2024 年 1Password 评价:这款密码管理器安全吗?
1Password总览 2024
最近,由于密码薄弱,我不常使用的一个电子邮件账户遭到泄露。尽管强密码对于网络安全至关重要,但是很多人无法同时记住多个复杂的密码。针对这一困难,1Password 帮助用户管理和保护所有密码和其他重要信息。为了检验效果如何,我决定试用 1Password,了解它的优缺点。
经过大量测试,我认为 1Password 是一款用户友好的有效密码管理器,可在任何设备上安全存储、使用和管理密码。1Password 也能将信用卡信息、社保号码、笔记、数据库、银行信息等重要信息保存在安全的保险库中。
大家可以利用 14 天免费试用,毫无风险地试用 1Password,测试它的所有功能,完整体验它的服务,有效管理自己的登录凭据。下文将会详细介绍。
赶时间?一分钟摘要在此
- 先进的安全功能:1Password 提供军工级 AES 256 位端到端加密,保护数据不被黑客窃取。了解其他安全措施。
- 创建多个保险库:在 1Password 创建保险库非常顺畅,我可以创建不同类别来保存密码。跳转查看 1Password 更多功能。
- Watchtower 安全警报:1Password 能告知我薄弱、重复使用的密码,并且监控数据泄露情况。进一步了解 Watchtower。
- 旅行模式:我很高兴 1Password 能在跨越国境时轻松隐藏敏感信息,这对记者非常有用。了解如何启用这项功能。
- 兼容多种设备:1Password 可用于 Windows、Mac、iOS、Android、Linux 和 Chrome OS。查看如何快速设置应用程序。
- 有用的支持:我联系了客户支持,对方几分钟内就回答了我的问题。了解如何联系支持。
- 14 天免费试用:1Password 慷慨地提供 14 天免费试用,允许试用全部功能。查看现有的所有方案。
安全
1Password 提供军工级安全功能
1Password 认真对待安全措施,采用业内标准的 AES 256 位加密和先进的安全协议,保障用户的密码和其他重要信息安全。
我高兴地发现,我存储在 1Password 保险库中的信息是端到端加密的。也就是说,1Password 不知道我保存的内容,只有我自己能解密存储的信息。在加密数据时,它会让用户创建只有自己知道的”主密码”。
此外,1Password 可以保证,即使在传输到服务器的过程中,密码也会受到传输层安全性(TLS)和安全远程密码(SRP)的保护。这为用户提供了额外一层加密。下面将具体介绍各项安全功能。
AES 256 位加密
1Password 采用 AES 256 位加密,确保用户数据得到保护。银行和军事组织都用这种加密方式保护数据安全。我不用担心黑客或网络犯罪分子窃取我的密码。
主密码和密钥保护
1Password 对用户数据进行双重保障:一方面,它要求我创建只有我本人知道的主密码;另一方面,在注册时,应用程序在设备上生成了密钥。两者相结合,共同用于加密和解密数据。我最喜欢的是,它会自动进行不同层次的安全检查和验证,避免我的数据落入他人手中。
1Password 还生成了包含密钥的应急包 PDF 文档,同时自动将密钥保存到了我注册时使用的设备上,确保我有离线的密钥备份。要访问个人数据,必须提供主密码和 34 位的密钥。因此,即使有人知道了两者之一,也无法访问我的保险库。
PBKDF2 暴力攻击防护
1Password 利用密钥派生功能,为账户防御暴力攻击。在创建主密码时,1Password 使用算法或密码生成密钥,用于加密和解密用户数据。黑客用特殊的计算机硬件和软件以试错的方式猜测密码,这就是”暴力攻击”(通常也称为”字典式攻击”)。
1Password 应用 PBKDF2 生成可抵御这种攻击的密钥。账户密码和加密盐被传输到 PBKDF2-HMAC-SHA256,进行 10 万次迭代。这样一来,即使黑客具有复杂处理能力(能猜测数百万次),也无法在短时间内解密用户的加密数据。
安全输入和自动锁定
1Password 声称可以保障输入字段不被键盘记录器跟踪,但事实并非完全如此。键盘记录器是一种计算机程序,可以记录计算机上的所有按键输入,获取输入内容,包括密码。
1Password 在网站上声称,它”保护用户数据不被键盘记录器跟踪”,并且”1Password 使用安全输入字段,防止其他工具得知用户的输入内容,包括主密码。”
