PrivaPass

密码安全要点

密码究竟是如何被盗的

大多数账户被盗其实根本不涉及破解密码。数十亿条来自历史数据泄露的邮箱与密码组合在网上被交易,攻击者只需把它们逐一拿到其他网站上去试——这种手法叫做撞库,之所以奏效,是因为人们到处都用同一个密码。脆弱或常见的密码也会很快被自动化的字典攻击和暴力破解工具攻破,而钓鱼页面则会记录你输入的一切。重复使用是最大的风险:一个网站泄露,就可能让所有共用该密码的账户暴露无遗。

什么样的密码才算真正强壮

长度比符号更重要。一个随机的16位密码短语足以抵御暴力破解长达数百年,而看似复杂的短密码"P@ssw0rd!"却能在几秒内被攻破。每个账户都应使用各自独立的密码,这样一次泄露就不会在你的各个登录之间连锁蔓延。避免使用姓名、生日和字典里的单词——任何能从你的公开生活中猜到的内容都不可取。密码生成器会产生没有人会想到去选用的高熵字符串,从而消除人为的可预测性。

为何本地保险库胜过云端

云端密码管理器会把加密后的保险库副本保存在它们的服务器上,因而成为高价值的攻击目标——而你不得不信任它们的安全措施、它们的员工以及它们的服务可用性。PrivaPass把经过AES-256-GCM加密的保险库保存在你自己浏览器的存储中,因此没有可被攻破的中央服务器,没有可被钓鱼的账户,也没有会过期的订阅。你的主密码永远不会离开你的设备,泄露检查采用k-anonymity,因此即便是一次查询也不会泄露任何信息。

什么是 PrivaPass?

PrivaPass是一款免费的浏览器端密码管理器,使用AES-256-GCM加密技术生成、存储和管理您的所有密码——这与银行和政府机构所依赖的加密标准相同。内置生成器可创建密码学意义上的强随机密码,长度(64位以上)以及大写字母、小写字母、数字和特殊符号均可自定义,让您再也不必自己绞尽脑汁去想一个又弱又容易重复使用的密码。人们用它为每个账户设置独一无二的密码,把银行、邮箱和社交媒体的登录信息统一收纳在一个主密码之下,查看某个密码是否出现在已知的数据泄露中,以及在笔记本电脑和手机之间携带一份加密备份。整个密码库都保存在浏览器的IndexedDB中,并在写入磁盘之前就已加密——即使在做泄露检查时,也没有任何数据被发送到服务器。无需安装、无需注册、无需订阅。由于所有加密运算都是在浏览器中以JavaScript运行,页面加载完成的那一刻起,PrivaPass即可完全离线工作,生成的密码和密码库绝不会离开您的设备。

如何使用 PrivaPass

  1. 1

    1. 生成密码

    使用内置的强密码生成器快速创建高强度随机密码,支持自定义密码长度、是否包含大写字母、数字和特殊符号等选项,生成真正难以破解的密码。

  2. 2

    2. 保存到密码库

    将生成的密码和账户信息安全存储在加密密码库中,整个密码库由您设置的主密码进行AES-256-GCM加密保护,只有知道主密码的您才能解密访问。

  3. 3

    3. 导出与备份

    定期使用导出功能将加密密码库下载为备份文件,以便在设备之间迁移密码数据,或在浏览器数据意外清除时恢复您的密码库。

为什么 PrivaPass 是安全的?

云端密码管理器会把您密码库的加密副本保存在它们自己的服务器上,这本身就成了高价值的攻击目标——而您不得不信任它们的安全措施、它们的员工以及它们的正常运行时间。PrivaPass采取了相反的做法:它在您的浏览器中使用AES-256-GCM生成并加密一切,密码库绝不会离开您的设备。没有可供攻击的中央服务器,没有可被钓鱼的账户,也没有会到期的订阅。主密码不会被保存在任何地方——既不在服务器上,也不会在内存中停留超过解密密码库所需的那一瞬间——因此从设计上就无法找回,这同时也意味着除了您之外没有任何人能打开它。由于一切都完全在客户端处理,您无需仅凭信任:在生成密码或保存条目时打开浏览器的DevTools网络(Network)标签页,您会看到从未发出过任何上传请求。要获得更直观的证明,可在页面加载后关闭Wi-Fi——生成、保存、搜索和导出依然照常工作,因为本就没有任何东西需要发往服务器。唯一会联网的功能是可选的泄露检查,而它也采用k-匿名(k-anonymity)方式,只发送密码哈希值的前5个字符,因此在查询过程中您的密码也不会被泄露。

常见问题

不会。PrivaPass使用AES-256-GCM加密算法对所有密码数据进行加密,并将加密后的数据存储在浏览器的IndexedDB本地数据库中。即使是您的主密码本身也不会以任何形式被存储,每次使用时都需要您输入以解密密码库。
由于主密码没有被存储在任何地方(这正是保证安全性的关键),一旦遗忘将无法找回或重置。这是实现真正零知识安全的必要代价。请务必将主密码记录在安全的离线地方,例如写在纸上并妥善保管。
可以。使用导出功能可以将加密后的密码库备份下载到您的设备,然后在其他设备的浏览器上导入该备份文件,实现跨设备的密码访问。备份文件本身也是加密的,安全性有保障。
PrivaPass使用Have I Been Pwned服务检查您的密码是否出现在已知的数据泄露事件中。检查过程使用特殊的匿名化方法:只发送密码哈希值的前几个字符,您的实际密码内容完全不会被发送,确保检查本身不会泄露您的密码。
是的,这是需要注意的重要一点。由于密码数据存储在浏览器的IndexedDB中,如果清除浏览器数据或使用隐私模式,数据可能会丢失。强烈建议定期使用导出功能创建加密备份,并妥善保存备份文件。
离线可以,上传不会。生成密码、保存和搜索条目,以及导出加密备份,全部都在您的设备上运行,无需任何网络连接,因此页面一旦加载完成,您就能在飞机上或关闭Wi-Fi的情况下使用PrivaPass。您的密码和密码库绝不会被发往任何地方——您可以在操作时打开浏览器的DevTools网络(Network)标签页来确认,或干脆断开网络,看着所有功能依然正常运行。唯一的例外是可选的泄露检查,按设计它只发送密码哈希值的前5个字符,绝不发送密码本身。
非常强。PrivaPass使用浏览器内置的、密码学意义上安全的随机数生成器(Web Crypto API),而不是某种可预测的软件取巧手段,从而生成任何人或基于规律的工具都无法猜出的高熵密码。您可以自行控制长度(最高64位以上)以及包含哪些字符集:大写字母、小写字母、数字和特殊符号。由于长度比单纯的复杂度更能带来强度,一个随机的16位密码就已经能抵御数百年的暴力破解。密码在本地生成,只有在您选择保存时才会存入密码库。