去新注册账号,新记住一个密码的麻烦,方便快捷。不过问题也随之而来了。
这样的第三方登录服务一般是基于 OpenID 和 OAuth 两种开放标准建立的。而这两种标准是不同的,简而言之:
-
OpenID 是关于证明、证实身份(Authentication)的,就像过安检的时候拿出身份证来看,比对是否同一个人。这是在回答「我是谁?这就是我」,是为了证实「这不是一个匿名的不可查的信息源头」,因为匿名对象和信息对网络服务商来说不好统计管理,也不利于产生价值。
-
OAuth 是关于授权、许可(Authorization)的,就像过安检的时候除了看身份证,还要求掏出兜里的东西,拿出包里的东西、手机等随身物品以便检查,这时就需要得到被检查人的许可才行。这是在回答「我同意让你对我进一步做些什么」,是为了在被授予权限的前提下,更多的获取除了账号密码以外的个人信息,例如:联系人通讯录,邮箱号,电话号,地址,照片,聊天记录,网络发言、活动记录,GPS 信息等等,来满足用户对服务的功能需要,或者「其他需要」。
OpenID 和 OAuth 是不一样的,但国内的很多网络服务商原本只需要通过 OpenID 就能解决的身份证明问题,因为或有意或无意地使用了 OAuth,从而带来了不少安全隐患。就像本来亮一下身份证就 OK,现在需要我把自己以及家里亲朋好友的户籍信息都详细报一遍,恨不能让我把家门钥匙给一把出去才行。
再加上现在移动互联网普及进程一日千里,微博、微信、QQ 还有很多其他互联网服务掌握了我们太多的个人信息,轻易授权某一方获取,人为刀俎我为鱼肉,这样真的让人放心吗?
所以又回到了之前提到的那个矛盾:安全=麻烦事儿,省事儿=不安全=更麻烦的事儿。
现在看起来,似乎选择「立即注册账号」是比选择「用XX账号登录」更麻烦,但选择前者的话,我需要提供的只是邮箱号,昵称,至多姓名,性别等等这样一些比较普通的个人信息,剩下的,就靠 1Password 帮我生成一组高安全度的密码,并且帮我把用户名和密码都记住,等我下次登录时自动填充就行。
这样,个人信息得到最大程度的保护,也让密码的安全性得到保障,同时也不需要我再为记住一堆用户名和密码而操心,一举三得,岂不快哉?
一些安全相关的细节
-
国内有些网站(例如淘宝)和一些服务或应用(例如 QQ,但微信却可以)不支持自动填充和复制粘贴密码,只能通过手动键入密码。自己的随机密码越奇葩、越不容易被盗、越安全,这个时候越感叹,加密虽易,输密不易,且用且珍惜。
-
登录有些需要输入验证码的网站(例如支付宝),1Password 记录下登录信息时会连同验证码一起记录。这就导致下一次使用 1Password 自动填充账号密码的时候,它把验证码也一并填入,这时有可能出现:账号密码已经输入正确,没有验证码输入框,但点击登录时却提示验证码错误这种滑稽的事情。这时需要在电脑端打开项目详情,把下方除了 username 和 password 以外的有信息的条目删除。
1Password 因为没有用 OpenSSL 协议程序所以不受 Heartbleed 影响,使用 1Password 可以在个人范畴提高个人信息的安全度。但应对 Heartbleed,还得处在漏洞源头的网络服务提供商们也出力才行。
到现在(2014 年 4 月 18 日 17:38)关于 Heartbleed,在众多我正在使用的网络服务中,我收到了两家(国内一家国外一家)的邮件通知。
莫名的,此刻他们俩在我浏览器收藏夹的和 iPhone,iPad 众多 apps 中的位置靠前了许多。(若说这是广告植入,竟然有厂商宁愿花钱打广告也要对用户的账号隐私安全着想,如果这样的广告能越来越多地涤荡「点这里就能上我」之流,难道不是一件人民群众喜大普奔的好事吗?)
