近年来,密码管理已成为一件令人头疼的事。我们越来越多地使用需要不同、长且复杂密码的在线服务、银行、社交网络、工作工具和应用程序(学习如何……) 创建一个强密码依靠记忆、笔记本或电脑记事本已不再是安全的选择。 想要睡个好觉,你需要一个好用的密码管理器。 让他替你做那些辛苦的工作。
在所有可用的替代方案中,KeePassXC 在重视隐私的高级用户和公司中赢得了特殊的地位。 这是一个本地密码管理器,来自 开放源码 和多平台 这使您能够完全掌控自己的数据库,而无需依赖任何专有云服务。在本指南中,您将了解它是什么、如何运作以及如何充分利用它。您可以在电脑、浏览器和移动设备上使用它。
KeePassXC是什么?它为什么值得使用?
KeePassXC 它是一款运行在电脑上的密码管理器,会将你所有的密码保存在一个扩展名为 . 的加密文件中。 .kdbx该文件就像一个数字保险箱:只能使用主密码打开(如果您愿意,还可以使用其他因素,例如密钥文件或 YubiKey 或 Nitrokey 等物理钥匙)。 由于它默认在本地运行,因此任何外部公司都无法获取您的密码。除非您选择使用第三方服务同步文件。
这种方法使其成为注重隐私的用户以及不希望将凭证管理委托给云提供商的组织非常有吸引力的工具。 KeePassXC 是免费软件,其代码可审计,并且适用于 Windows、macOS 和 Linux。并提供兼容的 Android 和 iOS 应用,方便您通过移动设备访问数据库。
他们的数据库采用现代加密技术(例如)进行保护。 AES‑256以及强大的密钥派生算法。这意味着,即使有人获得了 .kdbx 文件,在没有主密码和任何其他安全措施的情况下,也几乎不可能解密其内容。 真正的安全在于主密钥的强度和您的备份策略。.
除了安全存储外,KeePassXC 还包含许多旨在让您的安全习惯更轻松、更完善的功能: 强密码生成、浏览器自动填充、TOTP(双因素身份验证)管理 弱密码或重复密码审核与安全硬件集成,并采用基于群组和标签的强大组织系统。
KeePassXC作为密码管理器的主要功能
在开始安装之前,我们不妨先系统地回顾一下 KeePassXC 与将密码保存在浏览器或单独的文档中相比有哪些优势。 该应用程序几乎涵盖了您对一个应用程序的所有期望。 现代经理人但无需依赖云.
一方面,它将您的所有凭据集中在一个加密文件中。 您可以在这里保存用户名、密码、URL、备注、附件和自定义属性 (例如,安全答案或恢复数据)。这样可以避免信息分散,并降低在多个网站上使用相同密码的风险。
它还包含一个强大的密码生成器。每次创建新条目时,您都可以启动该生成器。 获取包含您所需的大写字母、小写字母、数字和符号的长而复杂的密钥。由于无需记住密码,您可以为每个服务使用非常强大且独一无二的密码。
另一个关键功能是自动完成。这得益于与主流浏览器的集成, KeePassXC能够自动填写登录表单 当您访问相关页面时,这既节省时间,又能减少手动输入长密码时出现的低级错误。
关于保存内容的质量控制,该应用程序具有安全报告功能,可以检测…… 重复使用的密码、应该更新的旧密码,或强度不达标的密码。只需点击几下,您就可以查看您的“数字卫生”状况并做出决定。
最后,它的同步灵活性值得一提。虽然 KeePassXC 没有内置的云同步功能,但您可以将 .kdbx 文件放置在…… Google Drive、Dropbox、OneDrive、Nextcloud、Syncthing、Resilio Sync 甚至 NAS 都是不错的选择。选项范围从典型的公共云到没有中间服务器的 P2P 解决方案,非常适合高度敏感的环境。
在 Windows 上安装 KeePassXC
使用 KeePassXC 的第一步是将其安装到您的主计算机上。这几乎总是配置数据库最方便的位置。 在电脑上创建密码库、导入旧密码以及准备所有事项都容易得多。 在将数据库传输到移动设备之前。
在任何操作系统上,建议访问该项目的官方网站(keepassxc.org)并下载相应的安装程序。 在Windows系统上,您将使用传统的安装程序。
对于安全性至关重要的环境或需要与最新硬件兼容的环境,即使是 Flatpak 版本,最好也选择最新版本。 相比之下,对于稳定的工作站,您可能更关注系统集成和易于维护性。总之,从功能上看,目前各个版本的 KeePassXC 都是等效的。
安装完成后,打开应用程序。 欢迎屏幕将显示创建新数据库、打开现有数据库或从其他格式导入的选项。 例如 KeePass 1.xo CSV 文件。从这里开始,您的保险库的真正设置才算开始。
创建你的第一个数据库并定义主密码
首次启动 KeePassXC 并选择创建新数据库时,程序会要求您指定…… 库的名称、可选的描述以及保存 .kdbx 文件的位置最常见的做法是先将其保存到个人文件夹中。之后,您可以将其移动到云端同步的文件夹或共享网络目录。
下一步是配置加密选项。KeePassXC 默认提供强参数,采用稳健的算法和足够的迭代次数,使攻击者计算密钥衍生品的成本很高。 大多数情况下,您可以保留这些设置不变,除非您有非常特殊的需求。 性能或兼容性。您可以稍后在数据库安全选项中查看这些设置。
接下来是关键时刻:选择主密码。这将是解锁所有其他密码的关键,因此值得花点时间仔细考虑。 它应该篇幅长、情节难以预测,同时又令人印象深刻。你可以组合几个随机单词,添加数字和符号,或者使用只有你自己才能理解的短语。如果有人猜到或窃取了这个密码,他们就能访问你的整个密码库。
选择好保护因素后,KeePassXC 会要求您将 .kdbx 文件保存到选定的位置。 你需要在任何电脑或移动设备上打开这个文件才能访问你的密码。从现在开始,您的数据库已创建完成,可以接收条目了。
组织存储库:组、子组和多个数据库
现在空数据库已经创建完成,是时候开始考虑如何组织您的凭据了。KeePassXC 使用分层系统。 功能类似于文件夹的组和子组 保险库内部:每个组存放不同的条目(用户名和密码)。
例如,您可以创建“银行”、“工作”、“社交网络”、“网上购物”或“系统”等组,如果需要更精细的划分,还可以在每个组内添加子组。 可以通过“群组”菜单创建群组,也可以使用界面中的相应按钮创建群组。在群组编辑窗口中,您可以为其指定名称、描述和独特的图标,以便一眼就能找到它。
虽然完全可以将所有条目直接存储在数据库的根目录中,但从中长期来看,这将变得难以管理。 花五分钟设计一个清晰的分组结构,随着库容量的增长,可以节省你很多点击操作。此外,您还可以随时通过将条目从一个组拖动到另一个组来重新组织密码。
如果你想进一步进行分区管理,你可以创建多个独立的数据库,而不是将所有内容集中在一个数据库中。 每个数据库都存储在单独的 .kdbx 文件中,并且可以有自己的主密码和规则。例如,您可以拥有一个个人保险库和一个用于工作事务的独立保险库(使用不同的钥匙),或者一个专用数据库来存储银行账户和主要电子邮件等重要帐户。
在 KeePassXC 主窗口中,您可以打开多个数据库标签页。 这样可以在不牺牲舒适性的前提下,灵活地分隔不同环境。只要你严格保管好主密钥,并对每个文件进行备份。
添加条目:用户名、密码、备注和附件
结构创建完成后,下一步就是开始保存实际数据。要添加新条目,首先选择相应的组,然后使用相应的选项。 从菜单或工具栏中选择“新建条目”将打开一个包含几个基本字段的窗口。
在主选项卡上,您可以指定标题(例如,“个人 Gmail”)、用户名、密码和登录 URL。 密码字段与 KeePassXC 密钥生成器集成点击骰子图标,即可定义字符的长度和类型,只需点击几下即可创建非常复杂的密码。
您还可以设置过期日期,以便应用程序在一定时间后提醒您更改密码。 这是对关键账户实施续约周期的一种好方法。例如访问银行或管理面板。
在条目的高级选项卡中,您可以找到附加文件(例如,加密文档副本、恢复代码、合同等)或创建自定义属性的选项。 请注意,每个附件都会增加数据库的大小。所以最好明智地使用它们,不要把金库变成存放大量文件的仓库。
最后,您可以分配特定的图标、标签,并决定是否可以通过浏览器扩展程序访问该条目。 所有这些都让您能够在不牺牲清晰视图的前提下,获取大量上下文信息。 在主窗口中,您将看到一个列表,其中包含标题、用户和其他您可以自定义的列。
将 KeePassXC 与浏览器集成,实现自动完成功能。
对大多数用户而言,真正的变革在于将保险库与浏览器集成。这样一来, 您无需每次登录时手动复制粘贴用户名和密码。取而代之的是,网页上将直接提供自动完成功能。
该过程分为两部分:在 KeePassXC 中进行配置,以及在浏览器 (KeePassXC-Browser) 中安装相应的扩展程序。 在桌面应用程序中,转到“工具”>“设置”>“浏览器集成”。 并选择要启用的浏览器(Chrome、Firefox、Edge 等)。
然后,在浏览器中,从其官方商店(Chrome 网上应用商店、Mozilla 附加组件等)安装扩展程序。 安装完成后,如果想让它始终可见,可以将其固定到工具栏。 然后点击图标即可开始与KeePassXC连接。通常会看到一个“连接”按钮或类似图标。
首次连接时,该扩展程序会要求您为数据库关联指定一个名称,KeePassXC 会在其窗口中显示一个对话框,请求您允许建立该通信。 建议您授权连接并选择记住此决定的选项。这样就避免了每次都需要审批。
