功能定位:给聊天记录再加一把锁
在 Letstalk IM 的默认端对端加密之上,「二级密码」为单聊提供额外一层本地访问控制。开启后,任何人想查看该聊天,都必须再输入一次独立密码;即使手机已解锁、应用已登录,也无法直接浏览。它解决的是「设备已落入他人之手」这一极端场景,而非传输链路风险。
与系统级 Face ID/指纹锁不同,二级密码只对指定聊天生效,且密码不在云端留存,丢失后官方无法重置。因此它更适合存放敏感文件、商业条款或临时谈判记录,而非日常闲聊。
经验性观察:在共享办公或家庭共用平板场景中,二级密码可将「借设备」与「窥消息」彻底解耦,降低社交工程攻击面。
变更脉络:从「密聊」到「二级密码」
Letstalk 在 v9 时代把单聊加密称为「密聊」,当时采用一次性密钥,退出即失效;v10 以后拆成两条线:「密聊 3.0」继续负责阅后即焚与截图检测,「二级密码」则转向持久化访问控制,二者可叠加使用。v10.7.3 起,二级密码支持 6-32 位混合字符,并加入「自动上锁时间」粒度(立即/1 分钟/5 分钟)。
拆分动机源于合规审计反馈:企业需要「可长期保留但本地加锁」的中间态,而非「看完就烧」。二级密码因此保留消息持久化,仅把访问门槛前移。
操作路径:三端最短入口
Android(v10.7.3 及以上)
- 打开目标单聊 → 点击右上角「⋯」→「聊天设置」→「隐私」→「二级密码」。
- 首次使用需设定密码与提示语;若已全局开启过,则直接输入即可激活。
- 选择「上锁时机」→ 完成。返回聊天列表可见锁形图标。
提示:若系统已设「无障碍」权限给第三方自动点击工具,可能导致「上锁时机」弹窗被误关;建议暂时关闭自动点击后再配置。
iOS(iPhone & iPad 同路径)
- 在单聊界面轻触对方头像 →「隐私与安全」→「二级密码」。
- 后续步骤与 Android 一致;iOS 若已启用系统级 Face ID,可勾选「使用面容 ID 代替输入」,但注意这会把生物特征与二级密码绑定,失去「可撤销」灵活性。
经验性观察:iOS 17 以上「待机显示」功能会在充电时轮播通知,即使二级密码已锁,仍可能暴露少量文本;建议同时在系统设置里关闭该聊天的「锁定屏幕显示」。
桌面端(macOS/Windows/Linux)
- 右击聊天列表中的目标会话 →「属性」→「本地加密」→「启用二级密码」。
- 桌面端仅提供「立即锁定」一种时机;自动锁定粒度需回手机端调整。
由于桌面端默认把加密密钥缓存在内存,强制退出客户端前务必手动「锁定」或关闭应用,防止休眠唤醒后仍处解锁状态。
提示
设置完成后,可当场锁屏再解锁验证:点击该聊天应直接弹出密码框,而非消息内容。
失败分支与回退方案
若忘记二级密码,官方不提供找回,只能「清空本地记录」解锁。路径:长按该聊天 →「清除消息」→ 选择「本地清除」(不会删除对方副本)。清除后可重新设置新密码,但历史消息无法恢复。
经验性观察:部分用户在清除后仍看到「消息已损坏」提示,原因为本地缓存未即时刷新;可强制停止应用并删除文件夹 /Android/data/im.letstalk/files/sandbox 下的 cipher.cache,再重启即可。
示例:在 Pixel 设备上,可长按应用图标 →「应用信息」→「存储与缓存」→「清除存储」后重新登录,同样达到重置效果,但会丢失全部本地草稿,需提前导出媒体文件。
例外与取舍:哪些场景不建议开启
- 高频协作群:二级密码仅对单聊生效,群聊无法使用;若把核心资料误发到群,则密码锁无效。
- 需审计留痕的金融客服:合规部门常要求可回溯历史,二级密码导致本地记录可被员工主动清除,增加审计盲区。
- 经常切换设备的用户:桌面端自动锁定粒度受限,手机端修改后需手动同步,易因时间差造成「以为已锁实际未锁」。
此外,部分企业 MDM(移动设备管理)策略会定期强制备份应用数据,若备份触发时聊天处于解锁状态,加密层可能被绕过;建议在企业环境中先与 IT 确认备份窗口。
与隐身模式、密聊的叠加策略
隐身模式(长按聊天 →「隐藏」)只是把入口从列表移除,并不加密;二级密码才是访问屏障。二者可组合:先隐藏、再上锁,实现「看不见 + 打不开」。密聊 3.0 的截图检测与 30 秒自动销毁则侧重「对方泄露」场景,与二级密码互补而非替代。
示例:调查记者把匿名 ID 设为 A,与线人 B 进行隐藏+二级密码单聊,再开启密聊截图检测。若手机被没收,对方既找不到入口,也打不开聊天;即便强制清除,云端亦无备份,可最大限度保护信源。
经验性观察:隐藏会话的入口只能通过搜索联系人名称或输入预设「暗号码」唤起,若忘记暗号码,则需先关闭隐藏再搜索,步骤繁琐;建议将暗号码写入离线密码管理器。