初次进入 1Password,iPhone / iPad 版会询问选择哪一种同步服务:
-
iCloud 同步。如果是在 iPhone,iPad,Mac 之间同步数据,可以选择这个,前提是对 iCloud 在国内的速度和质量有信心的话。
-
Dropbox 同步。如果除了以上设备,还要在 Windows,Android 上使用,那 Dropbox 是个非常好的跨越几乎所有平台的同步服务。
-
Wi-Fi 同步。通过和同一 Wi-Fi 网络的 Mac 进行无线连接,备份和同步数据。
-
iTunes 传输。用 iOS 设备数据线和电脑 iTunes 连接,进行备份和数据同步。
后面两种以 iTunes 和电脑为中心的同步方式更加安全,不过可能会越来越淡出现在这个移动设备为主的后 PC 时代。总的来说,通常 Dropbox 是一个很不错的选择。
使用应用第一步就是建立一个主密码(Master Password)。这就是刚说的那搞定一切的「一个密码」,记住这 「一个密码」,就记住了一切。(忘记了?你懂的……@_@)
官方称之为 Vault(避难所,辐射系列吗^_^)。这里就是所有的登录账号,信用卡信息,个人信息的存储地。
在最左边类别标签页下,所有的项目都被分门别类;通过建立文件夹,可以自行分类;常用项目可以加入收藏夹以便快速查看。收藏夹、类别、文件夹三者分别独立,互不干扰:任何一个项目加入收藏夹或者分到文件夹,都能在类别中找到,分类旨在方便快捷。
与 iPad 的界面不同,iPhone 版是传统的经典设计:收藏夹、类别、文件夹、设置作为标签排列开来,右下角是内置浏览器,整体界面 iPhone 用户不会陌生。
不过使用过程中我多次手指从屏幕左侧边缘向右滑动返回无效,之后反应过来,这不是一个针对 iOS 7 重新设计的应用。不过今年 3 月底 Macworld 大会上,开发商说已经快了。
iPad 版横屏是三栏设计:最左侧是类似的收藏夹、类别、文件夹、设置、内置浏览器;中间一栏显示所有项目及其分类列表,以及不同分类下的项目;点击一个项目进入右边显示其详细信息。
iPad 版竖屏把横屏时中间一栏列表挪到了屏幕最上方,成为一个可以横向滑动的列表,快速字母顺序检索滚动条也由纵向变为横向。这样设计,避免了在竖屏时有限的屏幕「宽」处再塞进一栏竖直列表,相反利用了竖屏时宽裕的屏幕「长」处,把列表栏放在上方,充分利用了屏幕空间和长宽比例。
个人更喜欢喜欢 iPad 竖屏界面,这是因为:
-
搜索是常用功能,竖屏搜索栏一直位于屏幕上部。而横屏时,要么需要点击全部项目或者某个分类之后,才有搜索栏;要么搜索栏时常需要双击屏幕顶部状态栏,回到项目列表顶部,才能进入搜索栏。
-
「类别」按钮一直在屏幕左上方并且不会变化,点击之后弹出类别选项,选择一类立刻进入此类所有项目。而横屏时,中间一栏左上方是「编辑」按钮,选择了某一个类别进入之后左上方按钮变为「返回类别」,这就需要用户在按按钮时判断自己处于哪一个「层级」:是可以返回呢?还是已经在顶层了?即使 iOS6 箭头状的返回按钮已经让人习惯见到它就想起返回这个功能了、并且这个判断时间是很短的,但是,判断时间再短,也短不过习惯性动作零层级判断(因为按钮始终在固定位置、实现固定功能)。
-
横屏选择类别的过程中有一个屏幕向左滚动的动画,有了这动画就不像竖屏时的立刻进入,而是滑动进入,暗示正在进入右边下一个层级,虽然动画时间不长,但还是徒增几分拖泥带水之感。
以上吹毛求疵居多这我承认^_^,不过,让设计者和开发者把所有脑力都用在方便用户无脑使用的细节点上,这不正是 Apple 和 iOS 引以为傲同时让其他厂商难以望其项背的一贯追求吗?
综上,iOS 版 1Password 应用界面不复杂,信息表达明确,上手轻松,而且支持中文。开锁动画等细节很棒。 同时,非常期待即将到来的 1Password for iOS 7。
1. 创建高安全度密码
1Password 提供创建随机的,符合以上密码保护原则的安全度非常高的密码。指示条用颜色表明密码安全性。绿色就是安全,越好的密码绿色指示条越长。可以选择「可拼读」或「随机」密码。增减密码中数字和符号的数量。以下还有三个开关:避免模棱两可的字幕和符号;允许字母,数字,符号重复出现;自动复制到剪贴板,生成的密码立刻可以「粘贴」到某个输入框。
应用设置中可以调整自动清除剪贴板中保存的密码的时间,以保证安全性。生成高安全度密码就是 1Password 的一大功能。在第一次注册某个账号,或者更改已建立账号的密码时,填写新密码就用这生成的密码,而且无需手动写下来或者用心记住,因为 1Password 会搞定。之后需要用账号密码时,可以:
- 用 iOS 内置浏览器登录,点击自动填充账号密码。
- 桌面电脑端下载 1Password 浏览器插件,支持自动填充。
- 复制无需自己记住甚至无需自己知晓的密码,粘贴到需要的地方。
2. 使用应用内置浏览器
应用内置全功能浏览器,方便访问已经存登录信息的网站,轻点几下就能自动填充账号密码信息并且登录网站。
之后还能再用 1Password 填充个人信息,例如身份,家庭住址,信用卡等等。
