Panduan Pengguna
Cara menggunakan Arpass, berdasarkan skenario.
π Learn more: How to choose a YubiKey or passkey is covered in our guide articles.
π Penggunaan pertama
Alur awal untuk membuat vault aman Anda.
Kunjungi arpass.io. Layar "Buat drive aman" akan muncul.
Masukkan master password dua kali. Ini adalah password login Arpass Anda β jangan pernah dibagikan, dan harap diingat.
Klik "Buat drive aman". Kemudian daftarkan Passkey (autentikasi perangkat) menggunakan Touch ID / Face ID.
Recovery Secret hanya ditampilkan sekali (format: RS1-XXXX-XXXX-β¦). Simpan di tempat yang aman.
Klik "Saya mengerti" untuk masuk ke drive.
π Lindungi kunci (Passkey) dan Recovery Secret AndaCara termudah membuka drive Anda di perangkat baru adalah
passkey tersinkron (iCloud Keychain / Google Password Manager) atau
kunci keamanan seperti YubiKey. Dengan salah satunya, perangkat baru dapat dibuka hanya dengan "master password + passkey" (tanpa perlu Recovery).
- Recovery Secret adalah upaya pemulihan terakhir Anda saat kehilangan semua passkey sekaligus. Hanya ditampilkan sekali, jadi cetak atau catat di tempat yang aman.
- Jika Anda kehilangan ketiganya β master password, semua passkey, dan Recovery Secret β pemulihan menjadi mustahil (Arpass tidak menyimpannya).
- Simpan Recovery Secret di tempat berbeda dari master password Anda.
π Penggunaan harian
Ambil kata sandi
Kunjungi arpass.io β layar kunci
Masukkan master password β autentikasi dengan Touch ID / Face ID
Daftar password akan muncul. Gunakan kotak pencarian untuk memfilter berdasarkan nama situs.
Klik entri β tampilan detail. Gunakan "π Tampilkan" untuk memperlihatkan password, "π Salin" untuk menyalin ke clipboard.
Simpan kata sandi baru
Klik "+ Tambah baru"
Masukkan nama situs, URL, nama pengguna, dan password. Gunakan "π² Buat" untuk menghasilkan password yang kuat.
Klik "Simpan" untuk menulis ke Arweave (menggunakan 1 kredit)
π Penyimpanan file
Simpan PDF, gambar, dan file apa pun terenkripsi selamanya. Ideal untuk dokumen akuntansi (kuitansi / faktur / kontrak / laporan kesehatan). Sesuai dengan persyaratan kemampuan pencarian hukum pembukuan elektronik Jepang (tanggal / jumlah / lawan).
Menambahkan file
Buka tab Β«π FileΒ» di bagian atas aplikasi
Klik Β«+ Tambah fileΒ»
Pilih file (PDF / gambar / teks / Word / Excel dll., hingga 30 MB)
Pratinjau ditampilkan. Untuk gambar besar, gunakan Β«ποΈ KompresΒ» untuk mengecilkan (~200-500 KB)
Masukkan Lawan transaksi atau Judul (salah satu wajib); tanggal / jumlah / mata uang opsional
Klik Β«SimpanΒ» untuk mengenkripsi + menulis ke Arweave
π‘ File di bawah 100 KiB berbiaya $0 (diteruskan dari Free Tier Turbo). Foto 1 MB berbiaya ~$0.13. Jika biaya aktual di bawah estimasi, selisih dikembalikan langsung.
Pengisian otomatis OCR (opsional)
Otomatis ekstrak tanggal / jumlah / lawan / deskripsi / tag dari gambar kuitansi atau faktur / PDF. Memerlukan API key OpenAI Anda sendiri (gambar dikirim langsung ke OpenAI; server Arpass tidak terlibat).
