记得两三年前 1Password 的 iOS 端限免,抢到以后却并未真正使用(然而现已转为免费 + 内购模式,白抢了 TAT)。官方出了订阅版免费体验六个月的活动。这会儿终于来体验 1Password 了。转移并修改了几十个账户密码。现在个个都是独立 + 乱码。神清气爽!
1P 是一个跨平台的密码管理软件。它的哲学是这辈子只需要记住一个密码(称为 master password),剩下的密码都交给软件来记。其实想想,要求密码强可记性就必然不好。而且为了防止一处密码泄露,所有账户都沦陷,也必然需要各个密码独立。几十上百个账户,人脑怎么可能记得住。
试用的时候,我一直在着重体验,用 1P 管理密码比起『土法』如 spreadsheet, evernote, 浏览器自带密码存储管理密码有何优势。是否值得花钱来记密码。说说这么几个点。
自动填入,存储,更新密码
这些功能在 MAC 或 PC 端的浏览器里可以由插件来实现。只需要输一次账号密码,1P 会提示是否存储(或者更新)密码。这些功能显然非付费方案很难实现。
Chrome 有自带密码存储,也可以实现这些功能,在大多数时候都蛮给力。但是如果完全依赖它,在外的时候手机上找密码并不方便,并且非网页端登录也抓瞎。
iOS 端的 1P 则需要内置浏览器才可以自动填入密码。在 safari 里是半自动,可以调用 share 菜单,里头可选用 1P 填充密码,省去了打开 app 复制粘贴。某些 app 内也支持直接调用 1P。
密码生成器
1P 可以生成随机密码,可以指定密码的要求,如数字,大小写字母,特殊字符,位数等,还可以指定生成『好记』的密码。这个功能有免费的解决方案,随便网上搜 password generator,便是一堆。
密码存储安全
1P 可以指定用本地或者网盘(如 Dropbox,iCloud)存储密码。存储的格式是加密的,只有知道 master password 才能解密。这个连 1P 都无法破解。基本上表示很安全。他们的订阅还提供了云存储服务,安全性稍差于本地存储,万一 1P 被攻破,这些密码的安全性就不好说了。
黑客若想攻破一个 1P 密码库,他首先需要搞到密码库文件本身(需要首先破解网盘的账户密码),然后还需要 1P 的账户和 master password。就是破解两个账户密码。如果网盘有 2-step 验证,那就更麻烦了。2-step 验证是动态的,要么需要接收短信,要么需要专门的授权器生成有时效的验证码。就算黑客知晓了用户的(静态)密码,搞不到用户的手机(或是授权器)也是没有卵用。
免费方案中 spreadsheet 只能占着本地存储,但并无加密性。evernote 一旦黑客可以破解登入,密码也都全暴露了。Chrome 的密码存储安全性类似 evernote。
Watchtower
Watchtower 实时监控各个网站的密码泄露新闻,可以及时提醒用户修改相应的密码。这个功能显然免费方案提供不了。
用户体验
放到最后说,因为觉得这个东西很主观,且不一定所有人都在乎。一个专业软件可以把所有的密码分门别类的放好,看过去一览无余,内心很清爽。而『土法』就不要谈 user experience 了。之前看到一个同学用 word 来记密码,那密码叫一个乱七八糟,各种字体,颜色,大小。感觉每看一次都会 -1s。
1P 现在的订阅版是 3 刀一个月。standalone 版是 65 刀,一次性买断 MAC 大版本(当前为 6)的使用权。订阅版可以使用全平台的最新版本,而 standalone 只可以使用某个平台的当前大版本。还在纠结要不要付费,付费的话到底使用哪种。不如留待半年后再评估吧。