若是第一次在某个网站输入账号密码并且登录,或者第一次在某个网站注册,1Password 可以帮助生成一个高安全度的密码,并且记录下登录信息,下次就能在自己都不需要知道密码的情况下登录。
同时内置浏览器还能在设置中改变浏览器种类,以应付某些需要特定浏览器才能开启的网页。支持改变的种类:Safari(iPhone,iPad,Mac),Chrome,Firefox。
由于有 iCloud 同步标签的存在,加上 Apple 对第三方浏览器的限制,Safari 是 iOS 设备上最高效也是我最常用的浏览器。如果有需要输入账号密码的时候,我通常会选择退出 Safari,启动 1Password,输入主密码(Master Password),找到需要的密码,复制返回 Safari。
这么做虽然略显繁琐,不过鉴于有 iCloud Keychain,Safari 可以帮助记录下网站的密码,所以这样的步骤在多数网站重复一次之后就一劳永逸了。除了主密码(Master Password),iOS 版还能设置一个四位数的快速解锁密码,可以自行设置主密码(Master Password)和快速解锁码自动锁定的时间。
说到 iCloud Keychain(钥匙串),对比 1Password:
-
首先那针对的是 iOS 和 Mac 设备的 Safari 浏览器,适用性没有 1Password 几乎全主流平台和浏览器支持那么广;
-
其次,1Password 提供的个人身份、银行卡、信用卡、账号密码等信息的全面组织分类编辑管理功能,不是 iCloud 钥匙串简单的自动填表填密码所能比拟的。
3. 结合 Launch Center Pro 的 URL 支持
Launch Center Pro 是我在 iPhone 和 iPad 上的常驻应用。1Password 支持 URL,所以可以通过 Launch Center Pro:
-
直接打开 1Password。
-
打开搜索框,输入需要搜索的项目名,之后快速跳转到 1Password。如果之前 1Password 是锁定状态,就需要先输入主密码(Master Password),然后显示出搜索结果。
-
打开输入框,输入需要登录的网址,之后快速跳转到 1Password 自带浏览器。同样,如果之前 1Password 是锁定状态,就需要先输入主密码(Master Password)。
另外,如果现在正在 iPhone 或者 iPad 的 Safari 上看某个网页,这时想要用 1Password 内置浏览器打开这个网页以便登录,可以通过以下步骤实现:
-
复制这一行(包括最末尾标点):
javascript:window.location='op'+(window.location.href);
-
在iPhone或者iPad的Safari(Chrome未测试)里打开任一网页,例如google.com
-
点击「箭头」分享按钮,点击书签(Bookmark),这时可以修改第一行标题栏,改为相关标题,我的是「Open in 1Password」,位置就是「个人收藏」。
-
打开浏览器书签,进入「个人收藏」,点编辑,选择刚才加入的书签「Open in 1Password」,点击第二行,全选删除,点击粘贴把之前第1步复制的那一行粘贴进去。
之后可以把这个书签挪到个人收藏里靠前的位置,下次在浏览某个网页时,点击地址栏,选择这个书签,就能跳转到 1Password 内置浏览器了。
综上所述,我们不难发现 1Password for iOS 的几点优势:
- 能够生成随机密码,安全度高;
- 帮助记录下一切与密码有关的信息,高效、可靠;
- 内置浏览器足够应付多数日常需求。
以 Windows 平台下的 1Password 为例,进入应用程序一样需要输入 Master Password。
之后可以安装 1Password 的浏览器插件,支持 IE, Chrome, Firefox 和 Safari 等主流浏览器。在浏览器中可以执行之前 iOS 版内置浏览器的一切操作,而且由于电脑机能强大,所以储存密码信息更加便捷高效,每次登陆网站时都会弹出问是否保存密码信息。
桌面版支持 Dropbox 同步,只要电脑里安装了 Dropbox 客户端,就可以在菜单里选择「Move to Dropbox」,达到与 Mac,iOS,Android 等设备同步的目的,自己的所有密码和个人信息到哪都不离身边。
使用 1Password 的这段时间,我把自己所有和密码有关的一切服务都登录了一次,把所有密码都改成 1Password 随机生成的密码,之后再重新登录一次,让它帮我记住一切。
现在,自己最重要的邮箱、服务器、各个网站服务、微博微信、Twitter、淘宝支付宝等等所有一切密码,我都不知道是什么了,我甚至恨不得连信用卡和银行账号是什么都不知道了。没有了各种密码烦扰,生活从未如此轻松美好。
为学日益,为道日损。损之又损,以至于无为,无为而无不为。能用一个方案解决问题就不需要更多,少即是多。现在,唯一需要的,就是这——
一个方案,一个密码,一种生活,1Password。
▲ 1Password 目前正在进行 Heartbleed 促销活动,所有平台全线版本均以 50% 折扣半价促销中,感兴趣的同学别错过!