Di Pengaturan Arpass (βοΈ) β bagian bawah "π· OCR Struk (opsional)" β masukkan key β "Simpan & Verifikasi"
Saat Anda memilih gambar / PDF, tombol "π· Isi otomatis dari gambar (OpenAI)" akan muncul
Klik untuk mengekstrak; ~\$0,005 per gambar ditagihkan ke akun OpenAI Anda
Kolom yang kosong akan diisi secara otomatis (selalu menimpa β tinjau dan edit sesuai kebutuhan)
Mencari file
Kotak pencarian di atas: filter berdasarkan tanggal / jumlah / lawan / judul β instan
Klik Β«ποΈΒ» untuk filter lanjutan: rentang tanggal, rentang jumlah, lawan/judul, jenis, tag β gabungan AND
Pencarian lawan transaksi Jepang menggunakan normalisasi NFKC + hiraganaβkatakana (Β«γ»γγ³Β» cocok dengan Β«γγΆγΒ»)
Mengoreksi dan menghapus file
Klik baris di daftar β modal detail
Tombol Β«βοΈ EditΒ» untuk koreksi (alasan wajib, tercatat append-only)
Tombol Β«ποΈ DeleteΒ» untuk penghapusan logis (alasan wajib, asli dan data Arweave dipreservasi)
Tombol Β«π HistoryΒ» menampilkan log audit (pembuatan/koreksi/penghapusan semua terlihat)
π Riwayat koreksi / penghapusan bersifat append-only, sehingga dapat digunakan sebagai bukti untuk audit pajak (sesuai hukum pembukuan elektronik). Penghapusan fisik tidak mungkin, tetapi ini juga keuntungan hukum yaitu "jejak dipertahankan".
Unduh sebagai CSV
Klik tombol Β«π₯ CSVΒ» di header tab File
Semua metadata file diunduh sebagai arpass-files-YYYY-MM-DD.csv
UTF-8 BOM memastikan bahasa Jepang tidak rusak di Excel / Numbers / Google Sheets
Kolom: id / type / date / counterparty / title / amount / currency / description / tags / createdAt / version / txId / sha256 / arweave_url
π± Ganti perangkat (buka vault yang sama di perangkat baru)
Saat Anda membeli iPhone atau Mac baru dan ingin mengakses drive Anda yang ada. Jika Anda memiliki passkey tersinkron atau kunci keamanan (YubiKey), Anda dapat membukanya hanya dengan master password dan passkey β tanpa perlu Recovery.
Buka arpass.io di perangkat baru β klik "π² Pulihkan brankas yang dibuat di perangkat lain"
Jika Anda memiliki passkey tersinkron (iCloud Keychain / Google Password Manager) atau YubiKey: klik "π Pulihkan dengan passkey + Kata Sandi Utama (tanpa Recovery)", masukkan master password Anda β autentikasi dengan passkey. Tidak perlu Recovery.
Jika Anda tidak memiliki passkey: masukkan master password + Recovery Secret dari kertas (π· scan QR juga bisa).
Setelah buka kunci berhasil, sebuah Passkey khusus otomatis terdaftar di perangkat baru ini.
Mulai sekarang, perangkat ini dapat dibuka hanya dengan "master password + Touch ID / Face ID".
π Lupa kata sandi master
Anda lupa kata sandi yang Anda hafalkan, atau mungkin mengubahnya secara tidak sengaja.
Di layar kunci, klik "π Lupa Master β Reset dengan Passkey + Recovery"
Masukkan Recovery Secret dari kertas (π· scan QR juga bisa)
Autentikasi via Passkey dengan Touch ID / Face ID
Prompt "Tetapkan master password baru" muncul β masukkan password baru
Drive terbuka + password baru otomatis diterapkan ke setiap wrap
π‘ Menyetel atau mengubah kata sandi utama akan membuat satu Passkey baru di perangkat ini (Passkey lama tidak dapat lagi membuka kunci, jadi Anda dapat menghapusnya di "Kelola perangkat terdaftar" jika tidak diperlukan lagi). Jika Anda menggunakan passkey tersinkronisasi, di perangkat lain cukup pilih Passkey baru dan masukkan kata sandi baru pada kesempatan berikutnya. Jika setiap perangkat memiliki Passkey sendiri, buka kunci lagi perangkat tersebut dengan "kata sandi baru + Recovery Secret".
π How to save the Recovery Secret
When you create a vault, the Recovery Secret is shown only once. Pick the right method from the 4-tier picker in the app based on your environment.