为了验证这种说法,我在自己的 Windows 电脑上安装了键盘记录器,检查我的按键内容有没有被记录。遗憾的是,我在 1Password 应用程序输入的所有内容,甚至包括主密码,都被记录下来了。我就此联系了 1Password,支持人员表示其中存在误解,1Password 不保护已经遭到入侵的设备。
这样的答复令人担忧,因为 1Password 网站明确表示它能为用户防御键盘记录器。我不得不怀疑 1Password 还有其他没有明说的情况。
从好的方面看,1Password 定期删除保存在剪贴板上的信息。这样一来,即使有人能入侵设备,也无法获取剪贴板上的信息。而且,1Password 会在 90 秒内删除剪贴板上的信息,防止剪贴板工具获取剪贴板数据。
为了确保没有人能在未经授权的情况下访问保险库,1Password 会在应用程序不活跃 10 分钟后自动锁定账户。你还可以调整自动锁定的触发时间,选择范围是 1 分钟至 1 小时;如果你想停用自动锁定功能,也可以选择”永不”。我将时间限制设为 5 分钟,它有效地将账户锁定了。在 Mac、iPad、iPhone 和 Android 设备上,还可以方便地用指纹解锁 1Password 应用程序。
TLS 和 SRP 数据传输保护
在数据从设备传输到服务器的过程中,1Password 用 TLS 和 SRP(安全远程密码)协议保护数据安全。这样,用户可以得到额外一层安全保障,使数据(和密码)在传输时不会被黑客截取。1Password 还有一点令人印象深刻,那就是它只适用于值得信赖的网页浏览器,不会将用户数据交给被篡改过的浏览器。
双重身份验证(2FA)
1Password 也有其他必要的安全功能,比如支持有双重身份验证(2FA)的网站。你可以使用 Authy 或 Microsoft Authenticator,将签名加入 1Password 应用程序。1Password 还允许用户检查支持 2FA 的网站,也可以存储用户的验证码。
我很高兴 1Password 要经过我确认,才会在网站上填写表格。这样可以避免网站利用隐形表格窃取个人信息。1Password 还能防止钓鱼网站通过克隆网站窃取用户数据。
为了测试这一点,我保存了 Facebook 的登录凭据,然后访问了 Yahoo 网站,尝试自动填写登录字段。1Password 没有填写登录输入字段,因为我的保险库中没有保存 Yahoo 相关的登录凭据。
隐私:采用开源数据格式
1Password 的设计非常重视隐私。账户密码和保险库中存储的数据都是私密的,经过了端到端加密。它采用两种开源数据格式:OPVault 及其专有的 Agile Keychain,确保用户数据安全地同步到服务器端,并且任何人都能研究数据格式的安全架构。Apple 的 iCloud 和 Dropbox 也采用这两种数据格式。
1Password 还与名为”Privacy”(隐私)的第三方应用程序合作,该程序允许用户创建隐私卡或虚拟卡,在网购时隐藏原本的信用卡信息。
近年来,1Password 经过了多次独立审计,审计机构包括 Cure53、AppSec、Bugcrowd、CloudNative、Nvisium、Onica 和独立安全评估机构(ISE)。
1Password 已通过 SOC 2 二类认证,说明它安全地管理数据,保护客户的利益和隐私。不过,我希望 1Password 能像 Keeper 一样通过 ISO 270001 认证,这代表着更好的数字保险库管理实践。
功能
多种自定义功能
1Password 让密码管理变得简单。除了可靠的加密方式和安全协议外,它还提供区别于竞品的独特功能,分为数据存储、数据共享和数据安全类别,包括自定义保险库、Watchtowe、旅行模式等精彩功能。
多个保险库
在 1Password 中,你可以创建多个保险库来存储数据。保险库相当于数据库或文件夹,存放所有数据项。我创建了多个保险库,将其分类为私人、工作、财务、健康和其他。1Password 的 iOS 应用还有另一项有趣的功能:创建无法从其他设备访问的”独立保险库”。
你可以在保险库中存储不同类型的数据集。我创建、编辑和存储了各种信息,包括登录信息、密码、笔记、医疗记录、社保号码、身份证、银行账户和软件许可证。我还能创建 API 凭证,保障护照信息、数据库、电子邮件、服务器访问信息、加密密钥和驾照副本的安全。要添加密码或任何敏感信息,只需点击桌面应用程序右上方的”新项目”按钮。
