说实话,写一篇 1Password 的体验报告远比写其他两个应用的压力来得大,但是,作为一名负责任的撰稿人,我认为有必要向从未使用过 1Password 的新用户详详细细地剖析这款应用,这么做的理由很简单:它值得每一位注重个人隐私的用户购买使用。对于 1Password 老用户,我想或许本文还有些值得你了解的知识点,毕竟 1Password 是款非常值得摸索的工具。
写在前面
没有英语基础的小伙伴不必担心汉化问题,官方早在 4.0.2 版本就已经更新支持「简体中文」。 另外 1Password 在用户界面上也下了不少功夫,去年及时地适配了 iOS 7,今年又在第一时间更新了 iOS 8 的适配版本,并且在 iPhone 6/Plus 发布后迅速兼容了这两款设备,界面同样也适应 iPad 尺寸大小,因此目前所有 iOS 8 用户都可以放心地使用 1Password。
此外,建议从未使用过 1Password 的读者先前往 App Store 下载应用,然后根据本文指点逐步体验各项功能,以达到充分了解本应用的目的。
开始使用
首次打开有一系列提示,新用户请点击「创建新保险库」,并输入「主密码」及「密码提示」。但是,千万别学笔者随意键入提示内容,因为万一真的碰到忘记主密码的情况,那可就得不偿失了!
与此同时,这里的主密码也不是 QQ 密码能够相提并论的,因为你时刻都要牢记一条原则:主密码不仅代表了一组密码,还代表了关乎个人隐私的一串密码,可能是十组,也可能是一百组,因人而异;关键时刻,只要知道主密码,那么所有的密码都能够找回,相反,如果只回忆起一组密码,那你可能会损失剩下所有的密码,也就是说,主密码是无论如何都不能忘记的。
创建「主密码」时需要注意什么?第一,不能是正在使用的密码;第二,不能只用纯数字或纯字母作为密码;第三,密码要区分大小写;第四,密码不能过分规律化,例如:生日 + 姓名缩写 + 身份证后 X 位,万一被不法分子嗅探到,那么被窃取的就有可能涉及到更多隐私。
如何取一个合格的原始密码?首先要保证它能且仅能被你一个人轻易地记起,但密码内容不能提到隐私信息,例如:姓名、身份证、手机号、银行卡等。筛选了这些内容后,其实还有很多组合可以尝试,举些例子,比如:历任男(女)朋友的姓名首字母、心爱之物的英文拼写、某位崇拜的明星的出生地,等等。密码中的数字部分可以参考地图、坐标、时间、广播频段等。总之,不暴露个人隐私,方便回忆就对了。
如何选择密码的种类?这里推荐用 Base64 加密算法,推荐理由是它的使用范围非常广泛,在忘记密码时可以轻松找到转码工具,加密后得到的数据格式,也完全符合作为密码使用的规范,且遵循了以上提到的注意事项,故荐之。
俗话说:解铃人还需系铃人。设置一个合适的「自动锁定」时间能实现安全和方便的完美融合,否则就会导致两种情况:反复输入密码、设备失去密码保护。为更好地帮助读者理解,这里的设置方法将在下文中详述。
不知出于什么缘故,「保持同步」设置没有被译成中文,那就麻烦读者将就着看笔者的翻译吧。Email 顾名思义,是指电子邮件,文本框内输入邮件地址,确认后会收到官方发送的与软件使用技巧、活动、更新提示相关的资讯,没有需求的用户建议忽略。
iCloud 是由苹果开发的云端服务,适用于 iOS、Mac 及 PC 设备。与其关联的还有一项被称为「云存储方案」的 iCloud Drive,相当于「网络硬盘」,用户可以通过免费或付费方案拓展网盘空间以存储更多文档。
是否开启 iCloud 同步?如果你的 iPhone 在升级至 iOS 8 后开启了 iCloud Drive 功能,但 Mac 电脑安装的不是 OS X Yosemite 系统,那么这里就不建议新用户开启该选项了,因为 iCloud Drive 数据只能在 iOS 8 与 OS X Yosemite 之间同步(Windows 用户除外)。(了解更多详情,可继续阅读《升级至 iOS 8 后请谨慎开启 iCloud Drive》)
老用户的初步设置则简单许多,点击「同步现有保险库」后软件会自动搜索 iCloud 数据,点击继续并输入 1Password 数据库密码,等待同步完成即可。该步骤同样可以还原之前上传过的数据,但如果你的情况与上文中提到的一样,那么可能会搜索不到数据,真的发生了也别着急,下文会提供弥补办法。
加密
开发商在 1Password 中以「保险库」命名自己的加密数据存储器,它真的名符其实吗?1Password 使用的是 AES-256 bit 算法,是美国联邦政府采用的一种区块加密标准,它共有 128、192 和 256 bit 三种密钥的版本,其中属 256 bit 算法最难破解,而相对最容易被破解的 128 bit 也需要「超级电脑」这样的设备才能进行暴力破解,所以数据的安全能得到保障。
