Elpass —— 优雅,有效,全新密码管理工具登场

初试 Elpass 以及关于「一人公司」的看法

上周四,Yachen 发布了新作品 Elpass —— 一款密码管理工具。此类工具历史悠久,基本功能便是通过安全的方式集中管理用户所有的账户密码,并且不需用户额外记忆,方便用户随时取用。随着近几年互联网发展,密码管理工具对普通大众的意义更甚,通过这类工具能最大限度方便普通用户践行「每一处服务都使用一个不同的密码」。1Password 便是此中翘楚,就我个人而言十年来的可靠体验,令我对其许多瑕疵抱有无限的耐心。 有趣的是 Elpass 的诞生,同样离不开作者对 1Password 那些瑕疵的不满

Elpass 作为一款 1.0 版本的应用,一上线便已覆盖苹果生态全端,同时提供针对 Safari、Chrome 与 Firefox 这三款现代浏览器的支持,基本功能足够坚固,辅以那些优雅有效的改进,足以让我从 1Password 换用 Elpass。

优雅的设计

初看 Elpass,其三栏设计与 1Password 如出一辙,但细看左侧导航栏便能感觉到 Elpass 的简洁。1Password 为了引导客户分门别类保存自己的敏感信息,足足有 18 项分类(categories),而每一个具体条目之下又已预设丰富的标题模版,并可添加无限多的新组(section)。其细致毋庸置疑,但用的越久越觉得繁琐,比如在录入邮件账户时,总会困惑是使用「Login」类别还是「Email Account」类别;或者手动新增了好几项「section」后,觉得不如直接备注。

相较而言,Elpass 只提供了 Logins、Bank Cards、Identifications、Secure Notes、Passwords 五种类别,具体条目内也暂不提供可自定义的 section。我并不觉得这五大类及默认模版就足够覆盖所有需求,但不得不承认这种设计优雅简洁,互相之间也不会混淆。

设计上的巧思还体现在各种细节之中:

  • Elpass 对归档与删除的处理,深得我意。作为一款密码管理工具,「删除」这个词太过严重。事实上 1Password 也不会直接删除条目,而是将不需要的条目移入垃圾箱(Trash)分类中,必须清空垃圾箱才会真正删除信息。Elpass 则将这一动作定义为归档,设立了专门的归档(Archived)分类,只有在这一分类中,才能真正进行「删除」动作。
  • 新建密码时,Elpass 抛弃了用来细致设定密码中需要饱含几个数字、特殊字符等的滑块,只需选择密码需要包含哪几类字符,限定密码总长即可。
  • 针对被隐藏的密码,1Password 需要点开下拉菜单选择显示「reveal」,而 Elpass 将最高频的显示(reveal)与复制(copy)并排罗列,显示在最前。
  • 用「Domains」的概念取代「Websites」,且直接在单行通过逗号来分割多个地址。

技术的进步往往易于察觉,实际上这十年来使用环境也发生了翻天覆地的变化,这一个个设计上的细节,甚至让我对 1Password 产生了「过时」的感觉。

有效的功能

一款面向普通大众的密码管理工具,无疑需要在安全性与便利性之间死磕。

有关安全性,作者在 Elpass 的「帮助文档」系统中花了两篇来做详述,而这一系统中截止目前甚至还没有一篇关于应用本身的基础使用指南。同时作者进一步开放其加密部分的核心代码,供大家审查。

有关便利性,似乎每一项都直冲 1Password 而来,一扫我之前使用中的各种无奈。

开机自动解锁与风险等级设置

这一功能看似直接缴械了密码管理工具的安全性,但老实说当我输入过不下百次复杂的 Master Password 后,也早将主密码放入系统 Keychain,找了其他工具来帮我自动输入。切身体会,让我欣喜于 Elpass 提供的这一功能。

而在此之上,Elpass 在应用内提供了如下图分级功能,可将具体条目设置为「Convenient」、「Moderate」与「High」三种风险等级,并为不同等级设置不同权限。

自动填充,但不提交

在浏览器中打开登陆页面后,1Password 需要多点一步,通过打开插件或快捷键来选择项目实现自动填充,早期还会在设置中默认勾选自动点击提交(enter),导致遇到输入验证码的情境,屡屡失败。相较而言,Elpass 直接自动填充的体验,对老用户而言简直上瘾。

One-Time Password 模拟输入

OTP 的大规模使用亦是时代演进的体现,1Password 通过将验证码复制到剪贴板,方便用户第二步使用。然而在实际使用中,常常会遇到一些状况,比如网站本身不支持通过复制黏贴的方式输入验证码,或是用户本身延误输入时间,导致剪贴板中的验证码过期。Elpass 通过弹出 OTP 助手的方式,有效解决了这些问题。