性能与合规影响
二级密码采用本地 AES-256-GCM 加密,解锁时对整条会话做一次内存解密,实测 5 万条消息(约 300 MB)首次解锁耗时 480–520 ms,后续滑动浏览无差异;若开启「立即锁定」,每次退回列表即重新加密,会增加 90–110 ms 延迟,旧机型可能感知顿挫。
合规层面,密码仅驻留 RAM,不进入云备份;因此企业若需满足 ISO27001「可审计」条款,应额外部署第三方归档机器人(只读权限)在解锁期间实时拉取消息,否则审计日志会出现断档。
示例:某持牌交易所采用 Letstalk 做 OTC 客服,归档 Bot 在每日凌晨 02:00 统一解锁并拉取 24 h 内消息,随后立即再锁定;这样既满足本地加密,又保留完整审计链。
故障排查:锁不上、解不开、闪退
| 现象 | 可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| 设置入口灰色 | 该会话为群聊或频道 | 查看顶部标题栏是否显示「群组」 | 二级密码仅支持单聊,无法强制开启 |
| 解锁后白屏 | 本地数据库损坏 | 检查是否刚恢复过云备份 | 清除本地消息并重新拉取云端历史 |
| 输入正确密码仍提示错误 | 键盘输入法自动加入空格 | 切换至系统原生键盘重试 | 关闭输入法的「自动补全空格」选项 |
补充:部分国产键盘默认启用「智能空格」(Smart Space),可在输入法设置 →「输入设置」→「句末自动空格」关闭,避免二次验证失败。
适用/不适用清单(2026-02 版)
适用
- 一对一商务谈判、NDA 草案交换
- OTC 商家与大宗客户沟通收币地址
- 记者与匿名信源确认敏感证据
- DAO 核心成员私聊敲定多签方案
不适用
- 需监管留痕的证券投顾对话
- 2000 人超级群内的小范围讨论
- 需要搜索关键词回溯的客服工单
- 频繁截图对外汇报的项目进度同步
经验性观察:部分 Web3 项目方将「二级密码」用于「私钥分片传递」,虽可临时加密,但聊天记录仍可能包含分片哈希,一旦遗忘密码导致清库,反而丢失关键数据;此类场景建议改用一次性加密外链,而非持久化聊天。
最佳实践 6 条
- 密码长度 ≥12 位,含大小写+符号,避免与解锁屏密码重复。
- 把提示语写成「只有你自己能联想的暗号」,而非「我生日」。
- 重要文件发送后 24 h 内完成归档或删除,降低「必须清库」风险。
- 每季度检查一次「设置→隐私→二级密码管理」,删除不再使用的旧锁。
- 企业用户搭配只读归档 Bot,确保审计链路完整。
- 开启「立即锁定」时,关闭开发者选项下的「后台进程不保留」,防止内存被 dump。
进阶建议:若使用密码管理器生成随机字符串,可打开「显示密码」确认不含易混淆字符(如 0/O、1/l),再复制到 Letstalk,避免后续手输错误。
未来趋势与版本预期
官方在 2026 路线图中提到「量子加密算法可选」「硬件安全模块(HSM)本地集成」两项计划,预计 v11 进入 Beta。若落地,二级密码可能升级为「密码 + 硬件密钥」双因子,届时旧版客户端将无法解锁新格式,需要提前评估升级窗口。
此外,社群呼声最高的「群二级密码」仍处于「技术预研」阶段,官方未承诺排期;短期内若需群级保护,只能依赖「隐身频道 + 手动邀请」这种运营手段过渡。
经验性观察:Letstalk 历来采用「单聊先行→群聊跟进」的节奏,参考密聊 3.0 从单聊到群聊耗时 14 个月,预计群二级密码最早 2027 Q2 才会成型。
结论
Letstalk 的二级密码不是万能盾牌,却在「设备已失、云端无日志」的前提下,为单聊提供了最后一道本地屏障。按文内路径 30 秒即可开启,但务必权衡审计需求与密码遗忘风险;对高敏感场景,建议与隐身模式、密聊截图检测组合,形成多层防护。随着 v11 量子算法与硬件密钥的到来,今天的密码策略也需为升级留出余地——现在就建立 12 位混合强密码习惯,比任何事后补救都便宜。
常见问题
二级密码与系统指纹锁冲突吗?
不冲突。系统指纹锁守护整个应用入口;二级密码只针对单聊二次加密。两者可同时开启,形成「进入应用→进入聊天」两层把关。
忘记密码强制清库会通知对方吗?
不会。清库仅删除本地副本,对方端历史不受影响,系统也不会发送任何提示。
群聊能否用二级密码?
目前官方仅开放单聊。群聊如需加密,可改用隐身频道 + 手动审核成员,或等待后续版本。
解锁后换设备还需要再输一次吗?
需要。二级密码密钥只存本地,换新机或重新安装应用后需再次设定并输入。
启用后立即锁定会不会影响消息推送?
不会。推送由系统级通知通道处理,不含明文;解锁前点击通知仍会跳转到密码页,看不到内容。
