KeePass 密碼管理器
更新於 2024/10/03閱讀時間約 6 分鐘
KeePass 是個自由的、開源的、多平台的、較適合個人用的密碼管理器。
密碼管理器
「為什麼要用密碼管理器?」
「和瀏覽器幫我存密碼的功能有什麼不一樣?」
早期最簡單也最不安全,卻也最多人管理密碼的方式,就是隨意貼,現在可能是變成瀏覽器幫我們存的密碼,不論是隨意貼還是瀏覽器存密碼,對需要認真保守密碼的人來說,都不是個好的做法。
隨意貼就不說了,除了隨意貼,另外一種稍微好一點的實體紀錄法是女孩們的小本本,小本本確實有做到保密的功能,但是無法備份,掉了就是永久掉了,除此之外還有抄寫時手誤的可能性,以及使用時無法複製貼上導致的效率低落,怎麼看都不會是個嚴肅的做法。
進階一點的會開檔案存,不論何種格式、有無加密,但都會有紀錄一多就難以管理的問題,必須自己手動做格式規劃與整理,其實這也可以算是一種陽春的、獨立的密碼管理器,對帳密不多的人來說確是個簡單有效的好選擇。
瀏覽器存密碼這塊,自從主流瀏覽器都導入這項功能後,的確解決了大多數人的需求,並且還附帶了可同步的特性,電腦存了手機也可以用,相當便利。這些主流瀏覽器(Safari、Firefox、Chrome、Edge)背後的大公司們看起來也都值得信賴(Google 可能有一點…不過不會賤到拿用戶的密碼作惡)。
不過在某些場景下,瀏覽器存密碼也是無法滿足的,最典型的就是台灣的網銀,台灣的網銀登入時往往需要四個欄位:身份證字號、帳號、密碼、驗證碼,而帳號與密碼兩欄在屬性上又都是密碼型態,也就是網銀的帳號、密碼這兩者實質上都是密碼,這種形式的登入不論是哪個瀏覽器都無法處理的很好,很容易造成瀏覽器誤判,最常見的情況就是記錯欄位或是記不住帳號/密碼兩者其一。最後,瀏覽器的記密碼功能還是過於單純,一律是帳號+密碼的組合,像網銀這種有兩個密碼欄位的登入頁,瀏覽器即便沒記錯,也必定會少記另外一個。
還有另一種狀況,在瀏覽器以外的場景,即瀏覽器使不上力的地方,也是非常需要一個獨立的密碼管理器的,包括一些應用軟體的帳密、遊戲的帳密、遠端登入的帳密、金鑰型的認證等等,隨著這些數位應用越來越多的佔據我們的生活,一個人所擁有的帳密只會越來越多,另外在避免共用帳密的安全顧慮之下,一個獨立的密碼管理器確實是有必要的。
KeePass 安全嗎?
接下來要問的就是「安全嗎?」
我們可以拆三個方面檢視 KeePass 的安全性,加密算法的安全性、開源的安全性、KeePass app 的安全性。
加密算法的安全性
我們在 KeePass app 內建立的每筆密碼都會彙整存在一個 kdbx 格式的檔案內,就好像 Excel 的每筆紀錄都會存在一個 xlsx 檔案內一樣。這個 kdbx 當然是加密的,根據 KeePass 的描述,它們會用 AES-256 或 ChaCha20 或 Twofish 三種加密算法對 kdbx 檔案進行加密,這三種算法也是目前業界公認最安全的算法。
開源的安全性
開源並不等於絕對的安全,但是自 KeePass 從 2004 年至今十六年的開源發展,已經經過相當長時間的考驗,另外 KeePass 開發團隊的每一行程式都詳實紀錄在版控系統內,可供查驗。
另外可以看看 CVE 的紀錄,只有四個漏洞,而且早已修復。
KeePass app 的安全性
前面提過,密碼會被存到 kdbx 的檔案內,並且原生的 KeePass 並不具備雲端同步的機制(只有 FTP 的同步),即便 KeePass 有任何的漏洞,只要別人無法拿到 kdbx 檔案,就無法利用漏洞打開加密的 kdbx。
KeePass 也有拿到一些國家證書證明自己的安全性。
安裝與使用 KeePass
到 KeePass 網站下載安裝後,我們來快轉到使用的部份。
起手式當然是先開新檔案,幫新的 kdbx 找一個安全的目錄並取一個好記的檔名存起來,然後設定 kdbx 檔案的密碼:
除了密碼外,在下面的「Key file / provider」還可以指定一個鑰匙檔作為解密之用,密碼和鑰匙檔可以擇一使用或兩者皆用,兩者皆用的話這個 kdbx 檔案被開啟時就必須輸入密碼和鑰匙檔才可完整解密。
設定完 kdbx 的密碼後,下一頁的一些屬性設定可以直接 OK 跳過,然後會到主視窗,點擊某筆密碼或新增一筆密碼會跳出如下的對話框:
介面實在是滿簡單的,標題、用戶名稱、密碼、密碼強度提示、網址、備註等幾個欄位,有需要的填寫後即可存檔。在對話框的 Advanced 分頁可以在這筆紀錄內夾附檔,譬如說一些金鑰檔就可以夾帶在這裡。
逐筆把密碼記錄起來後記得要把這個 kdbx 檔案存檔,個人建議是異動一筆就存檔一次。另外未避免記錄時手誤,建議在每筆紀錄確認前先到那筆的網頁去驗證一次。
以上是使用介紹,因為真的滿簡單的,就不多做說明了。
KeePass 不適用的情境
在本文的第一句話說到 KeePass 較適合個人使用,因為相較於組織型的密碼管理系統,KeePass 少了一些功能,可能對於組織的密碼管理幫不上忙,簡單列舉一些:
- 不能做分層分派,只要能打開 kdbx 的人員皆可看到全部的密碼,無法做分層分派,而往往組織用的密碼管理都是需要分層分派的。
- 不支援開啟人身份驗證,不論是 KeePass 現有的密碼或鑰匙檔都是屬於對密碼檔的解密驗證,欠缺了對開啟人的身份驗證,這部份往往需要結合作業系統的身份驗證機制,而 KeePass 是沒有這部份的功能的。
- 不支援更複雜的解密驗證,目前只有密碼與鑰匙檔兩種解密驗證,不支援晶片卡或硬體鑰匙做為解密驗證。
- 以本機檔案儲存 kdbx 密碼檔,對組織型密碼系統來說,可能需要非本機端的存取架構,也就是每次人員解鎖都是對中央伺服器做驗證,驗證後也都是從中央伺服器下載密碼到記憶體內,而不會在本機儲存實體檔案。
因為以上這些特性的缺乏所以還是比較建議拿 KeePass 來做個人用途較妥。
KeePass 的跨平台兄弟
雖然 KeePass 本身是 Windows app,不過受益於開源的特性,在各個主流平台上都可以見到 KeePass 的兄弟 app 的身影,並且隨著 .net 也逐漸走向開源與跨平台的路線,KeePass 本身也具備跨平台使用的能力,在 KeePass 的下載頁可以看到 KeePass 與其它各個平台的兄弟 app,之所以稱為兄弟 app 是因為那些其它平台的 app 都不是 KeePass 的移植,而是參考 KeePass 與 kdbx 的規格而獨立撰寫的 app,其中各有優勢,唯一可以不用擔心的是我們的 kdbx 都可以在我們用的電腦或手機中使用,不用擔心被一個 app 綁住或是換平台要重建資料的困擾。
為什麼會看到廣告
留言0
查看全部
你可能也想看
Google News 追蹤
徵的就是你 🫵 超ㄅㄧㄤˋ 獎品搭配超瞎趴的四大主題,等你踹共啦!還有機會獲得經典的「偉士牌樂高」喔!馬上來參加本次的活動吧!
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。
然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
加密钱包是一种软件产品或物理设备,可将公钥和私钥存储到您的加密货币帐户中,密钥是一串数字和字母,用于加密和解密加密交易并保护加密账户,那么,如何保护您的加密钱包?币圈有哪些主流的加密钱包?本文将为大家详细介绍
🚀 币安 - 全球最大加密货币交易所
💥 独家优惠 💥 💰 注册即享 20%
了解如何安全存储加密货币,保护您的财富免受黑客和骗子的攻击。掌握正确的存储方法,避免常见的风险,提高投资回报。
引言 加密货币市场的激增,吸引了越来越多的投资者加入其中。但是,加密货币的安全存储问题却成了投资者最大的担忧。黑客攻击、骗局和umanerror等风险随时可能发生,导致投资者损失惨重
了解公钥密码学在加密货币安全中的关键作用,掌握加密货币交易和投资的基本概念,避免风险和损失。
引言 在加密货币市场中,安全是投资者最关心的问题之一。公钥密码学是加密货币安全的基石,它保护着交易者的隐私和资产。然而,对于许多新手投资者来说,公钥密码学仍然是一个陌生的概念。本文将深入探讨公钥密码学
了解加密货币钱包安全的最新技术和策略,保护您的数字财富免受黑客攻击和盗窃。学习如何选择合适的钱包,设置强密码,启用二-factor认证和冷存储等安全措施。
引言 加密货币市场的发展日益壮大,但随之而来的也是安全风险的增加。黑客攻击、盗窃和钱包泄露事件层出不穷,给投资者带来了巨大的财富损失。因此
了解币安安全设置的重要性和技巧,保护您的加密货币财富免受黑客攻击和财务损失。
引言 在当前加密货币市场中,安全性是一个非常重要的主题。随着加密货币的普及,黑客攻击和财务损失的风险也在增加。如果您想保护自己的加密货币财富,安全设置是必不可少的一步。本指南将详细介绍币安安全设置的技巧和策略,帮助您
在今日數位化的世界中,保護資料的安全性尤為重要。加密憑證(SSL/TLS Certificates)扮演著確保網站和用戶之間資料傳輸安全的重要角色。本文將深入探討加密憑證的原理、作用以及如何選擇適合的加密憑證來保護您的網站。
1. 加密憑證的基本概念
加密憑證是一種數位檔案,用於證明網站身份的真
選擇加密貨幣交易所是進行加密貨幣投資和交易的重要一步。以下是一些關鍵考慮因素和步驟,幫助你選擇合適的交易所:安全性、法規和合規、使用體驗、費用和成本、幣種和交易對、提現和存款選項、評價和口碑。
進入區塊鏈/Web3的世界,首先需要擁有一個錢包或帳號。本文從重要名詞和觀念入手,介紹公鑰和私鑰的重要性,以及助記詞的作用。探討加密錢包的種類,從私鑰控制權和網路連接的角度進行分類。同時提醒了私鑰保管的重要性,以及在交易所和網路交互中的安全提醒。最後透過實際案例介紹了社交工程和釣魚的危害。
發送表單用get跟post看起來好像都無所謂,然而事實並非如此,使用GET的風險如下:
安全性問題
機密資訊為何不宜用GET,是因為由GET方法提交的表單會將欄位的key,value顯示於URL上,想像一下如果小明借用你的電腦,查看你的網頁歷史紀錄時就可以看到你的帳密了,多可怕!
再來就是如果
徵的就是你 🫵 超ㄅㄧㄤˋ 獎品搭配超瞎趴的四大主題,等你踹共啦!還有機會獲得經典的「偉士牌樂高」喔!馬上來參加本次的活動吧!
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。
然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
加密钱包是一种软件产品或物理设备,可将公钥和私钥存储到您的加密货币帐户中,密钥是一串数字和字母,用于加密和解密加密交易并保护加密账户,那么,如何保护您的加密钱包?币圈有哪些主流的加密钱包?本文将为大家详细介绍
🚀 币安 - 全球最大加密货币交易所
💥 独家优惠 💥 💰 注册即享 20%
了解如何安全存储加密货币,保护您的财富免受黑客和骗子的攻击。掌握正确的存储方法,避免常见的风险,提高投资回报。
引言 加密货币市场的激增,吸引了越来越多的投资者加入其中。但是,加密货币的安全存储问题却成了投资者最大的担忧。黑客攻击、骗局和umanerror等风险随时可能发生,导致投资者损失惨重
了解公钥密码学在加密货币安全中的关键作用,掌握加密货币交易和投资的基本概念,避免风险和损失。
引言 在加密货币市场中,安全是投资者最关心的问题之一。公钥密码学是加密货币安全的基石,它保护着交易者的隐私和资产。然而,对于许多新手投资者来说,公钥密码学仍然是一个陌生的概念。本文将深入探讨公钥密码学
了解加密货币钱包安全的最新技术和策略,保护您的数字财富免受黑客攻击和盗窃。学习如何选择合适的钱包,设置强密码,启用二-factor认证和冷存储等安全措施。
引言 加密货币市场的发展日益壮大,但随之而来的也是安全风险的增加。黑客攻击、盗窃和钱包泄露事件层出不穷,给投资者带来了巨大的财富损失。因此
了解币安安全设置的重要性和技巧,保护您的加密货币财富免受黑客攻击和财务损失。
引言 在当前加密货币市场中,安全性是一个非常重要的主题。随着加密货币的普及,黑客攻击和财务损失的风险也在增加。如果您想保护自己的加密货币财富,安全设置是必不可少的一步。本指南将详细介绍币安安全设置的技巧和策略,帮助您
在今日數位化的世界中,保護資料的安全性尤為重要。加密憑證(SSL/TLS Certificates)扮演著確保網站和用戶之間資料傳輸安全的重要角色。本文將深入探討加密憑證的原理、作用以及如何選擇適合的加密憑證來保護您的網站。
1. 加密憑證的基本概念
加密憑證是一種數位檔案,用於證明網站身份的真
選擇加密貨幣交易所是進行加密貨幣投資和交易的重要一步。以下是一些關鍵考慮因素和步驟,幫助你選擇合適的交易所:安全性、法規和合規、使用體驗、費用和成本、幣種和交易對、提現和存款選項、評價和口碑。
進入區塊鏈/Web3的世界,首先需要擁有一個錢包或帳號。本文從重要名詞和觀念入手,介紹公鑰和私鑰的重要性,以及助記詞的作用。探討加密錢包的種類,從私鑰控制權和網路連接的角度進行分類。同時提醒了私鑰保管的重要性,以及在交易所和網路交互中的安全提醒。最後透過實際案例介紹了社交工程和釣魚的危害。
發送表單用get跟post看起來好像都無所謂,然而事實並非如此,使用GET的風險如下:
安全性問題
機密資訊為何不宜用GET,是因為由GET方法提交的表單會將欄位的key,value顯示於URL上,想像一下如果小明借用你的電腦,查看你的網頁歷史紀錄時就可以看到你的帳密了,多可怕!
再來就是如果