ZPass

About

ZPass — 为 ZPass 桌面端密码库提供安全自动填充。

ZPass 是一款零知识架构、本地优先的密码管理器。本扩展是 ZPass 桌面端的浏览器
伴侣 —— 自动填充登录信息、识别并填入 TOTP 验证码、登录成功后弹窗提示保存
新凭据，并把 WebAuthn 通行密钥请求桥接到你的密码库。本扩展不与任何云服务
通信，它只通过 Chrome 原生消息协议与你电脑上运行的 ZPass 桌面端对话。


核心能力

• 输入框聚焦时浮现内联自动填充菜单，仅展示与当前页面主机匹配的凭据。

• 自动识别 TOTP / 一次性验证码输入框（命中 autocomplete="one-time-code"
  及常见字段名启发式规则）。OTP 密钥永远不离开桌面端，扩展仅接收当前
  6 位验证码并填入对应输入框。

• 登录成功后弹窗询问是否保存或更新密码，独立于网页 DOM 的系统级弹窗，
  即使页面立刻跳转也不会被关闭。

• Passkey（WebAuthn）桥接 —— navigator.credentials.create / get 路由到
  密码库托管的 ES256 凭据。任何凭据创建或签名前，RP-ID 都会与调用方源
  严格比对。私钥永远不离开桌面端。

• 锁定感知：桌面端密码库锁定时扩展自动停摆并引导解锁，明文凭据不会
  跨越桥接通道。


安全模型

扩展被视为「不可信瘦客户端」，主密码绝不进入扩展上下文。原生消息宿主
通过 localhost 桥接与桌面端通讯，桥接令牌随机生成、每次会话刷新，存放
在用户配置目录下、文件权限 0600。每次返回凭据前，桌面端会再次校验
来源域名。底层加密算法采用 XChaCha20-Poly1305 + Argon2id，与桌面端、
移动端完全一致（详见 cryptocore/）。


完全开源 · AGPL-3.0

每一行代码：https://github.com/zerx-lab/zpass —— 协议规范与威胁模型将
在正式公开发布前一并放出。


需配合 ZPass 桌面端使用

当前已支持 Windows / Linux，macOS 预览中。安装与下载：https://zpass.zerx.dev