(除了上述的 AES-256 加密方法外,在 1Password 官网中笔者发现它还支持 PBKDF2、HMAC、SHA512 等其他三种算法。我身为密码学的门外汉,这方面知识能告诉大家的也就这些了,感兴趣的读者可以自行 Google 或去 Wikipedia 上搜索)
其实说了半天,只用一句话就能解释清楚:开发商不会获得用户的个人信息,同样也不会为外人所知,一切数据都掌握在「主密码」提供的保护下,用户自己才是最值得信任的「保险库」。
主界面
1. 收藏夹 & 整理
进入主界面,底栏最左边的「收藏夹」是用户挑选出常用的或相对重要的隐私数据,将其统一显示在这一栏中,方便快速查阅和管理。若整理出来的数据量依然庞大,建议用第三个「整理」功能代替,因为它支持的「文件夹」和「标签」功能可以更为轻松地达到目的。
注意:「自定义整理」需要用户支付 ¥68 元解锁「专业版功能」后方可获得。由于「收藏夹」和「整理」在功能上的表现比较类似,因此一并介绍,下文中将不再赘述。
2. 类别
接下来是「类别」功能,它是主界面的核心功能之一,这里可以添加 & 编辑各类隐私信息。点击右上角的「+」加号键,选择需要添加的数据类别,进入后输入相关信息并点击「完成」即可。
解锁所有类别(例如:无线路由、软件许可)需要通过内购解锁专业版功能,方可获得。
添加信息时,点击下方的「显示密码公式」(效果见上图),这里的密码是由 1Password 自动生成的,用户可以根据习惯,自定义密码「长度」、包含的「数字」以及「符号」的比例,这样的密码随机性强、保密性好,兼容性高,适用于各种场合的使用,尤其适合不知道该取什么密码的用户。同样,该功能需要购买专业版才可解锁。
编辑模式下,你也可以放弃原来的密码,通过 1Password 生成并重新修改。其安全系数取决于下方的「黄绿色进度条」,黄色代表密码长度较短且保密性较差,绿色更佳。完成后点击「完成」保存;若没有这方面的需求,请点击「取消」返回。
在决定是否勾选「复制到剪贴板」前,有两种情况需要读者考虑到:第一,如果勾选了,那么之后在「设置」中务必要缩短「清除剪贴板」的时间;第二,如果不勾选,那么在手动输入密码时,很有可能因为组合的不规律导致无法完全记诵,继而出现反复切换窗口的情况,影响了使用效率。因此,笔者建议考虑第一种情况。
3. 1Browser & Safari 扩展
1Browser 是 1Password 的内置浏览器,在 iOS 7 时代被我们只能用它来自动填充用户名和密码,效果与桌面端的浏览器插件相同,那时的 Safari 浏览器与 1Password 互不关联,但在今年的 WWDC 2014 后,现象得到了改善,这都要归功于 iOS 8 的系统新特性:App Extensions。
App Extensions(应用扩展) 是 iOS 8 新发布的一种对几个固定系统区域的扩展机制,它可以在一定程度上弥补 iOS 的沙盒机制对应用间通信的限制。
应用扩展在一定程度上弥补了 iOS 的沙盒限制,为网络浏览带来了更佳的体验。现在,用户可以直接在 Safari 中实现 1Browser 的效果。
如何在 Safari 中启用 1Password 扩展?在 Safari 中点击底栏「分享」图标,在弹出的分享菜单第三栏滑动至最右侧的「更多」,选择它进入扩展编辑列表,在其中勾选启用「1Password」选项。启用之后,就可以在分享菜单中找到 1Password 的「自动填充」按钮(见下图),点击后输入主密码(或 Touch ID)并选择填充项目,那么你的登录信息即可自动填入网页表单中。
4. Touch ID 指纹解锁
值得一提的是,在 1Password 5.x 版本中还支持 Touch ID API ,用户可直接通过「指纹识别」解锁 1Password。但开启「Touch ID」并不是替代了「主密码」,而是在输入主密码后的最多 1 小时(最少 1 分钟,自由设定)的闲置时间内,再次进入应用就会使用指纹快速解锁,而超过了设定的闲置时间,则需要重新输入你 1Password 的主密码。也就是说,新版引入的 Touch ID 特性替代了此前的 PIN 码,并大大提高了其安全性。(PIN 码相关内容会在下文中介绍)
此外,如果你希望经常使用 Touch ID 来解锁 1Password 而非主密码,那么除了在 1Password 的「设置」-「安全」中开启「Touch ID」功能之外,请记得将上方的「密码有效时间」选项设置一个尽可能长的时间,如果过短,1Password 仍会频繁要求你输入主密码;不过如果过长(最长可设为 30 天),小心忘掉主密码哟!
