写在前面 —— 你为什么需要一个密码管理器?

就在前几天,12306 网站疑似 发生用户信息泄露,410 万旅客信息被低价售卖,其中部分账号密码还被公开以供买家验证。尽管中国铁总很快发布微博称「网传信息不实、未发生用户信息泄露」,但 有记者 随机挑选了 15 个账号,其中有 8 个可以成功登录,7 个则处于被锁定状态。

在网传的 被泄露信息 中,有一点尤其吸引了我的关注 ——「密码」一栏。不难看出,被泄露信息的用户大部分都使用的是 10 位以下的密码,其中有不少还包含姓名拼音、生日等信息。更有甚者,密码比用户名还短,或是直接使用了诸如「a123456」这样的弱密码。

可以说,在个人信息愈发值钱而「撞库」事件又屡屡发生的今天,设置一个位数足够又难以猜测的强密码、为不同网站设置不同密码,是一件十分必要的事。

然而,「不要重复使用密码」听起来容易,做起来却很有难度。就在几个月前,我自己都还奉行的是「1 password for all」的准则 —— 毕竟,要记下几十上百个不同密码实在是不太可能。尽管有一种方法是为不同网站的密码添加网站名作为后缀,但一旦碰到需要修改密码的情况,「新密码又是什么」就成了一个问题。

因此,综上所述…我还是选择了一个更加「偷懒」的方法 —— 密码管理器。如果你也想提升互联网账户的安全性、避免下一次「撞库」事件的影响,那么密码管理器不失为一个合适的选择。

为什么选择 1Password?

长话短说。最重要的原因可能还是颜值 —— 我记得我说过「颜值就是第一生产力」之类的话……
*当然,比 1Password 更好看(或者说有趣)的密码管理器也是有的,比如这只还不算成熟但又蠢萌的 RememBear

其次,1Password 并没有被曝出过什么恶性的安全事件,在安全性上比较让人放心。

最后,在我纠结于 1Password 和 Lastpass 之间时…我发现 1Password 可以存储 TOTP 验证码,并且在多设备间同步。尽管有人质疑这样做失去了二步验证的意义,不过…我真的不想再经历更换手机时迁移二步验证码的痛苦了。所以,1Password 成为了我的最终选择。

1Password account 与订阅制度

1Password 目前采用了订阅制度 —— 注册一个账号,然后就…每月 / 每年掏钱吧!尽管我并不喜欢订阅制,但对于「密码管理器」这种特殊类型的 app,我也可以接受。相比起多掏的一点钱,开发商能保持更新、不要跑路,才是更重要的。

同时,由于 1Password account 的引入,所有密码都会在加密后存储到 1Password 的服务器上 —— 我并不想追求极端的「安全」,所以这样的做法我也不觉得有何不妥。

不过,还是有一点让我感到不解 —— 从 iOS 端订阅 1Password 比从 Mac 端订阅要贵上一些…这难道是给 Mac 用户的福利吗?

Step One:添加密码

我花了差不多两天时间,才把常用的六十多个网站添加到了 1Password 中,并一一修改了密码…这个过程算是十分艰辛了。尽管 1Password for Mac 可以在你登录网站时提示保存密码,但保存到的数据往往并不完整。因此,手动在 app 中进行修改也是必要的一环。

同时,虽然 1Password 支持自动抓取网站图标,但国内许多网站抓取到的结果并不令人满意。所以,我又花了不少时间 Google 网站图标并一一添加到 1Password 中。这么做还是值得的 —— 看着整齐的图标心中就会一阵暗爽…

对于自动保存的表单数据,可以编辑 Saved Form Details 来让其看起来更美观。这里要点名批评的就是 CMHK 官网 —— 如果不把 Saved Form Details 保持为图中的样式,在填充时密码就会被填充到验证码一栏…

最后,1Password 还支持添加和该网站有关的数据,比如手机号、邮箱、地址,等等。最令人感到舒适的是,1Password for Mac 可以独立完成 TOTP 二步验证设置 —— 只需将下图中的小窗口拖到二维码上即可。

必须提到的是,编辑 Saved Form Details 是只能在电脑端完成的。因此我并没有用 iPhone 去完成添加密码的工作。

Step Two:填充密码

完成了添加密码的工作,接下来就可以享受一键填充的便利了。在 Mac 上,大多数时候我只需要打开登录页面,按下 ⌘command - \ 即可完成填充。对于有二步验证码的网页,1Password 会自动复制二步验证码并弹出通知,此时只需要 ⌘command - V 再回车就能登录。在一定时间后,1Password 还会清除剪贴板,避免隐私泄露。

而在 iOS 端,得益于 iOS 12 AutoFill 框架的支持,1Password 提供了与原生 iCloud Keychain 无二的填充体验。打开登录页面 - 点击键盘上方的用户名 - 录入指纹(咱没有带 Face ID 的设备 QAQ)就能实现密码填充,全程无需打开 1Password app。

*本张图片引自 1Password 官网

不过,还是有让我不得不打开 1Password app 手动复制密码的时候 —— App Store 要求输入 Apple ID 密码时。此时会无法调用 AutoFill 填充密码,只能手动复制粘贴。

嗯,还可以锦上添花……

除开基本的记录用户名和密码,1Password 也支持记录软件许可证、护照、银行卡等信息。这些算是锦上添花的功能 —— 不过我觉得还是十分方便。

除此之外,1Password 自带一个名叫「Watchtower」的功能。它支持检测当前账户中已经泄露的密码、弱密码、不安全(未使用 https)的登录页面、未打开 2FA 等情况。鉴于我的所有密码都在使用 1Password 之后进行了一次更新,这个功能暂时是没有什么作用了。

小结:好用,但是值吗?

对 1Password 的功能和颜值,我都没有太多可以挑剔的地方:毫无疑问这是一款非常「好用」的密码管理器。不过,其一年 ¥200+ 的订阅费用也并不便宜。如此费用值得与否,还是要个人心中衡量一下。

当然,密码管理器也并非只有 1Password 一家,隔壁 Lastpass,上文提到的 RememBear,抑或是开源的 KeePass,都是不错的选择。况且,除了靠谱的工具,拥有良好的隐私保护意识才能真正让你的账号安全无虞。