OpenPass 是本地工具,安全责任在于用户自身。
请务必阅读并理解以下安全说明。
所有密钥数据存储在 Chrome 浏览器的本地存储中:
- 位置:浏览器用户数据目录
- 范围:仅限当前浏览器配置
- 同步:不自动同步到云端
启用主密码后,密钥数据使用 AES-256-GCM 加密:
| 项目 | 算法 | 参数 |
|---|---|---|
| 密钥派生 | PBKDF2 | 100,000 次迭代 |
| 加密算法 | AES-256-GCM | 256 位密钥 |
| 盐值 | 随机生成 | 16 字节 |
注意:主密码丢失后无法恢复数据,请务必牢记。
| 风险 | 说明 | 应对措施 |
|---|---|---|
| 浏览器数据清除 | 清除浏览器数据将导致密钥丢失 | 定期备份到外部文件 |
| 恶意扩展 | 其他恶意扩展可能读取存储数据 | 仅安装可信扩展 |
| 设备丢失 | 设备丢失将无法获取验证码 | 备份文件保存到安全位置 |
| 浏览器同步 | 启用同步可能将密钥上传云端 | 谨慎使用同步功能 |
| 备份文件泄露 | 备份文件可能包含明文密钥 | 启用备份加密 |
| 主密码泄露 | 主密码泄露将导致数据暴露 | 使用强密码,不要分享 |
- 使用 8 位以上的强密码
- 包含大小写字母、数字、符号
- 不要使用常见单词或生日
在设置中启用备份加密:
- 使用主密码作为备份密码(推荐)
- 或设置独立的备份密码
- 启用自动备份功能
- 将备份文件保存到加密容器或安全位置
- 建议保留多个历史版本
大多数网站在启用 2FA 时会提供恢复码:
- 将恢复码保存到安全位置
- 可以打印出来物理保存
- 恢复码是最后的救命稻草
- 定期检查已保存的密钥列表
- 删除不再使用的条目
- 更新过期的站点信息
对于高敏感账户(银行、主邮箱等):
- 考虑使用硬件安全密钥(如 YubiKey)
- 保存多个恢复方式
- 不要仅依赖单一验证方式
| 方案 | 优点 | 缺点 | 安全等级 |
|---|---|---|---|
| OpenPass | 本地存储、浏览器集成、支持加密备份 | 无云同步 | ⭐⭐⭐⭐ |
| Google Authenticator | 官方支持、广泛兼容 | 换机麻烦、无云备份 | ⭐⭐⭐ |
| Authy | 云同步、多设备 | 需注册账号、数据存云端 | ⭐⭐⭐ |
| 1Password/Bitwarden | 密码+2FA 一体化 | 付费/需信任服务商 | ⭐⭐⭐⭐ |
| 硬件密钥 (YubiKey) | 最高安全性 | 需购买设备、可能丢失 | ⭐⭐⭐⭐⭐ |
✅ 设置主密码
✅ 启用备份加密
✅ 启用自动备份(本地快照 + 目录备份)
✅ 定期导出备份到外部存储
✅ 保存各网站的恢复码
❌ 在公共电脑上保存密钥
❌ 将备份文件上传到网盘(未加密)
❌ 与他人分享主密码
❌ 安装来源不明的扩展
如果您发现安全漏洞,请负责任地披露:
- 不要公开披露漏洞
- 发送详细信息到 GitHub Issues
- 给我们时间修复后再公开
感谢您帮助改进 OpenPass 的安全性!