Surge 作者 Blankwonder 最近推出了一款新的工具类 App,名叫 Elpass,是一个密码管理工具,意在取代 1Password.
我是 Surge 的早期用户,Surge for iOS 刚出的时候就入了,后来 Surge for Mac 也买了 3 人授权版,Surge 给我的印象是体验极其优秀与稳定,以至于我在 Check for updates 的选项下勾选了 Include beta builds,因为想体验最新的功能,同时作者就算发布 beta 版也极其稳定,这么多年来的优质体验,让我对 Blankwonder 的软件工程水平十分信任. 同时我遇到 Surge for Mac 的问题向作者邮件提问的时候,总能得到细致耐心的回复,这也让我对作者的负责程度有信心.
12 号晚,当看到作者发推介绍自己的新作 Elpass 时,我第一反应就是火速付费支持,并在朋友圈充当自来水进行了推荐——「Surge 作者刘亚晨新作 Elpass 发布啦,普天同庆,奔走相告,火速付费支持🎉🎉🎉感觉 1Password 要凉了[Smirk][Smirk][Smirk] Surge 是一个体现软件工程师工匠精神的作品,用过都说好/:B-)/:B-)/:B-)」.
我的日常主力机是一台 Macbook Pro,在这个平台用过很多密码管理工具,比如 Chrome 自带的密码管理工具、Safari 自带的密码管理工具、1Password、Lastpass,都不是非常满意,1Password 在前段时间到期后也没有再续费,因为那时就听说作者已经在开发替代品了,当时就比较期待.
Blankwonder 在推出 Elpass 后第一时间在 Medium 写了 Elpass 的介绍文章,提到了开发 Elpass 的初衷,以及 Elpass 一些优秀的特性. 优秀的程序员总是惊人的相似,当初 Linux 之父因为对先有的免费的版本管理控制工具的不满意,之后开发了 Git,以至于后来诞生了 GitHub 这样伟大的公司,影响了现在的一代程序员. Elpass 的开发源于作者对 1Password 的一些不满意,于是自己开发替代品. Blankwonder 提到的 1Password「同步速度异常缓慢,各种突兀的动画细节等,把自己的 Cloud 服务作为必选且不可关闭,加入了很多我并不需要的团队协作功能,连最基本的浏览器密码填充也经常失败」,确实如此. 我也十分赞同作者之前说过的优秀的工具类 App 的开发,往往是一两个人的小团队,当团队变大之后,工具类 App 的代码质量往往会朝着坏的方向发展. 也许有人觉得,Elpass 背后只有作者一人在开发,一旦作者弃坑之类或者因为其他原因停止开发,有很多顾虑,其实我觉得大可不必,首先 Elpass 本身是解决了作者的需求与痛点,只要他自己也在不断用,一定会持续维护下去,其次 Elpass 提供的订阅制,而且可以很方便地导出密码用其他类似的 App 导入,所以迁移成本十分的低.
在使用了几天 Elpass 后,我谈一谈我的使用感受. Elpass 最让我满意的一点是「网页无干预自动填充」,也就是「不需要去手动选择项目,Elpass 会自动填充当前网页的登录信息」,很多人不理解,为什么这个很重要,在我看来,这个「无干预自动填充」的优点在于高效,因为一定程度上而言,当你进入自己的设备,并用浏览器登录一些网页的时候,绝大部分情况下环境时安全的. 更具体一点地说,因为 Macbook Pro 本身登录就需要密码或者指纹,本身就提供了一层安全性,因此在使用浏览器的时候,绝大部分情况下,无干预自动填充也往往是安全的. 因为无干预,所以使用起来也就无感知,就是这样令人愉快,有点像你使用 Alfred 的 workflow,用习惯了之后你发现就再也回不去了. 除此之外,其实 Elpass 也提供了「原生应用的自动填充」,也就是「macOS 上的 App 也可以自动填充登录信息」,这个也挺实用的. 其他的诸如「自动匹配当前应用」和「One-Time Password 填充」详情可以阅读 https://medium.com/@Blankwonder/%E6%88%91%E6%9B%BE%E7%BB%8F%E9%9D%9E%E5%B8%B8%E5%96%9C%E6%AC%A2-1password-%E6%9F%A5%E4%BA%86%E4%B8%8B%E8%AE%B0%E5%BD%95%E6%88%91%E4%BB%8E-2009-%E5%B9%B4%E5%BC%80%E5%A7%8B%E5%B0%B1%E6%98%AF-1password-ios-%E7%89%88%E6%9C%AC%E7%9A%84%E7%94%A8%E6%88%B7%E4%BA%86-%E4%BD%86%E6%98%AF%E5%A4%9A%E5%B9%B4%E6%9D%A5-1password-4bf387c96d1
密码管理工具,我的核心诉求一是便捷,二是安全,乍一看,这两者似乎有着天然的矛盾,其实不然。如果我们把不同账户的密码设置不同的安全等级,那么安全等级相对低一些的比如论坛,完全可以优先考虑便捷,而一些重要的账户,比如网银,应该配置安全级别更高的策略,比如多一次 Touch ID 的认证. 而上述我所说的这些,在 Elpass 中都被完美地实现了. 为什么作者能想到这种方式,我想和他从 2009 年就开始用 1Password 有关,多年的使用经验,以及在使用过程中痛点的记录以及解决方案的思考,再无法忍受 1Password 后写替代品 Elpass 时,自然而然就把先前的经验与思考体现在了产品当中. 而我们作为一个用户,使用起来的感受就是,原来就应该这样,自然而然,毫不违和,几乎没有学习成本和记忆负担.
