1.情懷
跨國基督組織 World Vision Canada 的程序員 Dave Teare 和 Roustem Karimov 在觸摸了 30000 次聖經、進行了 8000 次禱告以及連續加班 77 天之後,終於攢夠了資金,一人買了一臺蘋果計算機。那一代計算機的型號是 PowerBook G4,那一年是 2005。
鈦金外殼的 PowerBook G4 在聖歌沐浴下出盡了風頭,也出現了一些問題。時年,JAVA 在 Mac 系統上運行不順暢,編譯效率不足 PC 機一半。擺在程序員 Dave 和 Roustem 面前的方向只有兩條:換工作,或者放棄 Mac 重新投奔入 PC 的懷抱。最終 AgileBits(1Password 的母公司)的創始人們選擇了後者,離開聖母的懷抱,安心成為極客宅男。
自主創業的 Dave 和 Roustem 先後開發了一系列產品,1Password 顯然是標杆,沒有之一。問到 1Password 的誕生故事的時候,Dave 毫不掩飾的說,這是一個偶然產品。
Dave Teare 和 Roustem Karimov 專注於網頁開發,網頁開發避免不了無休止的表單填寫工作,各種信用信息,好的壞的,在測試和開發過程中都需要反覆填寫。Dave 希望開發出一款可以自動填寫表單的插件,只需要手指點一點,表單數據便會自動填充。這款表單填充插件的計劃開發週期是一個月,卻沒想到因為這一個月,卻堵上餘生。
2.設計
1Password 最初的名字是 OS X Form,僅僅是一款針對 OS 操作系統的表格插件。Dave 萬萬沒想到,這款插件上傳到網絡後大獲轟動。曾在跨國宗教組織工作過的 Dave Teare 和 Roustem Karimov 所擁有的工作經驗是保持神祕感,不要和客戶接觸。當他們將自己的產品拋向互聯網的時候,必然少不了面對用戶的喜好意見和建議。這些讓 AgileBits 的創始人們措手不及又樂在其中。為了解決用戶們反饋的意見,Dave 和 Roustem 在 1Password 上面追加了一個月的開發時間,一個月後,新的用戶反饋出現了,必然又需要追加新的開發時間。如此反覆不息,才有了今天這款成熟的跨平臺密碼管理庫。
Roustem恰當的形容了這種工作模式:乍一看,在時間規劃中針對未知因素加入“寬裕時間”好像是個不錯的注意。問題就在於帕金森定律:工作會自動膨脹,佔滿人們所有可用的時間。如果我們在做時間規劃的時候,給未知因素多留出了20%的時間,那麼我們也會多做20%的功能。
1Password 作為一款密碼管理庫,它的宗旨是讓人們不再需要記住各種繁瑣的密碼,也不用擔心密碼安全問題。1Password 採取 AES(256)加密保護方式,大概算目前最可靠的加密方式之一吧。
回首這些年在 1Password 上花費的精力和時間,Dave 說自己獲得的成功早就超過了夢想。自己辛運的做著喜歡的事情,編程,寫代碼,開發軟件等等,這些工作恰好能幫助很多人,並且得到了很好的反饋。這些經歷促使 1Password 不斷成長。和人們交談,並且得知自己是如何讓他們生活得更便捷,這種體驗非常棒。
3.功能
多平臺密碼管理,不過多平臺單獨收費,價格太貴。
移動端免費使用,含高級版單獨收費,價格也不便宜,另外開啟訂閱模式,可以解鎖個人賬戶,訂閱收費模式大概是今後軟件收費的主流方式。
支持icloud、Dropbox、個人賬戶以及 WLAN 等方式同步。對於天朝來說,基於 Apple 生態系統的影響較小,如果是在 PC 端和移動端來回使用,非訂閱用戶同步較繁瑣。
加密方式為本地加密,上傳到雲端的密碼據說是再處理過後的密碼,增加了安全性。
只需要記住主密碼,即 1Password 的登陸密碼。如果你連主密碼也忘記了,那麼只能嘿嘿嘿。
自帶瀏覽器功能,通過自帶瀏覽器方便一鍵登陸網站。
移動端國內支持 1Password 登陸 APP 略少,不對,是幾乎沒有。
提供主流桌面端瀏覽器插件功能,不過貌似並不好用,或許是我操作習慣使然。安裝 1Password 的瀏覽器插件又是必須要做的,它能夠至少減少一倍你管理密碼的時間,減少你數倍輸入密碼的時間,減少你輸入密碼時因鍵盤被記錄、輸入過程被看到而導致帳號被盜的風險,更極大簡化了你管理密碼的整個流程。
桌面端增加二步認證(二步驗證指的是在輸入密碼之後,你還需要通過其他方式,如身份驗證器、手機短信、語音電話等來確認登錄人的身份)支持。
除了最最基本的登錄信息外,1Password 還能用於備註、信用卡信息、軟件授權信息等等十餘項內容的記錄。
自動生成高強度密碼。
