KeePass 密碼管理器

閱讀時間約 6 分鐘
圖片來自 franco alva
KeePass 是個自由的、開源的、多平台的、較適合個人用的密碼管理器。

密碼管理器

「為什麼要用密碼管理器?」
「和瀏覽器幫我存密碼的功能有什麼不一樣?」
早期最簡單也最不安全,卻也最多人管理密碼的方式,就是隨意貼,現在可能是變成瀏覽器幫我們存的密碼,不論是隨意貼還是瀏覽器存密碼,對需要認真保守密碼的人來說,都不是個好的做法。
隨意貼就不說了,除了隨意貼,另外一種稍微好一點的實體紀錄法是女孩們的小本本,小本本確實有做到保密的功能,但是無法備份,掉了就是永久掉了,除此之外還有抄寫時手誤的可能性,以及使用時無法複製貼上導致的效率低落,怎麼看都不會是個嚴肅的做法。
進階一點的會開檔案存,不論何種格式、有無加密,但都會有紀錄一多就難以管理的問題,必須自己手動做格式規劃與整理,其實這也可以算是一種陽春的、獨立的密碼管理器,對帳密不多的人來說確是個簡單有效的好選擇。
瀏覽器存密碼這塊,自從主流瀏覽器都導入這項功能後,的確解決了大多數人的需求,並且還附帶了可同步的特性,電腦存了手機也可以用,相當便利。這些主流瀏覽器(Safari、Firefox、Chrome、Edge)背後的大公司們看起來也都值得信賴(Google 可能有一點…不過不會賤到拿用戶的密碼作惡)。
不過在某些場景下,瀏覽器存密碼也是無法滿足的,最典型的就是台灣的網銀,台灣的網銀登入時往往需要四個欄位:身份證字號、帳號、密碼、驗證碼,而帳號與密碼兩欄在屬性上又都是密碼型態,也就是網銀的帳號、密碼這兩者實質上都是密碼,這種形式的登入不論是哪個瀏覽器都無法處理的很好,很容易造成瀏覽器誤判,最常見的情況就是記錯欄位或是記不住帳號/密碼兩者其一。最後,瀏覽器的記密碼功能還是過於單純,一律是帳號+密碼的組合,像網銀這種有兩個密碼欄位的登入頁,瀏覽器即便沒記錯,也必定會少記另外一個。
還有另一種狀況,在瀏覽器以外的場景,即瀏覽器使不上力的地方,也是非常需要一個獨立的密碼管理器的,包括一些應用軟體的帳密、遊戲的帳密、遠端登入的帳密、金鑰型的認證等等,隨著這些數位應用越來越多的佔據我們的生活,一個人所擁有的帳密只會越來越多,另外在避免共用帳密的安全顧慮之下,一個獨立的密碼管理器確實是有必要的。

KeePass 安全嗎?

接下來要問的就是「安全嗎?」
我們可以拆三個方面檢視 KeePass 的安全性,加密算法的安全性、開源的安全性、KeePass app 的安全性。

加密算法的安全性

我們在 KeePass app 內建立的每筆密碼都會彙整存在一個 kdbx 格式的檔案內,就好像 Excel 的每筆紀錄都會存在一個 xlsx 檔案內一樣。這個 kdbx 當然是加密的,根據 KeePass 的描述,它們會用 AES-256 或 ChaCha20 或 Twofish 三種加密算法對 kdbx 檔案進行加密,這三種算法也是目前業界公認最安全的算法。

開源的安全性

開源並不等於絕對的安全,但是自 KeePass 從 2004 年至今十六年的開源發展,已經經過相當長時間的考驗,另外 KeePass 開發團隊的每一行程式都詳實紀錄在版控系統內,可供查驗。
另外可以看看 CVE 的紀錄,只有四個漏洞,而且早已修復。

KeePass app 的安全性

前面提過,密碼會被存到 kdbx 的檔案內,並且原生的 KeePass 並不具備雲端同步的機制(只有 FTP 的同步),即便 KeePass 有任何的漏洞,只要別人無法拿到 kdbx 檔案,就無法利用漏洞打開加密的 kdbx。
KeePass 也有拿到一些國家證書證明自己的安全性。