π BEST β Print on paper
Click "π¨ Print now" β browser print dialog β print on paper
Keep in a safe or locked drawer, physically secure
Store it in a different place than your master password
π‘ Print later is also available. But you must print before proceeding (= it's shown only once).
π₯ GREAT β Switch to YubiKey-only mode
A mode where the Recovery Secret itself doesn't exist. For physical-security-focused users. See π YubiKey-only mode.
π₯ OK (mobile / PC compatible) β Save image
The "πΈ Save image" button creates a PNG (= Recovery Secret + QR code). On mobile, save via the share sheet to iCloud Photos / Google Photos. On PC, it's downloaded to your Downloads folder.
β Requirement: E2E encryption ON
You need iCloud Photos Advanced Data Protection, or Google One Backup E2E encryption ON before saving. Without this, Apple / Google still have technical access.
iCloud ADP check: Settings β [Apple ID name] β iCloud β "Advanced Data Protection" ON.
Google E2E backup check: Google account β Backup β "End-to-end encryption" ON (Android 13+ partial support).
π« Avoid
- Sending to yourself via plain Email / LINE / Slack / Discord
- Saving to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Storing in the same place as your master password
- Taking a screenshot of the QR code (= screen capture is outside the app β use the "Save image" button above which is optimized for naming and size)
π² How to restore later
To restore on a new device:
Open arpass.io on the new device β "π² Restore a drive created on another device"
Enter master password β tap the π· QR scan icon
In the QR scanner, tap "πΌ Scan image" (= NEW)
Select the saved PNG image β Recovery Secret is read and filled in
Drive unlocks
π Passkey perangkat ini hilang
Anda mengganti profil browser, atau menggunakan perangkat baru dengan Touch ID baru.
Di layar kunci: "π± Passkey Hilang β Buka dengan Master + Recovery"
Masukkan master password + Recovery dari kertas (scan QR boleh)
Buka kunci berhasil β Pengaturan β "π Daftarkan Passkey di perangkat ini" untuk membuat Passkey baru
Mulai sekarang perangkat ini dapat dibuka kembali dengan "master password + Touch ID"
π Mode hanya YubiKey
Mode yang membuka drive Anda hanya dengan kunci keamanan seperti YubiKey β tanpa kata sandi utama dan tanpa Recovery Secret. Tidak ada yang perlu dihafal: cukup sentuh salah satu YubiKey terdaftar Anda untuk membuka kunci. Ini adalah opsi tingkat lanjut bagi mereka yang ingin sepenuhnya mengandalkan kunci fisik.
π‘ More on YubiKey itself: YubiKey: what & how to choose / Price tiers / Using with Arpass
β οΈ Harap baca sebelum membuatMode hanya YubiKey
tidak memiliki penyelamatan kata sandi utama maupun Recovery Secret. Jika Anda kehilangan
semua YubiKey terdaftar, drive
tidak akan pernah bisa dibuka lagi (kami pun tidak dapat memulihkannya).
- Karena itu Anda harus mendaftarkan dua YubiKey atau lebih saat membuat drive β agar jika satu hilang atau rusak, masih ada yang lain untuk membukanya.
- Simpan kunci cadangan di tempat lain yang aman (kunci cadangan).
- Jika Anda tidak keberatan menghafal kata sandi, mode standar (kata sandi utama + Passkey) memiliki lebih banyak opsi pemulihan dan lebih aman.