支持 Touch ID 解鎖。
具備家庭版本和團隊版本,支持密碼分享和權限管理功能。
終上所述,移動端個人感覺略雞肋,桌面端強大,但是,貴。
4.競品
Lastpass:數據加密保存在 Lastpass 服務器上,費用相對較低,UI 不如 1Password,不過桌面端瀏覽器插件支持較 1Password 要好。
Apple 鑰匙鏈:基於蘋果生態系統,另外作用僅止於密碼存儲。
5.使用
1Password真的安全嗎?(主體內容來源於網站:http://iphone.91.com/tutorial/syjc/140422/21679992_all.html)
先來回顧一下近期發生在周遭的一些事--
【2014 年 3 月 25 日】暗黑破壞神3:奪魂之鐮(Diablo3:Reaper of souls)上市,卻發現伴隨自己多年的臺服戰網賬號密碼竟然怎麼也想不不起來,郵箱和密碼提示問題帶著我曾經無限的美好記憶,被遺忘在那隻能魂牽夢縈卻無望昨日重現的青春時光之中了。
【2014 年 3 月 27 日】禍不單行,因為一個低級錯誤,公司服務器賬號和郵箱賬號密碼丟失。雖然個人和客戶的隱私信息沒有洩漏,但服務器被迫全線歇菜,一半以上小夥伴們的工作停滯。
【2014 年 4 月 7 日】Heartbleed 曝光。
【2014 年 4 月 12 日】彭博社報道,美國 NSA 已經利用 Heartbleed 漏洞獲取信息為時數年了。
【2014 年 4 月 14 日】加拿大財政局發表聲明,由於 Heartbleed,900 個納稅人的個人身份信息被從政府系統裡竊取。加拿大納稅人們成為 Heartbleed 的第一個受害案例。
Life goes on, Heart is bleeding……
什麼是1Password?
1Password 是來自加拿大開發商 agilebits 的一款跨平臺(Windows,Mac,Android,iPhone,iPad)密碼管理應用,甚至是個人大部分信息管理應用,在業界知名已久。因為 1Password 使用的是 AES(advanced encryption standard)256 位加密,而非 OpenSSL,Heartbleed 並未對其造成影響。
AgileBits 官方 blog 有應對 Heartbleed 的一些建議。4 月 16 日,他們還推出一款叫 1Password Watchtower 的工具,可以幫助鑑別出容易遭受 Heartbleed 的網站並建議用戶及時更改密碼。另外,他們的官網和 blog 也有很多關於 1Password 和密碼、隱私保護方法的介紹和說明。
為什麼要用1Password?
回答這問題之前,先列幾條密碼保護的原則:
避免在多個不同場合使用相同的一組密碼。
經常改換自己的密碼。
避免相同一組密碼先後重複使用,避免新修改的密碼使用之前用過的。
避免使用一些可預測的詞彙或數字號碼,例如,重複的字,可查到的某個詞的拼音縮寫,身份證號,駕照號,某人生日,某個紀念日,親朋或寵物的名字,個人偏好的事物等等。
最好創建隨機密碼,降低人為猜中的機率。密碼位數至少 12 位。(國內許多服務或網站支持最高16位,國外多數支持 32 位以上)
密碼中最好包括數字,符號和字母。如果支持大小寫識別,最好大小寫並用。
與之對比,再列出一些安全度較低的密碼:
拼音或單詞+數字:qinaide2008,niuxmima123,alexchou789。
固定的字母或數字排列:123456,369258147,qwerty,asdfg。
和個人信息相關的字母或數字:Alexchou1989/1/1,021-XXXXXX,+86 13XXXXX。
系統默認的密碼:111,888,000000。
某個詞彙或者某句話的拼音:woainiyiwannian1314,gongxifacai888。
有一些小模糊的詞:1l0veU,p@ssw0rd。
重複的詞或數字:456456,bugeinibugeini。
手機號碼,身份證號,駕照號,學生證號,親朋生日、名字等等任何和個人信息相關,並且可以通過調查獲取的信息。
要保證所有地方的密碼都毫不重複並且牢記他們還不能混淆,再加上經常改換它們,而且還有諸多注意事項……果然是「密碼虐我千百遍,我待密碼如初見」啊。面對這麼一項專業技術活兒,不是每個人都是密碼學專業畢業的吧?也不是每個人都有那麼多時間專門用來改密碼吧?所以矛盾就在於:安全 = 麻煩事兒,省事兒 = 不安全 = 更麻煩的事兒。
1Password真的安全嗎?