1Password 还支持创建”共享”保险库,只有得到特别授权的人可以访问。测试期间,我为家人创建了一个共享保险库,允许三人访问。我很高兴保险库中的所有信息都得到了 AES 256 位加密的保护。
WatchTower
Watchtower 是 1Password 的安全警报系统,会对弱密码、重复使用的密码、数据泄露事件中泄露的密码和有漏洞的密码发出警报,也会提醒信用卡、驾照、身份证和护照的到期日(这些信息在设备本地经过检查识别)。
Watchtower 的数据泄露监控器不断更新最近的数据泄露情况。1Password 从 haveibeenpwned 网站获取数据,那里的数据库收集了过往泄露事件中泄露的密码。虽然 Watchtower 没有标记我之前泄露的任何密码,但 haveibeenpwned 网站发现了它们。
旅行模式
1Password 的旅行模式旨在帮助用户在跨越国境时隐藏敏感信息,对记者、研究人员、政治难民和希望保持敏感信息私密的人很有用。
旅行模式会自动隐藏 1Password 账户中的所有保险库,除了那些被标记为旅行安全的。这个模式只能在 1password 网页账户中开启。为了测试,我登录了账户,进入个人主页,点开了”旅行模式”下的旅行图标。
1Password 提供多种保障密码安全的自定义功能,对我来说效果完美。我唯一担心的是,在遗忘的情况下,个人账户的主密码无法重置。1Password 希望用户打印创建账户后生成的”应急包”文档,其中包含密钥、登录地址、电子邮件地址,以及一片可以用笔写下账户密码的空白。
对于家庭、团队或企业账户,1Password 允许账户所有者或仍能登录的管理员为用户生成密码重置链接。该链接会发送到电子邮箱,让用户设置新密码,重新获得 1Password 账户的访问权限。
总的来说,1Password 提供了无缝的密码管理体验。用户可以非常轻松地使用应用程序、导入密码、保障登录安全,并与其他用户共享密码。我最喜欢的功能是旅行模式,它可以让我在旅行期间隐藏敏感数据和保险库。
易用度
便捷安装和设置
安装和开始使用 1Password 都很简单。注册免费试用后,我创建了主密码,登录了 1Password 账户。登录后的控制面板界面很友好,显示了保险库和问候语,后者指导我顺利设置了应用程序。注册账户、下载应用程序并开始使用,一共只花了不到 5 分钟。
将数据导入我的 1Password 账户,只用了不到一分钟。1Password 只支持导入 CSV 文件。于是,我先导出了保存在 Chrome 浏览器的密码,然后进入 1Password 网页版的用户界面,导入我的密码。1Password 也支持从其他密码管理器导入数据,包括 Dashline、iCloud Passwords、KeePassX、Thycotic Secret Server、RoboForm 和 1Password 其他账户。
设备
1Password 兼容主流设备,并提供跨平台支持。我在 Windows 电脑、Android 和 iOS 设备上测试了它。它还适用于 macOS、ChromeOS、Linux(Ubuntu、Debian、Linux Mint、Fedora、CentOS、RHEL、openSUSE 发行版)和命令行;也有浏览器插件,可用于所有热门浏览器,比如 Chrome、Firefox、Edge 和 Safari,能自动连接 1Password X,即软件的网页版。
当你出门在外,急需保存或使用密码时,1Password 的 Android 和 iOS 应用派得上用场。在手机上下载应用后,我只需扫描应急包中的二维码并输入主密码,就可以开始使用了。iOS 应用要求我开启面容 ID 解锁,Android 应用运行得很顺利。登录后,我可以浏览各项功能,在保险库中添加和编辑信息。
两款应用都简单好用,界面直观,功能分为四个菜单:收藏、类别、标签和设置。类别 菜单显示了登录信息、密码和存储在保险库的其他项目。设置菜单允许用户对应用进行修改、创建新保险库、开启安全选项等等。
在 Windows 上设置 1Password
1. 在 1Password 网站上注册免费试用。
2. 下载应急包文件,妥善保管。
3. 用主密码登录 1Password 网站。
4. 在个人面板或主页的页脚下载应用程序。
5. 安装应用程序,然后启动它。
6. 在登录栏输入主密码,访问账户。
7. 点击”新项目”,添加密码和其他信息。
总的来说,1Password 是一款简单好用的应用程序,支持用户保存、管理和保护密码。各个版本的应用程序界面直观,以易于浏览的方式显示了所有功能,对此我很满意。我完全没有遇到过程序崩溃或登录延迟的情况。
支援
1Password 只提供少数几种支持方式。其一是内容详细的知识库,有很多文章和常见问题解答,包括所有兼容设备的分步操作指南和其他故障排除技巧。
如果你需要支持人员直接回答自己的问题,1Password 提供响应迅速的电子邮件支持。我向支持邮箱发送了几个问题,在 10 分钟内收到了回复。对方详细解答了我的所有问题,并且提供了故障发生时的解决方法。
此外,你还可以在 1Password 社区论坛得到问题的答案。该论坛有 25 万多个问题,每日回复数量超过 100。我发布了一个问题,不到 4 小时就有人回复。你也可以通过 Twitter 获得帮助,回复同样快速且有用。不过,我希望有实时聊天或电话支持,却没有找到这些选项。
价格
1Password 提供超值服务,有四种方案可供选择:个人、家庭、团队和企业,按年计费。除企业方案外,其他方案都提供 1GB 的数据存储空间。付款方式只支持信用卡/借记卡或 1Password 礼品卡。
个人版最便宜,仅支持 1 名用户,但不限制设备数量。用户可以创建多个保险库,保存不限数量的密码,使用旅行模式,启用双重身份验证,得到 1GB 存储空间,共享密码,恢复已删除的密码,享受实时 24/7 电子邮件支持,在任何主流设备上使用它。
家庭版支持 5 名用户,允许额外付费添加更多成员。它包含个人版的所有功能,还提供访问权限控制功能:当一名成员被锁定账户时,其他任何成员都可以帮他重新获得访问权限。
团队版包含个人版和家庭版的所有功能,另有面向业务范围的多重身份验证的 Duo 集成,并为每名用户提供 1GB 存储空间。企业版包含上述方案的所有功能,另有 VIP 支持、每名用户 5GB 存储空间、20 个访客名额、活动日志、使用报告、自定义角色和自定义群组。
免费试用 14 天
1Password 没有免费方案,但提供 14 天无风险免费试用,让人了解其服务。你需要输入信用卡信息进行注册,不过在 14 天试用期结束前,你不会被收取费用。
关于 1Password 费用的注意事项:
- 如果你所在的国家征收消费税,那么在试用期结束时,你要支付的总费用将会加上税款
- 1Password 只按年计费
总的来说,1Password 的方案有吸引力,性价比很高。我建议你利用免费试用,测试各项方案,找到最适合自己的一项。
底线
1Password 是一款令人印象深刻的密码管理器。它以安全、用户友好的方式存储敏感信息,提供很多出色的功能,比如多保险库、端到端加密和提醒密码安全风险的 Watchtower。
我测试了 1Password 的全部功能,对它的服务很满意。我创建了多个保险库,导入了几百条信息,包括登录信息、密码、笔记、医疗记录、社保号码、身份证、银行账户和电子邮件。在我的所有设备上,它的应用程序都简单好用,提供有帮助的支持方式,而且我能毫无风险地试用 14 天。我对 1Password 万分满意,用它成功地保障了所有信息安全。
1Password 常见问题解答
1Password 是否好用?
好用。在密码管理行业,1Password 拥有最好的一些功能。我能保存多项密码,随时随地查看。1Password 让人安全地保存、使用和分享敏感数据,比如密码、电子邮件、密钥等。
能否免费使用 1Password?
能免费试用 14 天。1Password 没有免费方案,但提供免费试用,供人测试它的服务。你需要输入信用卡信息进行注册,并且在试用到期前取消,以免被自动收费。个人、家庭、办公和团队方案支持免费试用,但企业方案不支持。
1Password 是否真正安全?
绝对安全。1Password 采用军工级加密技术,比如 AES 256 位加密,无法被破解;提供最先进的安全协议,包括设备本地生成的、仅用户本人知道的密钥;提醒用户有漏洞的密码;支持用户在跨越国境时隐藏敏感信息。
1Password 是否物有所值?
是,1Password 的价格低于一杯咖啡,却提供了多种安全功能。它能创建自定义的保险库,存储成千上万的数据,在我看来显然物有所值。