Membuat drive hanya YubiKey
Buka arpass.io β pada layar Β«Buat drive amanΒ» pilih Β«π Gunakan hanya YubiKeyΒ»
Pilih berapa banyak YubiKey yang akan didaftarkan (dua atau lebih)
Centang kotak yang mengonfirmasi bahwa Anda memahami drive tidak dapat dipulihkan jika semua YubiKey hilang
Tekan Β«Buat dalam mode YubiKeyΒ» dan, mengikuti petunjuk, masukkan (atau dekatkan via NFC) dan sentuh YubiKey pertama Anda
Daftarkan YubiKey lainnya satu per satu (Anda akan diminta mengganti kunci)
Setelah semua terdaftar, drive dibuat dan langsung terbuka
Membukanya di perangkat lain
Di perangkat lain buka arpass.io β klik Β«π² Pulihkan drive aman yang dibuat di perangkat lainΒ»
Pilih Β«π Buka drive Anda dengan YubiKey dari perangkat lainΒ»
Masukkan (atau dekatkan via NFC) dan sentuh salah satu YubiKey terdaftar Anda
Drive terbuka β tanpa kata sandi utama dan tanpa Recovery
Menambahkan YubiKey
Saat drive terbuka, buka Pengaturan (β) β buka bagian Β«π YubiKey terdaftarΒ»
Tekan Β«+ Tambah YubiKeyΒ»
Pertama sentuh salah satu YubiKey Anda yang sudah terdaftar untuk memastikan itu Anda
Kemudian ganti ke YubiKey baru yang ingin Anda tambahkan dan sentuh
YubiKey baru terdaftar dan sejak saat itu juga dapat membuka drive
π² Atur perangkat lain dengan cepat menggunakan kode tambah perangkat
Dari perangkat yang sudah bisa membuka kunci, kirim <strong>credentialId dan tag indeks Arweave</strong> ke perangkat lain (= yang juga harus membuka kunci dengan YubiKey yang sama). Ini lebih cepat dan andal dibandingkan Β«Buka dengan YubiKey perangkat lainΒ». Di Android Chrome ini praktis wajib, karena bug Chrome menghalangi picker normal bekerja.
π‘ Keamanan: Kode hanya berisi informasi publik (credentialId + tag Arweave). Tidak menyertakan PRF / kunci kripto / Recovery / Master, jadi meski bocor pun tidak ada yang bisa membuka kunci tanpa YubiKey fisik. Perlakukan sebagai efemeral (hapus setelah ditempel) untuk kerapian.
Sisi tampilan (= perangkat yang sudah terbuka kunci): Dengan drive terbuka, Pengaturan (β) β bagian Β«π YubiKey TerdaftarΒ»
Ketuk Β«π² Tampilkan kode untuk perangkat lainΒ»
Muncul string yang dimulai dengan Β«AP1....Β» beserta kode QR
Sisi input (= perangkat baru): Di layar pembuatan arpass.io, ketuk tautan Β«π² Buka dengan kode tambah perangkat (AP1....)Β» di bagian bawah
Kolom muncul: tempel kode dari sisi tampilan atau gunakan tombol Β«π·Β» untuk memindai QR melalui kamera
Ketuk Β«Terapkan kode β Buka dengan YubiKeyΒ» dan sentuh YubiKey Anda
Pembukaan kunci selesai dan ke depan perangkat ini bisa dibuka secara normal
π‘ Kegunaan: β Membuat Android Chrome bekerja (jalur wajib), β‘ Juga di Mac / Win / iPhone, lewati ketukan picker untuk mempercepat pengaturan, β’ Jalur standar saat menyebarkan satu YubiKey ke banyak perangkat. Bekerja perangkat apa pun β perangkat apa pun.
π‘ Tentang Safari di Mac: Safari di Mac menerapkan WebAuthn secara berbeda dari browser lain, sehingga drive YubiKey yang dibuat atau digunakan di Safari Mac menjadi khusus Safari Mac dan tidak dapat dibuka di Chrome, Edge, iPhone, atau Android (dan sebaliknya). Untuk berbagi drive yang sama di beberapa lingkungan, gunakan browser selain Safari (Chrome / Edge) di Mac Anda.
π’ Sign up as an employee (Business mode)
If your company has deployed Arpass, you receive an invite code from the admin to join. Employees don't hold Recovery themselves β the admin manages it centrally (password loss / device loss recovery is performed via admin approval).
Get the invite code from admin (e.g., ARPASS-XXXX-XXXX) β in person / Slack DM preferred, share only the code, not a URL
Open arpass.io β click 'π² Employees: join with a code'
Enter the invite code in the prompt β moves to create view + yellow banner 'π’ Employee mode signup'
Set your master password (memorize it β admin does not know it)
'Create the company vault' β Touch ID to create Passkey
Lands on vault view. Recovery is auto-sent to admin (never shown on screen)
π‘ The admin must have opened the app at least once (so their public key is registered on server). If you see 'Failed to join company or send Recovery', ask the admin.