安裝與使用 KeePass

到 KeePass 網站下載安裝後,我們來快轉到使用的部份。
起手式當然是先開新檔案,幫新的 kdbx 找一個安全的目錄並取一個好記的檔名存起來,然後設定 kdbx 檔案的密碼:
除了密碼外,在下面的「Key file / provider」還可以指定一個鑰匙檔作為解密之用,密碼和鑰匙檔可以擇一使用或兩者皆用,兩者皆用的話這個 kdbx 檔案被開啟時就必須輸入密碼和鑰匙檔才可完整解密。
設定完 kdbx 的密碼後,下一頁的一些屬性設定可以直接 OK 跳過,然後會到主視窗,點擊某筆密碼或新增一筆密碼會跳出如下的對話框:
介面實在是滿簡單的,標題、用戶名稱、密碼、密碼強度提示、網址、備註等幾個欄位,有需要的填寫後即可存檔。在對話框的 Advanced 分頁可以在這筆紀錄內夾附檔,譬如說一些金鑰檔就可以夾帶在這裡。
逐筆把密碼記錄起來後記得要把這個 kdbx 檔案存檔,個人建議是異動一筆就存檔一次。另外未避免記錄時手誤,建議在每筆紀錄確認前先到那筆的網頁去驗證一次。
以上是使用介紹,因為真的滿簡單的,就不多做說明了。

KeePass 不適用的情境

在本文的第一句話說到 KeePass 較適合個人使用,因為相較於組織型的密碼管理系統,KeePass 少了一些功能,可能對於組織的密碼管理幫不上忙,簡單列舉一些:
  • 不能做分層分派,只要能打開 kdbx 的人員皆可看到全部的密碼,無法做分層分派,而往往組織用的密碼管理都是需要分層分派的。
  • 不支援開啟人身份驗證,不論是 KeePass 現有的密碼或鑰匙檔都是屬於對密碼檔的解密驗證,欠缺了對開啟人的身份驗證,這部份往往需要結合作業系統的身份驗證機制,而 KeePass 是沒有這部份的功能的。
  • 不支援更複雜的解密驗證,目前只有密碼與鑰匙檔兩種解密驗證,不支援晶片卡或硬體鑰匙做為解密驗證。
  • 以本機檔案儲存 kdbx 密碼檔,對組織型密碼系統來說,可能需要非本機端的存取架構,也就是每次人員解鎖都是對中央伺服器做驗證,驗證後也都是從中央伺服器下載密碼到記憶體內,而不會在本機儲存實體檔案。
因為以上這些特性的缺乏所以還是比較建議拿 KeePass 來做個人用途較妥。