设置列表
1. 1Browser 与 Safari 扩展的区别
其实,经过反复琢磨后笔者还是发现了 Safari Extension 与 1Browser 的不同之处,也就是从这里开始,笔者将向大家介绍本文的另一块内容:设置列表。先从 1Browser 的设置项开始说起,点击「1 个浏览器」(其实就是指 1Browser,翻译较为生硬)找到其设置项。
「自动提交登陆信息」就是笔者前文中提到的不同之处,因为虽然 Safari 浏览器能直接支持 1Password 的「自动填充」功能,但其依然不允许加入「自动点击提交按钮」的功能,而内置的 1Browser 浏览器是可以做到的,这就是区别。
下方的「User Agent」类似于 Mac 版 Safari 里的「用户代理」,这是什么功能?用户代理就是改变你的「身份」,让浏览器做出不同的网页兼容行为,比如说,当你的身份为 Safari(iPhone),那么就会显示手机页面;修改为 Safari(Mac)后,网页就会显示桌面版页面。有些网页比较特殊,适合用 Firefox 或 Chrome 浏览,那么开启对应的用户代理即可实现兼容。
还有两个选项:「动画显示填写」和「清除网络数据」。前者就是个单纯的动画,把自动填充时的生硬效果渲染得稍显活跃些,可以关闭;后者将删除 1Password 中网站访问时储存的 Cookies 和其他数据。(不经常用 1Browser 的小伙伴没事可以清理一下)
介绍完 1Browser 后,为方便读者理清思绪,接下来的内容会按照设置列表的排序一一详述。
2. 数据库
第一项功能为「数据库」,用户可以选择其一作为「主要」数据库,这部手机当前的数据库是由 iCloud 同步的,所以新的「保险柜」只能靠 Dropbox 同步添加(可以同步多个库,需要内购专业版解锁)。一般情况下,用户会准备两个保险库,一个为工作用、一个为家庭用,但无论有多少都可以与家人共享,时刻保持同步。
注意:该功能的实现要依赖 iOS 8 的「家人共享」特性,否则将失效。另外,截至完稿,由于 Dropbox 在国内大陆地区的访问限制,可能需要通过技术手段才能实现 Dropbox 的备份 & 同步,请读者自行解决该问题。
3. 安全
「安全」里的设置项比较多,这里先从「密码有效时间」和「退出时锁定」开始。1Password 的运行规则是:锁屏后自动上锁,在不锁屏的情况下,到达预设时间后自动上锁。不同的设定时间对应不一样的使用习惯,简单地说,能做到及时锁屏的人,可以合理地延长「密码有效时间」,否则不方便;但做不到的人还是建议考虑缩短。
不过,该选项默认的最短自锁时间为 1 分钟,如果你身边真的有如此没节操的人想要窥探隐私信息,那么开启「退出时锁定」,或在手机离手后点击「立即锁定」就成为了必须。总之,不要在信息暴露的情况下将手机交付给其他人。
如果你的设备并没有 Touch ID,开发商提供了另外一种解决方案:使用 PIN 码。PIN 码的格式为四位纯数字,与 iOS 的「简单密码」概念相同,但还是另取一个为佳。由于 PIN 码是四位纯数字密码,方便输入,因此这里可以把闲置时间调短,不超过「密码有效时间」即可。
「清除剪贴板」是项很必要的功能,在 iOS 8 之前,很多用户往往会选择先在 1Password 中复制密码,再到 Safari 中粘贴,其实这样很容易导致极大的风险,因为有些应用及 Cydia 插件会抓取剪贴板内容,识别后做出快捷操作,但如果被识别的正好是密码,万一泄露,后果可想而知。
使用次数较少的用户,建议将清理时间调整为 30 秒。
4. 同步
之前在说「数据库」的时候,介绍了 iCloud 和 Dropbox 两种同步方式,它们虽然简单,但对设备和网络环境有着不同程度的要求,好在「同步」中还有第三种方案:「Wi-Fi 同步」。即使操作起来稍显繁琐,但成功率是毋庸置疑的,而且不需要互联网支持。整个同步过程很简单:打开桌面端「Wi-Fi 同步」功能,软件会自动生成密码,打开移动端搜索桌面设备,找到后输入密码,点击「现在同步」即可。
注意:与「数据库」不同,这里的同步方式只能选择其一,且之后的同步会覆盖之前的数据,为防止数据丢失,请读者务必牢记!