π² Employee device-add / total lockout recovery
If an employee wants to add a new device or has lost all their devices, the admin issues a <strong>device-add code</strong> (8 chars, valid 5 min). It's bound to the employee + single-use + IP rate-limited.
Employee contacts admin to 'add a new device'
Admin tab β employee row β 'π² Device-add code' β 'Auto-approve?' (recommended: Cancel = manual approval required)
Admin sees the 8-char code β relays to employee in person / Slack DM (code only)
Employee opens arpass.io on new device β 'π² Employees: join with a code' (or the same button on the 'Get started' view if picker is empty)
Enter code β device name β master password (the one set at signup) β 'Redeem code'
Progress view (big spinner + 10:00 countdown) shows the wait for admin approval
Admin tab's inbox shows 'π² Device-add' request β 'β
Approve' (auto-approve mode handles automatically)
Employee device auto-unlocks the vault + registers Passkey β vault view + toast 'β
This device is registered'
π‘ Even if the device-add code is stolen, with auto-approve OFF the admin must approve, providing one defense layer. Admin can also see the requesting IP in the inbox.
π³ Biaya & pembayaran
Penagihan pascabayar. Setiap operasi simpan (tambah, ubah, hapus) menambah tarif hari itu ke pemakaian; bayar sekaligus kapan saja. Membaca & menyalin gratis.
Dengan drive terbuka, klik "π³ Saldo" di header kanan atas
Modal pemilihan paket terbuka (Starter / Standard / Heavy / Business / Family)
Klik sebuah paket β checkout Stripe terbuka di tab baru
Masukkan info kartu kredit β selesaikan pembayaran
Tab baru menutup secara otomatis dan Anda kembali ke drive β notifikasi: "β
+N kredit ditambahkan"
π‘ Status terbuka Anda dipertahankan. Tidak perlu login ulang saat pembayaran.
π Terbitkan ulang Recovery Secret
Jika Anda kehilangan kertas atau curiga kebocoran. Recovery Secret lama diperlukan.
Layar drive β Pengaturan (ikon β) β bagian "Terbitkan Ulang Recovery Secret"
Masukkan master password Anda saat ini
Pilih salah satu dari dua mode:
- A. Ringan (disarankan): Untuk ketika kertas hilang namun Anda rasa tidak ada pencurian. Paling cepat, tanpa operasi server.
- B. Penuh (dugaan pencurian): Untuk ketika Recovery lama mungkin telah bocor. Mengenkripsi ulang isi dan beralih ke pengenal akun baru.
Klik "Terbitkan Recovery Secret baru"
Recovery baru muncul di layar β selalu cetak dan simpan dengan aman
Perbedaan antara Kasus A dan B (penting):
- Kasus A: Data lama di Arweave masih bisa didekripsi oleh siapa saja yang memiliki Recovery + Master lama. Keamanan "data masa lalu" TIDAK terjamin.
- Kasus B: Data Arweave lama tidak dapat didekripsi secara permanen oleh siapa pun tanpa MEK lama. Catatan: envelope Arweave lama itu sendiri tidak dapat dihapus (Arweave bersifat permanen).
π Kelola perangkat terdaftar
Periksa perangkat mana yang memiliki Passkey terdaftar, ganti nama atau hapus.
Layar drive β Pengaturan β bagian "π Perangkat terdaftar"
Daftar perangkat terdaftar muncul (perangkat ini disorot dengan warna kuning)
Tombol "Ganti nama": ubah menjadi nama yang bermakna (misalnya, "Mac Studio", "iPhone 15")
Tombol "Hapus" (perangkat selain perangkat ini): putuskan ikatan Passkey perangkat tersebut dari drive
Batasan penghapusan: jika salinan MEK masih tersimpan di perangkat yang dihapus, data Arweave masa lalu masih bisa didekripsi. Pembatalan penuh memerlukan penerbitan ulang Recovery Secret (Kasus B, rotasi MEK).