既然 1Password 掌握了幾乎所有個人信息,若是它本身不安全,豈不是「一著不慎滿盤皆輸」?
首先,如本文開頭所說,因為 1Passwowrd 採用 AES(advanced encryption standard )256 位加密,這個加密標準本身的安全性是很高的。
其次,所有的個人信息都由且只由一個主密碼(Master Password)看管,除了設置這個主密碼的人,任何人都無法開啟,包括應用程序開發商。所以保證這個密碼的安全性夠高,並且牢牢記住就夠了。
最後,1Password 保存的所有數據都在本地,它提供的網絡雲同步數據也是加密後之後才同步。假如 iCloud 或者 Dropbox 有什麼意外,這些數據都是如上所述加密的,只能被主密碼(Master Password)開啟,有幾分飛機黑匣子的意味。這是 agilebits 官方過去針對 1Password 安全性的說明。
關於第三方登陸
何為第三方登陸?各位在很多網站都會見到類似場景:
國外也是這樣:
過去,登錄一個新的網站服務,需要註冊賬號,填寫郵箱,密碼(如果是不太熟悉的網站還得想一個新密碼),發郵件、收郵件確認等等非常麻煩。最近幾年,類似這樣「用微博賬號登錄」的登錄方式非常普遍,因為這樣做可以免去新註冊賬號,新記住一個密碼的麻煩,方便快捷。不過問題也隨之而來了。
這樣的第三方登錄服務一般是基於 OpenID 和 OAuth 兩種開放標準建立的。而這兩種標準是不同的,簡而言之:
OpenID 是關於證明、證實身份(Authentication)的,就像過安檢的時候拿出身份證來看,比對是否同一個人。這是在回答「我是誰?這就是我」,是為了證實「這不是一個匿名的不可查的信息源頭」,因為匿名對象和信息對網絡服務商來說不好統計管理,也不利於產生價值。
OAuth 是關於授權、許可(Authorization)的,就像過安檢的時候除了看身份證,還要求掏出兜裡的東西,拿出包裡的東西、手機等隨身物品以便檢查,這時就需要得到被檢查人的許可才行。這是在回答「我同意讓你對我進一步做些什麼」,是為了在被授予權限的前提下,更多的獲取除了賬號密碼以外的個人信息,例如:聯繫人通訊錄,郵箱號,電話號,地址,照片,聊天記錄,網絡發言、活動記錄,GPS 信息等等,來滿足用戶對服務的功能需要,或者「其他需要」。
OpenID 和 OAuth 是不一樣的,但國內的很多網絡服務商原本只需要通過 OpenID 就能解決的身份證明問題,因為或有意或無意地使用了 OAuth,從而帶來了不少安全隱患。就像本來亮一下身份證就 OK,現在需要我把自己以及家裡親朋好友的戶籍信息都詳細報一遍,恨不能讓我把家門鑰匙給一把出去才行。再加上現在移動互聯網普及進程一日千里,微博、微信、QQ 還有很多其他互聯網服務掌握了我們太多的個人信息,輕易授權某一方獲取,人為刀俎我為魚肉,這樣真的讓人放心嗎?
所以又回到了之前提到的那個矛盾:安全=麻煩事兒,省事兒=不安全=更麻煩的事兒。
現在看起來,似乎選擇「立即註冊賬號」是比選擇「用XX賬號登錄」更麻煩,但選擇前者的話,我需要提供的只是郵箱號,暱稱,至多姓名,性別等等這樣一些比較普通的個人信息,剩下的,就靠 1Password 幫我生成一組高安全度的密碼,並且幫我把用戶名和密碼都記住,等我下次登錄時自動填充就行。這樣,個人信息得到最大程度的保護,也讓密碼的安全性得到保障,同時也不需要我再為記住一堆用戶名和密碼而操心,一舉三得,豈不快哉?
一些安全相關的細節
國內有些網站(例如淘寶)和一些服務或應用(例如 QQ,但微信卻可以)不支持自動填充和複製粘貼密碼,只能通過手動鍵入密碼。自己的隨機密碼越奇葩、越不容易被盜、越安全,這個時候越感嘆,加密雖易,輸密不易,且用且珍惜。
登錄有些需要輸入驗證碼的網站(例如支付寶),1Password 記錄下登錄信息時會連同驗證碼一起記錄。這就導致下一次使用 1Password 自動填充賬號密碼的時候,它把驗證碼也一併填入,這時有可能出現:賬號密碼已經輸入正確,沒有驗證碼輸入框,但點擊登錄時卻提示驗證碼錯誤這種滑稽的事情。這時需要在電腦端打開項目詳情,把下方除了 username 和 password 以外的有信息的條目刪除。
結語
關於密碼學的定論:所有尚未被攻破的密碼都可以暫定為安全的。