KeePass: AES-256 암호화 데이터베이스 및 키 파일 설정

수십 개의 계정과 서비스를 관리한다면 메모리가 제한되어 있다는 사실을 알게 될 것입니다. 이것이 바로 관리자가 다음과 같은 이유입니다. KeePass 그것은 순금입니다. 암호화된 데이터베이스에 비밀번호를 중앙화하세요 금고를 열려면 단 하나의 "열쇠", 즉 마스터 키(그리고 선택적으로 키 파일)만 요구합니다.

이 가이드에서는 여러 참고 자료에서 가장 유용하고 최신 정보를 모아서 한곳에서 볼 수 있도록 했습니다. KeePass를 설치, 구성하고 활용하는 방법을 살펴보겠습니다. (및 해당 생태계), KDF(AES-KDF 및 Argon2) 강화 방법, 키 파일을 사용하는 시기, Excel/Chrome에서 가져오는 방법, 안전하게 동기화하는 방법 및 모바일에서 수행할 작업 등 트릭 자동 입력, 안전한 데스크톱, 트리거 등이 있습니다.

KeePass란 무엇이고, 어떻게 데이터베이스를 보호하나요?

KeePass는 비밀번호 관리자 모든 자격 증명을 보호된 .kdbx 파일에 저장하는 무료 오픈 소스입니다. 데이터베이스는 종단간 암호화됩니다. 그리고 귀하가 정의한 조합(마스터 비밀번호, 키 파일 및/또는 귀하의 계정)으로만 열립니다. Windows (후자는 가장 유연한 옵션은 아닙니다).

암호화에 관해서는 KeePass 2.x가 지원합니다. AES‑256(Rijndael), ChaCha20 및 Twofish널리 감사된 알고리즘을 사용합니다. 또한 HMAC-SHA-256(Encrypt-then-MAC scheme) 방식으로 무결성을 검증하여 사용자 모르게 변조되는 것을 방지합니다.

디스크 암호화 외에도 실행 중 Windows에서 DPAPI로 메모리 보호 (또는 ChaCha20을 사용할 수 없을 때는) 더 이상 필요하지 않은 민감한 영역은 삭제합니다. 파일에서 사용자/URL을 일반 텍스트로 표시하지 않으며, 모든 콘텐츠도 암호화됩니다.

중요한 세부 사항은 콘텐츠를 암호화하기 전에 키를 파생하는 것입니다. 첫째, 잠금 해제 요인은 혼합되어 있습니다. (비밀번호/키파일 등)을 SHA‑256으로 해시하여 K를 구한 다음, K를 KDF로 해시하여 추측하기 어렵게 만듭니다.

Windows, Linux, macOS 및 모바일에 설치

데스크톱에서, 공식 웹사이트에서 다운로드하세요 설치 프로그램이나 휴대용 버전을 선택하세요. Professional 2.x 에디션은 가장 완벽합니다. (플러그인, 사용자 정의 필드, URL로 열기, 고급 동기화 등). 1.x는 아직 사용 가능하지만 제한이 더 많습니다.

Windows에서 마법사는 항상 그렇듯이 언어, 라이센스, 경로, 구성 요소 및 추가 작업으로 구성됩니다. 업데이트 확인을 활성화할 수 있습니다. 보안 및 성능 개선에 대해 알아보세요.

모바일에는 공식 앱이 없지만 훌륭한 클라이언트가 있습니다. Android 눈에 띄다 Keepass2Android 및 KeePassDroid; 에 iOS, Strongbox와 KeePassium이를 통해 .kdbx 파일을 열고 자동 완성, Face ID/지문, TOTP를 통합할 수 있습니다.

최신 인터페이스로 크로스 플랫폼 네이티브 경험을 선호한다면 다음을 살펴보세요. KeePassXCKeePass의 Linux/macOS/Windows 포크로, 브라우저 통합과 TOTP 등의 개선 사항이 추가되었습니다.

첫 번째 데이터베이스 만들기: 보안 및 옵션

.kdbx를 생성할 때 KeePass는 다음을 정의하도록 요청합니다. 잠금 해제 방법. 가장 균형 잡힌 옵션은 강력한 마스터 비밀번호입니다. 그리고, 한 단계 더 나아가고 싶다면 별도의 장치에 키 파일을 추가하세요.

마스터 비밀번호는 길고 예측 불가능해야 합니다. 긴 문구가 매우 효과적입니다. 패턴을 피하고 재사용하세요그리고 잘못된 사람의 손에 들어갈 수 있는 곳에 보관하지 마세요. 비상용 시트를 인쇄할 수는 있지만, 안전하게 보관하세요.

"보안"에서 암호화(AES‑256 또는 ChaCha20)와 KDF를 선택합니다. AES‑KDF는 반복 작업을 미세하게 조정할 수 있도록 합니다. (더 많을수록 공격 속도가 느려집니다) Argon2는 GPU/ASIC에 대한 메모리 의존적 방어력을 추가합니다. 장비에서 "1초 지연"을 기준으로 설정하세요.

기타 유용한 탭: "압축"(GZip은 거의 영향을 미치지 않고 도움이 됨), "휴지통"(치명적인 삭제 방지), "고급"(기록, 최대 크기, 마스터 키 변경 알림등).

첫 번째 자격 증명을 저장하고 사용하세요

KeePass는 사용자가 사용자 정의할 수 있는 기본 그룹(인터넷, 이메일, Windows 등)을 생성합니다. 항목을 추가하려면, "항목 추가"를 사용하여 제목, 사용자 이름, 비밀번호(생성 가능), URL 및 메모를 입력합니다.

비밀번호를 사용하려면 여러 옵션이 있습니다. 두 번 클릭하여 임시로 복사합니다. 클립 보드 (초 후 만료), 항목을 열어 표시하거나 자동 입력 KeePass가 키 시퀀스를 사용하여 활성 창에 사용자 이름/비밀번호를 쓰도록 합니다.

로그인에 추가 필드가 있는 경우 항목별로 자동 입력 순서를 조정합니다(예: {사용자 이름}{TAB}{비밀번호}{TAB}{ENTER}). 간단한 키로거를 차단하기 위한 "2채널 자동 입력 난독화" 기능도 있습니다.

강력한 트릭: "URL 체계 재정의" PuTTY나 MSTSC와 같은 프로그램을 실행할 수 있습니다. 매개변수와 자격 증명을 입력에서 직접 사용하거나, 스키마를 통해 원하는 브라우저로 URL을 엽니다.

Excel 및 Google Chrome에서 가져오기

Excel 파일에서 가져온 경우 먼저 적절한 구분 기호(일반적으로 로컬 시스템에서는 ;)를 사용하여 CSV로 변환합니다. "일반 CSV 가져오기" 사용, KeePass 필드에 열을 매핑하고 완료하기 전에 미리 볼 수 있습니다. 그런 다음 열을 그룹으로 다시 정렬할 수 있습니다.

Chrome에서 비밀번호를 CSV로 내보냅니다(참고: CSV 파일은 암호화되지 않은 상태로 유지됩니다). KeePass에서 "가져오기" → "Google Chrome 비밀번호 CSV" 형식파일을 선택하면 끝입니다. CSV 파일도 휴지통에서 안전하게 삭제하는 것을 잊지 마세요.

암호화, KDF 및 매개변수: AES‑256, ChaCha20, Twofish, AES‑KDF 및 Argon2

KeePass 암호화는 모든 콘텐츠(사용자, URL, 메모, 첨부 파일)를 보호합니다. AES‑256, ChaCha20 또는 TwofishCBC 모드와 저장당 무작위 IV로 인해 사본 간 패턴이 방지됩니다.

암호화 전에 SHA‑256을 사용하여 복합 키를 256비트로 줄인 다음 KDF를 적용합니다. AES‑KDF는 반복에 따라 선형적으로 확장됩니다. (조정하기 쉽고, GPU에 대한 저항성이 낮음). Argon2는 메모리 집약적인 견고성과 구성 가능한 병렬 처리를 제공합니다.

Argon2d 또는 Argon2id? KeePass가 우선시합니다. 클라이언트에서 GPU/ASIC 저항을 위한 Argon2dArgon2id는 하이브리드 방식으로 사이드 채널 방어 기능을 추가합니다. 공유 또는 신뢰할 수 없는 장치에서 이 기반을 사용하는 경우 Argon2id는 균형 잡힌 선택이 될 수 있습니다.

실용적인 추천: 버튼을 고치세요 "1초"의 파생 주요 장치에서 확인하고 다른 장치에서도 확인하세요. 시간 (모바일 포함) 저렴해야 합니다. 개장할 때마다 1~2회 정도 이용할 수 있다면 더 좋습니다.

키파일 대 마스터 비밀번호: 어느 것이 맞는지, 그리고 어떻게 사용하는지

키 파일은 공격자가 사전으로 추측할 수 없는 두 번째 오프라인 요소를 추가합니다. 비밀번호보다 더 강력합니다하지만 위험이 따릅니다. 금고를 잃어버리거나 조금이라도 변경 사항이 있으면 금고에 들어갈 수 없게 됩니다.