β Pertanyaan Umum
Bagaimana jika saya kehilangan ketiganya: kata sandi master, Passkey, dan Recovery?
Anda tidak dapat memulihkannya. Operasional Arpass tidak menyimpan apa pun, sehingga kami tidak dapat membantu. Inilah konsekuensi dari desain zero-knowledge β kami tidak dapat melihat password siapa pun, namun kehilangan ketiga faktor berarti kehilangan total.
Kehilangan 2 faktor masih bisa dipulihkan (yang tersisa 1 dapat memulihkan). Sebelum kehilangan ketiganya, salin Recovery Secret ke beberapa lokasi.
Bisakah operator melihat kata sandi saya?
Tidak. Semua enkripsi terjadi di browser Anda, dan isi yang disimpan di Arweave dienkripsi ganda sebelum melewati server Cloudflare.
- Dalam: AES-256-GCM (kunci = MEK, dibuat secara acak, tidak pernah dikirim ke server)
- Luar: AES-256-GCM (kunci = HKDF(vault-id), vault-id juga tidak pernah dikirim ke server)
- Yang dilihat server: byte acak terenkripsi (tidak dapat didekode) + info saldo
Detail dapat diverifikasi di tingkat kode pada mirror publik arpass-spec (AGPL-3.0).
Apakah data terenkripsi di Arweave tetap selamanya?
Ya β Arweave adalah penyimpanan permanen, sehingga data yang ditulis tidak akan hilang. Ini sekaligus menjadi keuntungan ("password Anda masih ada 200 tahun kemudian") dan kelemahan ("data masa lalu tersimpan selamanya").
Meskipun Anda mengubah password, ciphertext lama tetap ada di Arweave. Namun ciphertext lama hanya bisa didekripsi dengan MEK lama, yang hanya Anda ketahui. Setelah penerbitan ulang Recovery Secret (Kasus B), penulisan berikutnya dienkripsi dengan kunci baru yang tidak terkait dengan masa lalu.
Berapa biayanya?
Menambah, mengedit, atau menghapus password masing-masing menggunakan 1 kredit. Menyimpan 10 password β 10 kredit. Paket "Starter 100" ($2) cukup untuk penggunaan sehari-hari. Sebagian besar pengguna hanya perlu membeli paket sekali atau dua kali setahun.
Is it OK to save the QR code as a photo?
OK under conditions. Save via the in-app γSave imageγ button, then ensure your iCloud Photos has Advanced Data Protection ON, or Google One Backup has E2E encryption ON. This makes the photo unreadable even to Apple / Google.
Without these E2E settings, regular cloud sync leaves the provider with technical access β paper printing is strongly preferred.
For maximum safety, switch to YubiKey-only mode β no Recovery Secret needed at all.
Bagaimana jika saya mengedit di beberapa perangkat secara bersamaan?
Arpass menggunakan kontrol konkurensi optimistik, sehingga perangkat kedua yang menyimpan akan mendapat error "Diperbarui di perangkat lain". Buka kunci kembali untuk mengambil versi terbaru, lalu edit ulang.
π‘οΈ Praktik keamanan terbaik
Arpass menggunakan dekripsi 2-dari-3 (salah satu dari 2: master password + Passkey + Recovery Secret dapat mendekripsi). Secara desain, kebocoran hanya 1 faktor tidak akan mendekripsi drive. Namun, kebocoran beberapa faktor secara bersamaan sangat berbahaya. Ikuti panduan berikut.
β
Direkomendasikan
- Gunakan master password hanya untuk Arpass. Jangan gunakan ulang di layanan lain (= agar kebocoran di tempat lain tidak berdampak ke Arpass)
- Cetak Recovery Secret ke kertas dan simpan secara fisik (brankas, laci, anggota keluarga tepercaya, dll.)
