密码管理器这个赛道,LastPass、1Password、Bitwarden们卷了十几年。一个独立开发者单枪匹马杀进来,还要搞零知识架构——服务器连用户明文都碰不到。Ali在Indie Hackers发帖说下周上线,我数了数他列的技术栈:RSA、AES、Argon2id、BIP-39助记词。这配置放在加密钱包里不算稀奇,但一个人从头撸到尾,还要做前端、后端、支付、落地页,时间成本怎么算都是亏的。
除非他根本没打算跟大厂拼功能。
「连我都帮不了你」才是卖点
Ali的原话很直接:「如果你忘记主密码,连我都帮不了你——这就是重点。」传统密码管理器的噩梦场景是服务器被拖库,或者公司内部有人使坏。零知识架构把攻击面砍到只剩用户设备,代价是放弃「忘记密码」这个刚需功能。
他的解法是从加密货币钱包借来的:13词BIP-39助记词,创建时生成一次,丢了就真没了。没有邮箱验证、没有客服重置、没有后门。这种设计在C端产品里近乎自杀,但Ali瞄准的显然不是普通用户——是那些已经用过密码管理器、知道「方便」和「安全」不可兼得的人。
免费层直接放出来,Pro定价还没公布,只说「便宜到不用想」。这个策略很聪明:零知识产品的信任成本极高,让用户零门槛摸一摸加密流程,比任何白皮书都管用。
技术债全砸在密钥管理上
Ali花了好几周迭代的硬骨头:RSA非对称加密 + AES对称加密 + Argon2id密钥派生,三者在客户端和服务端无缝配合。主密码派生出的密钥解密RSA私钥,私钥再解密具体密文。这套链条任何一环崩了,用户体验就碎成渣。
他提到的一个细节很真实:「Key management is hard.」独立开发者没有密码学团队兜底,每个设计决策都要自己背锅。比如Argon2id的内存参数调多少?太低防不住GPU暴力破解,太高低端设备卡死。这些权衡没有标准答案,只有试错。
产品功能倒是克制:模板快速回复、片段存储、基础分类。没有自动填充浏览器插件,没有团队版权限管理,没有暗网监控。Ali的TODO列表里倒是列了浏览器扩展和API,但优先级明显在「先把核心加密流程跑顺」。
3月31日上线,之后呢
Product Hunt首发定在3月31日,周二。Ali的计划是分阶段:先靠PH冷启动攒种子用户,再铺浏览器插件降低迁移成本,最后开放API接企业场景。这个节奏对solo开发者来说算激进,但密码管理器的切换成本极高,窗口期就那么几个月。
他放出的 cryptvault.app 已经可以注册,免费层不要信用卡。我扫了一眼落地页,加密架构的说明占了很大篇幅——这在SaaS产品里很少见,通常是「银行级加密」一句话带过。Ali反着来,把技术细节当卖点晒,筛选用户的意图很明显。
一个有意思的对照:Bitwarden也是开源+零知识,但团队几十号人,烧了多年钱才盈亏平衡。Ali一个人干,成本结构完全不同,但信任背书也完全不同。用户会不会为「个人项目」的风险买单,是最大未知数。
他在帖子里留了个钩子:「Happy to go deep on the encryption design if anyone's curious.」没人问的时候,独立开发者的技术博客就是最好用的冷启动燃料。有人问了,一场加密架构的AMA又能再洗一波精准用户。
最后放一句Ali的原话,来自他对「最难的部分」的总结:「Solo developer bandwidth: Building frontend, backend, encryption layer, admin panel, payment integration, and landing page alone is... a lot. But also incredibly rewarding.」
下周二Product Hunt见分晓。你会把主密码交给一个连自己都看不到数据的陌生人吗?
热门跟贴