使用密码管理工具还有一个很重要的点是,桌面端和移动端的密码同步,涉及到了同步,必然离不开云服务,可是密码这种数据安全性极高的内容,密码管理器作为一个数字保险库软件,如果它用了自己的云服务,你能无条件信任吗,比如 Lastpass 就出现过密码泄漏事件. Blankwonder 也考虑到了这一点,在设计与实现 Elpass 时,其一大特点是绝对的数据隔离,不提供任何云服务. 这时你可能会说了,不提供任何云服务,那我们怎么同步呢. 不要急,虽然所有数据均存储在本地,但是 Elpass 本身支持通过你自己的云存储进行同步,目前支持 iCloud 和 Dropbox,可能你不用 Dropbox,但是你一定会用 iCloud,毕竟是 Apple 自家的,而且 5G 的默认大小,怎么都是足够的.
对一个工具类 App 的信任来自于哪里,作者除了不提供云服务之外,去除所有第三方追踪 SDK,这意味着,你的密码数据不会以任何网络相关的方式被泄漏,更为难能可贵的是,Elpass 仅在购买和激活等关键操作上产生网络请求,甚至提供了一份详细的说明文档,详细说明隔离策略和所有可能发生的网络请求:Data Isolation Protocol — Elpass Help Center
同时 Blankwonder 还开源了加密部分的核心源代码 Elpass-Core,关于如何加密数据,作者也做了简单的介绍——「使用了 Argon2id 算法对你的主密码进行哈希,然后使用 BLAKE2B 算法衍生出不同用途的子密钥,最后使用 XSalsa20+Poly1305 算法进行加密」. 也就是说,每个环节均采用了当今最前沿的算法以保证应对最先进的攻击. 破解的概率几乎为 0.
相信很多用户和我一样,之前是 1Password 的用户,毕竟已经有很多数据存在 1Password 上,如果用 Elpass 重置会不会很麻烦,答案是,其实你完全可以不用重置,二是直接导入 1Password 导出的 1pif 格式的文件就可以了,密码无缝安全地一键导入,除此之外,也支持 csv 格式,这意味着,哪怕你用其他的密钥管理工具,迁移也是十分方便的.
目前 Elpass 有 macOS 和 iOS 的客户端,以及支持 Chrome, Safari, Firefox 等主流浏览器的插件,我觉得对于软件开发人员来说,这些平台就已经足够了,由于个人开发习惯,我几乎用不到 Windows,所以不支持 Windows 对我而言目前没有任何损失,至于 Android 版本,作者也提到暂无开发计划,这个也可以理解,毕竟人的时间精力是有限的,我更希望作者把时间花在优化现有版本上,况且 Android 也有辅助程序的计划.
好像很多人对 Elpass 不支持中文颇有微词,其实我倒是无所谓,因为本来系统语言就是设置的英文,App 也默认是英文,都习惯了,毕竟「访达」这种翻译也太搞笑了哈哈. 其他的像附件功能,Tags 分类,Markdown 备注,自定义 Smart Items 这些都在作者的开发计划内,大家可以期待下.
最后,大家可以访问官网 https://elpass.app 获取下载链接,Mac 平台的话推荐直接从官网下,因为 MAS 版本有一些限制,iOS 版本的话直接从 App Store 搜索下载安装就可以了.
希望 Blankwonder 初心依旧,继续开发和维护 Surge 与 Elpass,cheers!