- Simpan Recovery Secret di tempat yang berbeda dari master password (agar keduanya tidak bisa dicuri sekaligus)
- Miliki beberapa perangkat tepercaya (agar Anda memiliki jalur pemulihan jika Passkey hilang)
- Secara berkala uji operasi cadangan (misalnya, coba "π² Daftarkan perangkat ini" di perangkat lain)
β Hindari
- Recovery Secret saved to iCloud / Google Photos without E2E settings ON (= provider technically has access)
- Recovery Secret sent via plain Email / LINE / Slack / Discord (= stored on provider, persists in history)
- Recovery Secret saved to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Master password stored in browser autofill / Keychain (= passkey and master password on the same device)
- Master password sent to others via Slack / email / SMS
- Recovery Secret paper stored in the same place as the master password note
β οΈ Kasus penggunaan yang tidak cocok
Layanan ini adalah pengelola password serba guna untuk individu dan usaha kecil. Tidak cocok untuk:
- Kredensial rahasia negara / terkait militer
- Kredensial administrator untuk lembaga keuangan besar (login bank konsumen biasa termasuk dalam cakupan)
- Akses rekam medis untuk institusi layanan kesehatan (domain HIPAA / undang-undang perlindungan data tertentu)
- Seed phrase dompet kripto (gunakan hardware wallet khusus)
Kami tidak bertanggung jawab atas kerusakan apa pun yang timbul dari penggunaan layanan ini dalam skenario-skenario tersebut. Lihat Ketentuan Layanan untuk detailnya.
π¨ Jika mencurigai kebocoran
Jika master password atau Recovery Secret mungkin telah bocor, segera ambil tindakan:
- Hanya Master: Pengaturan β "Ubah master password"
- Hanya Recovery: Pengaturan β "Respons insiden keamanan" β penerbitan ulang Recovery (Kasus A, ringan)
- Keduanya, atau perangkat dicuri: Pengaturan β "Respons insiden keamanan" β penerbitan ulang Recovery (Kasus B, rotasi MEK membatalkan wrap di perangkat yang hilang dan Recovery lama)
Lihat Respons insiden keamanan di Pengaturan pada layar aplikasi untuk detailnya.
π¬ Tinjauan desain kriptografi (lanjutan)
Desain kriptografi Arpass adalah dekripsi 2-dari-3. Salah satu dari 2 di antara 3 faktor dapat mendekripsi drive.
- A: Master password (dihapal; Argon2id (memory-hard, 64 MiB / t=3 / p=4))
- B: Passkey (tersimpan di Secure Enclave perangkat; output 32 byte melalui WebAuthn PRF)
- C: Recovery Secret (catatan kertas; 160-bit entropi)
Jalur dekripsi
- A + B: Buka kunci harian (password + Touch ID) β paling cepat. Dengan envelope v7, jika Anda memiliki passkey tersinkron / YubiKey, perangkat baru pun terbuka hanya dengan keduanya
- A + C: Saat Passkey rusak (password + kertas)
- B + C: Saat password terlupakan (Touch ID + kertas)
Enkripsi body dan enkripsi luar
Dienkripsi dalam dua lapisan:
- Dalam: AES-256-GCM(MEK, IV, data drive). MEK adalah kunci 256-bit acak yang dibuat saat pembuatan drive, dibungkus oleh 2 dari 3 faktor di atas.
- Luar: AES-256-GCM(HKDF(Recovery Secret), IV, envelope dalam). Kunci luar diturunkan langsung dari Recovery Secret Anda dan tidak pernah terekspos ke server maupun Arweave.
Byte di Arweave tampak sepenuhnya acak; struktur JSON dan nama algoritma tidak dapat dibedakan dari luar. Bahkan nama tag Arweave yang dilekatkan pada setiap penulisan diacak per pengguna, sehingga pengamat luar tidak dapat mengidentifikasi transaksi mana yang milik Arpass.
Dengan envelope v7, kunci luar ini juga disimpan di dalam Passkey (WebAuthn user.id). Kunci dilindungi oleh perangkat keras Passkey dan tidak pernah muncul di data publik Arweave, sehingga perangkat baru dapat mendekripsi lapisan luar tanpa memasukkan Recovery Secret.
Apa yang ada di server
Yang tersimpan di sisi server (Cloudflare KV) hanyalah catatan pemakaian Anda. Akun diidentifikasi dengan hash kunci publik (ECDSA P-256); kunci luar, kata sandi utama, dan Recovery Secret tidak pernah mencapai server.
Untuk spesifikasi lengkap: