ZPass

Secure autofill for ZPass desktop vaults.

ZPass — 为 ZPass 桌面端密码库提供安全自动填充。 ZPass 是一款零知识架构、本地优先的密码管理器。本扩展是 ZPass 桌面端的浏览器 伴侣 —— 自动填充登录信息、识别并填入 TOTP 验证码、登录成功后弹窗提示保存 新凭据，并把 WebAuthn 通行密钥请求桥接到你的密码库。本扩展不与任何云服务 通信，它只通过 Chrome 原生消息协议与你电脑上运行的 ZPass 桌面端对话。 核心能力 • 输入框聚焦时浮现内联自动填充菜单，仅展示与当前页面主机匹配的凭据。 • 自动识别 TOTP / 一次性验证码输入框（命中 autocomplete="one-time-code" 及常见字段名启发式规则）。OTP 密钥永远不离开桌面端，扩展仅接收当前 6 位验证码并填入对应输入框。 • 登录成功后弹窗询问是否保存或更新密码，独立于网页 DOM 的系统级弹窗， 即使页面立刻跳转也不会被关闭。 • Passkey（WebAuthn）桥接 —— navigator.credentials.create / get 路由到 密码库托管的 ES256 凭据。任何凭据创建或签名前，RP-ID 都会与调用方源 严格比对。私钥永远不离开桌面端。 • 锁定感知：桌面端密码库锁定时扩展自动停摆并引导解锁，明文凭据不会 跨越桥接通道。 安全模型 扩展被视为「不可信瘦客户端」，主密码绝不进入扩展上下文。原生消息宿主 通过 localhost 桥接与桌面端通讯，桥接令牌随机生成、每次会话刷新，存放 在用户配置目录下、文件权限 0600。每次返回凭据前，桌面端会再次校验 来源域名。底层加密算法采用 XChaCha20-Poly1305 + Argon2id，与桌面端、 移动端完全一致（详见 cryptocore/）。 完全开源 · AGPL-3.0 每一行代码：https://github.com/zerx-lab/zpass —— 协议规范与威胁模型将 在正式公开发布前一并放出。 需配合 ZPass 桌面端使用 当前已支持 Windows / Linux，macOS 预览中。安装与下载：https://zpass.zerx.dev