5. 显示
在「显示」设置里别忘了开启「隐藏密码」功能,主要是为了防止偷窥或拍照;其次,「显示富图标」(应该是「显示丰富图标」,渣翻译)说白了,就是增加个定制图标。如果「登陆信息」使用的站点图标分辨率过低,反而影响了美感,所以可开可不开。
6. 高级
设置列表的最后是 1Password 的「高级」功能,其中共有:排除故障、使用 iOS 钥匙串、Prompt to open websites、语言、创建备份等五项特性。除此之外,还有三项用红色字体标示的「请勿随意触发」的按键,它们是:擦除数据和设置、抹掉 iCloud 数据、Remove Purchase(恢复至普通版)。(如无必要千万别神经质乱点,除非你没事想玩刺激......)
「排除故障」是用来发送诊断报告和日志信息的,勾选日志项目可以开启数据反馈,否则不会发送;诊断报告必须点击按键,以邮件的方式手动发送,不会自动发送。
顺便一提,对开发者而言,用户的反馈是非常重要的。因为很多情况下碰到的软件 BUG 都是来自用户而不是开发者本人,只有用户反馈了这些数据,后者才能根据错误代码进行修正,并在接下来的版本中更新弥补漏洞,不然的话就会导致恶性循环,严重点甚至会影响到整个生态系统!所以,如果开发者提出这方面的请求,作为用户的我们还是积极配合比较好。
接下来说说「iOS 钥匙串」选项:
如果之前启用了「PIN 码」功能,那么最好勾选「使用 iOS 钥匙串」,这样 PIN 码则更加可靠。
看了 1Password 官方的说明,是不是就直接勾选了?不着急,这里还产生了个问题:什么是 Keychain?苹果官方释义为 iCloud 钥匙串,一个应用在 Mac & iOS 平台的个人密码管理系统,它不仅能记住帐户信息,还会针对你的在线帐户提供独特的、难猜的密码建议。当你需要登录网站或在线购物时,Safari 可以自动输入这些信息。在所有 iOS 7 设备和 Mac 电脑上,你都可以使用这项功能,而且得益于 AES-256 bit 加密技术,你的信息将极为安全。
看得出来,iOS Keychain 的加密、数据保存方式与 1Password 相似,皆有所保障。但是,由于某些技术方面的原因,很多专业人士都推荐 1Password 而不是 iCloud,所以这个选项主要看你个人意愿,笔者在此就不给出具体建议了。
最后还有一个未能翻译过来的选项:Prompt to open websites。意思是说,当 1Password 检测到剪贴板里有合法网址时,会自动跳出「是否打开链接」的提示,点击后可以快速通过 1Browser 访问。该选项建议开启,因为这是一次性的,你不必担心 1Password 会反复请求,直到剪贴板出现新的网址。
1Password 与第三方应用的扩展 API
除了上述功能外,开发商还为用户提供了一项非常贴心的功能,即加入对第三方应用的支持。事实上这些 App 很早之前就已经兼容了 1Password,因为只需在其应用内生效,所以直接调用 1Password 提供的内置 API 即可实现。点击这里 可查看更多支持 1Password 的应用程序。
写文心得
感谢开发商 AgileBits Inc. 为 iOS & Mac 等平台开发了如此优秀的密码型个人隐私保护应用 1Password。之前在面对 Heartbleed 漏洞时,1Password 不负众望且出色地完成了它的「使命」。就因为 1Password 高效的性能和安全的保障,使得用户在处理个人密码隐私的问题上不再「谈虎色变」,它的出现也为互联网安全领域注入了一股不可多得的新鲜生命,既刺激着生态系统,也时刻告诫用户个人隐私的重要性。
联系作者
若你对本文的语句表达有建议或不理解处,欢迎随时联系笔者微博及邮箱,我会尽早与你取得联系。
关联阅读: