UniPass 是一个本地优先、零知识的密码管理器。我们在设计上就尽一切努力减少我们能看到的数据——因为能看到的数据,就是能被泄漏的数据。
简而言之
- 本地优先:vault 数据始终先在本地 AES-256-GCM 加密,再考虑是否离开设备。
- 云同步可选:默认不启用;启用后只有端到端加密的密文会上传,我们没有密钥,无法解密。
- 零遥测:不上传使用统计、崩溃报告或行为分析。
- 我们不卖数据,不做广告,不做行为分析。
我们收集哪些数据
不依赖云同步时(本地模式)
什么都不收集。主密码、vault 内容、Secret Key、设备标识、IP 地址,一律不离开设备。唯一的网络请求是按需的 favicon 获取(见下)。
启用云同步后
只有以下内容会上传到我们的同步服务端:
| 类别 | 是否上传 | 说明 |
|---|---|---|
| 主密码 | 否 | 永不离开设备,服务端只见 Argon2id 派生的 auth_hash(不可逆)。 |
| vault 记录(账号密码、笔记、卡片等) | 仅密文 | AES-256-GCM 加密后的不透明 blob,服务端无密钥可解。 |
| Secret Key(恢复码) | 否 | 注册时生成,仅保存在设备 Keychain。 |
| 同步元数据 | 是 | 账户邮箱、设备名/类型、同步时间戳、记录版本号。 |
| 使用统计 / 遥测 | 否 | 未集成任何分析 SDK(无 Sentry / Firebase / GA / Mixpanel)。 |
| 崩溃报告 | 否 | 未集成崩溃上报。 |
| 客户端 IP | 临时 | 仅 Web 访问日志按运维需要保留,不写入用户数据库。 |
| Favicon 图标 | 见下 | 仅按需访问目标网站公开 favicon,请求中不包含任何 vault 内容。 |
我们不会上传:主密码或任何派生密钥、明文 vault 内容、浏览器历史 / 剪贴板内容 / 文件名。
启用云同步是显式操作——需要在桌面端「设置 → 云同步」中输入服务端 URL 并确认。
浏览器扩展
面向 Microsoft Edge 及其他受支持 Chromium 浏览器的 UniPass 扩展是桌面应用的伴侣。它会识别登录表单、在用户主动操作时填充凭据,并仅为在本机显示保存或更新提示而处理用户提交的登录值。凭据只在扩展与本机桌面应用之间通过操作系统的 Native Messaging 通道传递——绝不经网络发给我们。扩展不含任何分析,也不向任何地方发送浏览数据。
第三方服务
- Favicon 获取:保存含 URL 的账号时,向目标站点请求其公开的 favicon 图标。请求不包含 vault 内容,可在设置中关闭。
- 同步服务端(仅当你启用云同步时):UniPass 团队运营的服务端,经 HTTPS + WebSocket 连接,仅交换密文与同步元数据。
除此之外不与任何第三方服务通讯。
数据存储位置
所有本地数据存储在标准的操作系统用户数据目录:
- macOS:
~/Library/Application Support/io.loxnet.unipass/
数据库文件使用 SQLCipher 加密,密钥派生自你的主密码。操作系统用户权限(0600)阻止其他用户读取。
数据删除
- 单条记录:发送到回收站,30 天后自动永久删除,也可手动立即永久删除。
- 整个本地 vault:卸载 UniPass 或手动删除
~/Library/Application Support/io.loxnet.unipass/即可彻底清除所有本地数据。 - 服务端数据:在桌面端「设置 → 云同步」中可撤销设备 / 删除账户,删除请求会同步清理服务端的 vault 密文与同步元数据;卸载客户端不会自动删除服务端数据。
儿童隐私
UniPass 不针对 13 岁以下儿童提供服务,且不会有意收集任何未成年人的个人数据。
变更
本隐私政策的修订会在项目发布说明中声明。重大变更会提前通知用户。
联系
- 隐私相关咨询:privacy@unipass.loxnet.io
- 安全漏洞披露:security@unipass.loxnet.io(参见安全页)