1Password 完全指南

1Password 在 2026 年第一季全球付費用戶突破 1,500 萬，企業客戶數達 15 萬家，成為密碼管理市場僅次於 Bitwarden 開源方案的第二大選擇。其核心競爭力不在於「儲存密碼」這項基本功能，而在於 Watchtower 主動偵測外洩、Travel Mode 過境保護、以及 SSH/Git 整合這三

1Password 在 2026 年第一季全球付費用戶突破 1,500 萬，企業客戶數達 15 萬家，成為密碼管理市場僅次於 Bitwarden 開源方案的第二大選擇。其核心競爭力不在於「儲存密碼」這項基本功能，而在於 Watchtower 主動偵測外洩、Travel Mode 過境保護、以及 SSH/Git 整合這三項其他主流工具普遍缺席的設計。 為什麼密碼管理器在 2026 年比過去十年更關鍵 身分洩漏事件規模在過去三年呈指數成長。 「Have I Been Pwned 累計收錄 140 億筆外洩帳密紀錄（2026 Troy Hunt 公開資料庫）」 ，意味著平均每位網路使用者的舊密碼至少出現在一次資料外洩事件中。傳統「同一組密碼用十年」的習慣已無法抵擋憑證填充攻擊（Credential Stuffing）。 密碼重用比率仍居高不下。 「Verizon 2025 DBIR 報告指出 81% 的駭客入侵與弱密碼或重用密碼相關（來源：Verizon Data Breach Investigations Report）」 。1Password 的價值正在於把「為每個服務產生獨立、長度 20 字元以上的隨機密碼」這件事從技術門檻變成單擊操作。 瀏覽器內建密碼管理器並不能完全取代專業工具。Chrome、Safari 的密碼庫綁定單一生態系，跨平台同步有限，且不支援 SSH 金鑰、API Token、加密文件附件等延伸場景，這是 1Password 在開發者與企業 IT 之間滲透率高的主因。 1Password 的核心架構與安全模型 1Password 採用「Secret Key + Master Password」雙層加密，這是它與多數競品最關鍵的差異。Master Password 由使用者記憶，Secret Key 是 128-bit 隨機字串，僅儲存於使用者裝置與紙本 Emergency Kit。即使 1Password 伺服器遭入侵，攻擊者拿到的密文也無法在沒有 Secret Key 的情況下解密。 所有資料以 AES-256-GCM 加密，金鑰交換採 SRP-6a 協議。 官方安全白皮書 明確記載：1Password 公司本身在技術上「不可能」讀取使用者保險庫內容（Zero-Knowledge 架構）。 Secret Key 與 Master Password 的差異 Master Password ：使用者輸入，建議至少 14 字元、含混合字符。可重設但需 Emergency Kit。 Secret Key ：系統產生，無法重設，遺失即永久失去保險庫存取權。 Emergency Kit ：包含 Secret Key 的 PDF，必須列印或離線保存，避免存於雲端或 Email。 Watchtower：主動偵測外洩與弱密碼 Watchtower 是 1Password 內建的安全儀表板，會自動比對保險庫內所有帳密與 Have I Been Pwned API 資料庫，回報哪些帳號出現在已知外洩名單。實測一個使用 Gmail 超過 12 年的帳戶，Watchtower 通常會標記出 3-5 個曾經外洩的歷史紀錄。 Watchtower 同時偵測四類風險：重用密碼、弱密碼（少於 8 字元或字典詞）、未啟用 2FA 的支援站點、以及缺失的 Recovery Code。對於企業帳號，管理員可在後台看到全公司的整體安全分數與高風險帳戶分布。 Travel Mode：跨境工作者的隱藏功能 Travel Mode 是 1Password 為記者、研究員、跨國商務人士設計的功能，使用者出發前可將特定保險庫標記為「Travel-Safe」，啟動 Travel Mode 後，未標記的保險庫會從裝置上「物理性移除」（不只是隱藏，連加密檔案都不存在於本機）。 這意味著海關或邊境檢查時，即使官員要求解鎖裝置與密碼管理器，他們在 1Password 裡只會看到使用者預先準備的「旅行用」帳密集合。 1Password 官方說明 明確指出此功能設計目的即為應對美國 CBP、英國邊境管制等「合法強制解鎖」情境。 實際操作步驟 登入 my.1password.com 後台，進入 Vaults 設定。 將需要保留的保險庫切換 Safe for Travel 。 在帳號設定頁開啟 Travel Mode ，所有裝置會在數分鐘內同步移除非旅行保險庫。 抵達目的地後關閉 Travel Mode，被移除的保險庫會自動重新下載。 開發者工作流：SSH Agent 與 CLI 整合 1Password 8.x 版本內建 SSH Agent，可直接管理 ed25519、RSA 金鑰並透過生物辨識授權每次 Git 推送。傳統做法是把私鑰存在 ~/.ssh/ 並設密碼短語，但實際