KeePass 的跨平台兄弟

雖然 KeePass 本身是 Windows app,不過受益於開源的特性,在各個主流平台上都可以見到 KeePass 的兄弟 app 的身影,並且隨著 .net 也逐漸走向開源與跨平台的路線,KeePass 本身也具備跨平台使用的能力,在 KeePass 的下載頁可以看到 KeePass 與其它各個平台的兄弟 app,之所以稱為兄弟 app 是因為那些其它平台的 app 都不是 KeePass 的移植,而是參考 KeePass 與 kdbx 的規格而獨立撰寫的 app,其中各有優勢,唯一可以不用擔心的是我們的 kdbx 都可以在我們用的電腦或手機中使用,不用擔心被一個 app 綁住或是換平台要重建資料的困擾。
為什麼會看到廣告
13會員
64內容數
Where I go and what I get.
留言0
查看全部
發表第一個留言支持創作者!
Leon的沙龍 的其他內容
你會寫 Jira 的 user story 嗎?我不會,所以我用自己的方式來理解與制定 story 的用法。
Electron 是把 web 封裝並發布成桌面 app 的框架,同時也提供了存取本機的 API,但卻帶來難以使用傳統自動測試工具的問題,而透過 Electron 的測試框架 Spectron,讓我們得以操控 app 內的 UI 元件,進而達成自動化測試的目的。
古早的年代想在網頁內埋 Java 還有 Java applet 可以用,在 Java applet 式微後,找來找去比較可以的辦法大概就是編譯成 WebAssembly 了吧! 想要把 Java 編譯成 WebAssembly,有下面三個工具可以選用
你會寫 Jira 的 user story 嗎?我不會,所以我用自己的方式來理解與制定 story 的用法。
Electron 是把 web 封裝並發布成桌面 app 的框架,同時也提供了存取本機的 API,但卻帶來難以使用傳統自動測試工具的問題,而透過 Electron 的測試框架 Spectron,讓我們得以操控 app 內的 UI 元件,進而達成自動化測試的目的。
古早的年代想在網頁內埋 Java 還有 Java applet 可以用,在 Java applet 式微後,找來找去比較可以的辦法大概就是編譯成 WebAssembly 了吧! 想要把 Java 編譯成 WebAssembly,有下面三個工具可以選用
你可能也想看
Google News 追蹤
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
主格:3,火,遠見主義中的現實主義者 個性:口才好、反應快,但比較容易三
Thumbnail
珍坐在她的小書房裡,古老的檯燈發出微弱的嗡嗡聲,溫暖的燈光灑在她的書桌上。她面前放著一份古老的文件,紙張已經破舊不堪,字跡模糊,幾乎無法辨認。邊緣處已經磨損得像是匆忙地被折疊過,隨後被遺忘在時間的角落。珍的心跳隨著期待加速。她知道,這份文件裡隱藏著長久以來被掩埋的謎團的關鍵。
Thumbnail
在網絡年代,所謂「流行」,不是由創作人、製作人、表演者或者紛絲能夠一力成就,網絡本身亦是很重要的因素,很多東西在網絡上,都可為公眾人物帶來如潮湧的負皮,哪怕是一言一行,甚至一個表情,都足以抱憾終身,流行不起反成炮灰。不過,對已上神台者如二十世紀一眾天王天后則近乎完全免疫,例如鄭秀文,又例如郭富城。
Thumbnail
主格:2,水,理想主義者 個性:對於情感捕捉的能力很強,懂得別人行為的背
Thumbnail
主格:8,火,理想主義者 個性:很有責任心,會把別人的事當自己的事來處理,壓力大,對權力很有嚮往,好在會去找朋友玩,能釋放壓力,在口條或是藝術領域會不錯,有自己的條條框框,討厭隨意觸碰他規矩的人,自尊心高,很有領導能力,他發起火來是很恐怖的,內外都缺2、9,不太會跟人說自己的辛苦,做得比說的多,難
Thumbnail
密碼,作為驗證使用者的身份基本手段,除了少部分的內容型網站用不到會員申請功能,大部分的網路服務都跟密碼息息相關。而密碼設定的規則,也算是業主常常喜歡發揮的地方。美國國家標準與技術研究院(NIST)的數位身分指南,其實有針對密碼強度做了很多版本的迭代,不過坊間最多看到的,很多還是停留在早期版本
Thumbnail
探索無密碼驗證機制 OIDC 及其在 API 管理平台中的應用。本文分析 OIDC 如何提升用戶體驗與安全性,並深入探討 API管理平台如何幫助企業簡化 API 管理,提高效率,並強化資安。了解這些平台如何解決 API 混亂問題,提供全面的管理解決方案。
Thumbnail
獲得2023年STOC研討會的最佳論文獎的密碼學研究,找到了資訊加密安全性與運算效率的理論最佳解,這將如何影響隱私權保護?
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
主格:3,火,遠見主義中的現實主義者 個性:口才好、反應快,但比較容易三
Thumbnail
珍坐在她的小書房裡,古老的檯燈發出微弱的嗡嗡聲,溫暖的燈光灑在她的書桌上。她面前放著一份古老的文件,紙張已經破舊不堪,字跡模糊,幾乎無法辨認。邊緣處已經磨損得像是匆忙地被折疊過,隨後被遺忘在時間的角落。珍的心跳隨著期待加速。她知道,這份文件裡隱藏著長久以來被掩埋的謎團的關鍵。
Thumbnail
在網絡年代,所謂「流行」,不是由創作人、製作人、表演者或者紛絲能夠一力成就,網絡本身亦是很重要的因素,很多東西在網絡上,都可為公眾人物帶來如潮湧的負皮,哪怕是一言一行,甚至一個表情,都足以抱憾終身,流行不起反成炮灰。不過,對已上神台者如二十世紀一眾天王天后則近乎完全免疫,例如鄭秀文,又例如郭富城。
Thumbnail
主格:2,水,理想主義者 個性:對於情感捕捉的能力很強,懂得別人行為的背
Thumbnail
主格:8,火,理想主義者 個性:很有責任心,會把別人的事當自己的事來處理,壓力大,對權力很有嚮往,好在會去找朋友玩,能釋放壓力,在口條或是藝術領域會不錯,有自己的條條框框,討厭隨意觸碰他規矩的人,自尊心高,很有領導能力,他發起火來是很恐怖的,內外都缺2、9,不太會跟人說自己的辛苦,做得比說的多,難
Thumbnail
密碼,作為驗證使用者的身份基本手段,除了少部分的內容型網站用不到會員申請功能,大部分的網路服務都跟密碼息息相關。而密碼設定的規則,也算是業主常常喜歡發揮的地方。美國國家標準與技術研究院(NIST)的數位身分指南,其實有針對密碼強度做了很多版本的迭代,不過坊間最多看到的,很多還是停留在早期版本
Thumbnail
探索無密碼驗證機制 OIDC 及其在 API 管理平台中的應用。本文分析 OIDC 如何提升用戶體驗與安全性,並深入探討 API管理平台如何幫助企業簡化 API 管理,提高效率,並強化資安。了解這些平台如何解決 API 混亂問題,提供全面的管理解決方案。
Thumbnail
獲得2023年STOC研討會的最佳論文獎的密碼學研究,找到了資訊加密安全性與運算效率的理論最佳解,這將如何影響隱私權保護?