原生应用的自动填充

作者将此功能作为一大亮点来做突出,老实说除了 App Store 等系统应用,我自己倒还没遇到太多类似场景。

但仅就在 App Store 中的使用体验,便已值回票价。毕竟大多数普通用户,不会去研究自动输入的方法。需要注意,目前版本中此功能还需要一些动手能力,来实现对第三方原生应用的支持。

关于未来计划

作者在自己的文章少数派的文章中,均提到了一些未来的计划。看过之后,让我也产生了一些想法。

首先,关于「附件」功能,的确很有必要。而且不同于 1Password 那样,将所有文件一股脑算作 attachment,我总觉得图片类文件应该给予特别的展现形式(有些数据懒得粘贴复制或手动录入,直接一张截图搞定)。

其次,条目在展现方式上还比较初级,中文也无法按拼音排序。更新计划中对这一块有多项提及,我还觉得针对 Favorites 类别,也应该提供一些在列表中的特别的展现形式。

最后,则是关于应用的定义。Elpass 是密码管理工具没错,但也自称 Digital Vault。我觉得「Vault」之于「Keychain」,多了一层「长期安全存放用户认为重要的数据,并能随时取用查看」的意义。作者提到诸如软件授权信息等,并不包含需要被加密保存的敏感数据类型,或许没错。但站在用户角度,我还是觉得这类信息有被「Vault」妥善保管的意义。只是不需要像 1Password 那样繁复,可以通过诸如标签、 markdown 模板等更现代的方式来实现。同样对 watchOS 的支持,也能在一些物理使用场景下满足被「快速取用」的需求。甚至,还能考虑一下如何设计对这类数据的「分享」需求,以及对各种修改动作提供历史记录等等。

迁移体验

这次从 1Password 到 Elpass 的迁移过程,花了大约半个下午,整个体验还算顺畅。分享在此:

  1. 分别在 iOSmacOS 商店中下载 Elpass。
  2. 在应用内完成订阅。由于 Elpass 采用了同账号订阅全设备通用的设定,故一处订阅后,另一处选择「恢复订阅」即可。
  3. 在 1Password 中选择导出「.1pif」格式文档,在 Elpass 中选择导入「.1pif」文档。
  4. Elpass 会自动完成导入,并列出无法导入的条目清单。复制到别处后,即可对照着开始整理工作。除了软件授权等明确不支持的数据类型,大多数不兼容数据会被 Elpass 全部写入对应条目的 notes 中,对整理工作带来很大方便,但请注意检查这些数据中的敏感信息。
  5. 由于目前 Elpass 缺失标签与附件功能,只能在 notes 中补充一些额外标记,方便未来进一步整理。
  6. 在官网下载 Elpass macOS版安装包,直接覆盖商店版本。诸如全局呼出、原生应用内自动填充等功能均需通过官网版实现。
  7. 在 Elpass 设置中具体调整各种功能设定。

关于「一人公司」

一直以来,我更愿意将如今这些独立开发者的作品,称为「一人公司」的作品。因为不同以往,如今不少开发者都会更严谨的考虑盈利模式,而环境也逐渐允许他们如同公司一般将作品可持续地运作与发展下去。

「一人公司」特点鲜明,踩过不少坑,也见识了不少优秀的作品。对比劣势,「一人公司」的特点越发能吸引到我:

  1. 作品往往从作者痛点出发,可以理解为带有个性。总有一款能击中某个利基(相对)需求,从而充分满足一群用户。
  2. 与作者的反馈互动更为紧密,需求进一步被满足的概率更大。
  3. 紧跟系统功能更新,第一时间享受到平台的新特性。
  4. 作品在设计上带有更多个人审美,更容易出现鲜明的交互与界面设计。

往往用户对自身需求越清晰,越容易选择优秀的「一人公司」作品。而作品背后,作者的开发特点,又能直接反馈到作品的发展进程中,被用户所感知。用户与作者通过作品彼此连接,沟通成果又最终体现到更好的作品中。这一循环若要良好运作,离不开双方的有效行动。例如在今天这些优秀的「一人公司」中,我觉得开发 Drafts的 Greg Pierce 算是一个活跃的充分沟通者。深思熟虑,有自己明确的开发计划,同时又能理性的与用户充分沟通,高频次的持续更新应用。在国内,Yachen 也带给我这种感觉。

作为用户,当代网络极大丰富了我们的选择。与其耗费时间极尽攻击,不如仔细审视自己的需求,挑选适合自己的应用,然后支持,更有益身心健康。

说回 Elpass,一款实现了 1Password 核心功能,又带来显著改进,却只需要后者一半的订阅费用。你问我支持不支持,我说支持。