从那一刻起,只要 KeePassXC 处于打开状态且数据库处于解锁状态,该扩展程序就能检测到登录表单并建议相应的条目。 首次尝试自动完成网站时,KeePassXC 可能会显示一条消息,要求您确认哪些条目可以与该域关联。如果您选择记住您的选择,那么在以后的访问中,整个过程将完全无缝衔接。
KeePassXC 的日常应用:解锁、剪贴板和快捷方式
日常使用中,KeePassXC 的操作可以简化为几个常见的步骤。启动电脑后,打开应用程序,选择数据库,然后 您需要输入主密码(以及您设置的任何其他验证因素)。从那里开始,保险库就被解锁,您可以对其进行查询,也可以使用浏览器扩展程序。
在主窗口中,最快的操作方法是双击所需的每个字段。 双击网址,网站将直接在您的默认浏览器中打开。如果您输入用户名或密码,该数据会复制到剪贴板几秒钟,然后自动删除,以降低泄露的风险。
这样,您就可以登录到您未通过主浏览器使用的服务,或者在未与扩展程序集成的桌面应用程序中填写凭据。 剪贴板行为是可配置的,允许您调整复制内容被删除前的时间。 如果您需要更多回旋余地,或者希望持续时间越短越好。
关于锁定,您可以从数据库菜单手动锁定,也可以配置在一段时间不活动后自动锁定。 您还可以配置数据库,使其在应用程序最小化或操作系统用户会话锁定时锁定。这些都是简单的措施,可以增加一层额外的保护,防止他人窥视。
将数据库与移动设备以及多个用户同步
到目前为止,我们看到的都是在单台计算机上的本地使用,但几乎每个人都需要通过手机访问密码,或者在专业环境中与几个人共享一个密码库。 虽然 KeePassXC 没有内置同步功能,但它与许多外部解决方案兼容。.
在安卓系统上,你可以使用 KeePassDX 之类的应用;在 iOS 系统上,则有 Strongbox 或 KeePassium 等功能完善的替代方案。它们都能打开 .kdbx 文件,并且通常都能与系统自带的自动填充功能集成。 关键在于移动应用程序可以访问您在计算机上使用的同一个数据库文件。可以通过云端或您自己的服务器。
对于个人用户而言,通常只需将 .kdbx 文件放在指定位置即可。 Google Drive、Dropbox、iCloud、Nextcloud,或者可以与手机“文件”应用集成的 NAS。只需在您的移动设备上,将兼容的 KeePass 应用指向该位置即可:文件同步后,您将始终拥有最新版本的保险库。
在企业环境中,通常会使用 OneDrive、SharePoint 或 Google Drive 等服务在 Workspace 中与不同人员共享同一个 .kdbx 文件。如果需要最高级别的隐私保护,则有其他方法可供选择。 例如 Resilio Sync 或 Syncthing 之类的解决方案 它使用加密的 P2P 连接直接在计算机之间同步文件,无需通过中央服务器。
在任何情况下,都不应忘记数据库即使在互联网上传输时也始终保持加密状态。 任何在不知道主密码(且没有其他验证因素)的情况下截获该文件的人,都将无法读取其内容。但是,如果您与其他人共享保险库,则主钥匙必须始终通过不同的安全渠道进行传递,并且建议定期检查谁有访问权限。
高级安全措施:密钥文件、YubiKey、NitroKey 和备份策略
除了传统的密码验证方式外,KeePassXC 还允许您通过组合多种验证因素来增强安全性。您可以添加密钥文件、YubiKey、配置为质询-响应模式的 Nitrokey 3 或其他兼容设备。 实际上,这使得解锁变成了一种非常强大的多因素身份验证。.
例如,如果您已经创建了一个数据库,并想使用 Nitrokey 3 对其进行保护,则必须打开保险库并访问数据库安全设置。然后,在数据库凭据部分, 您可以添加“额外保护”,并选择挑战-响应方式。如果 Nitrokey 已连接,并且您已在设备上生成了 HMAC 密钥,则会显示将其链接到数据库的选项。
如果您更喜欢直接使用 Nitrokey 创建受保护的新数据库,则过程类似:在定义数据库凭据时,您可以使用质询-响应添加额外的保护,选择密钥,还可以选择定义传统的主密码。 因此,即使有人复制了 .kdbx 文件并知道了密码,他们仍然需要实际拥有 Nitrokey。 为了解锁它。
保护访问权限与制定完善的备份策略同等重要。.kdbx 文件是单点故障:如果它损坏或丢失,而您又没有备份,那么您将丢失所有数据。 最起码应该做的,是在不同的磁盘或物理设备上保留一份副本。如果您担心可能发生盗窃或火灾,请将副本保存在不同的物理位置(例如,在另一所房子里或外部保险箱里)。
综上所述,KeePassXC 是一款极其强大的密码管理器,适合那些重视隐私并愿意在密钥管理和备份方面承担最低限度责任的用户;前提是配置正确,配备强主密码、良好的备份策略、浏览器集成,并在适当情况下使用 YubiKey 或 Nitrokey 等物理密钥。 它提供的控制和保护级别使其特别适合高级用户和不想依赖云服务的公司。.