키 파일을 사용하는 모범 사례: 저장 위치 별도의 장치(펜드라이브)암호화된 사본을 만들고, .kdbx와 같은 클라우드에 업로드하지 말고, 명확한 경로는 피하세요. 모바일에서는 그대로 두세요. 저장 시스템 내부에서 암호화되며 SD에는 저장되지 않습니다.

키 파일만 유일한 요인인가요? 실행 가능은 하지만 내결함성이 떨어집니다. 마스터 비밀번호 + 키 파일의 조합 계층적 방어 기능을 제공하며 키 파일의 한 사본이 실패하더라도 계속 사용할 수 있습니다.

크기 정보: KeePass .key 파일은 원래 크기가 작습니다. 그 효과적인 엔트로피는 KB 단위의 가중치에 의존하지 않습니다. 하지만 무작위 비트는 보안을 위해 "10KB로 만들" 필요는 없습니다.

동기화 및 백업: 클라우드, WebDAV/FTP, USB 및 트리거

.kdbx를 Drive, Dropbox, OneDrive, iCloud 또는 다음과 같은 서비스에 저장할 수 있습니다. WebDAV/FTP 서버. 파일은 종단간 암호화되어 있습니다.따라서 복합 키 없이는 클라우드에 액세스해도 콘텐츠가 공개되지 않습니다.

위험 및 완화: 클라우드 2FA를 사용하고 링크를 공유하지 말고 다음을 고려하세요. 또한 다른 키로 ZIP을 암호화합니다. 여러 개의 기지/부속품을 가지고 다닐 경우, 두 대의 기기에서 동시에 같은 기지를 편집하지 마세요.

인터넷에 의존하지 않으려면 휴대용 버전의 펜드라이브 그리고 그 바닥은 매우 실용적입니다. KeePass를 사용하면 URL로 열 수 있습니다. S3/Dropbox용 KeeCloud/Sync와 같은 플러그인을 사용할 수 있지만 신중하게 구성해야 합니다.

"트리거" 시스템으로 작업을 자동화하세요. 저장할 때 다음을 수행할 수 있습니다. 사본 내보내기동기화를 트리거하거나 스크립트를 실행합니다. 기록을 보관하거나 전송하는 데 유용합니다. 백업 안전한 장소로 이동하세요.

고급 기능: 보안 데스크톱, 메모리, 무작위성 및 자동 입력

마스터 키 상자를 활성화하세요 "보안 데스크톱" (도구 → 옵션 → 보안) 잠금 해제 세션 동안 키로거 위험을 최소화합니다. 호환성을 위해 비활성화합니다.

신뢰할 수 있는 자격 증명을 생성하기 위해 KeePass는 시스템 엔트로피(시간, 이동, GUID 등)를 수집하고 사용합니다. SHA‑256/SHA‑512 및 ChaCha20 기반 CSPRNG적합하다고 생각되면 수동 엔트로피를 추가하세요.

메모리에서 애플리케이션은 민감한 데이터를 암호화하고 필요하지 않을 때 이를 제거합니다. DPAPI / 보호된 메모리 Windows에서는 그렇습니다. 하지만 화면에 비밀번호를 표시하거나 복사하는 경우 운영 체제가 임시 사본을 보관할 수 있습니다.

"자동 입력" 통합으로 입력 및 오류 방지 서비스별로 시퀀스를 사용자 정의합니다지연({DELAY 1000})을 추가하고, 적절한 경우 2채널 난독화를 사용하세요. 템플릿을 사용하여 RDP/SSH 로그인을 트리거할 수도 있습니다.

모바일 및 지원되는 변형의 KeePass

Android에서 Keepass2Android 및 KeePassDroid는 Argon2/AES‑KDF로 .kdbx 파일을 열고, 비밀번호를 생성하고, 자동 완성을 통합할 수 있습니다. 클라우드와 동기화iOS에서 Strongbox와 KeePassium은 Face ID/Touch ID, TOTP, iCloud/파일 저장소를 지원합니다.

KeePassium은 필수 기능을 갖춘 무료 모드와 추가 기능을 갖춘 프리미엄 옵션으로 구분됩니다. 두 플랫폼 모두 통합 TOTP를 허용합니다., 이렇게 하면 다른 앱에 의존하지 않고도 시드를 저장하고 일시적으로 코드를 생성할 수 있습니다.

KeePass 1.x와 2.x의 차이점

1.x 브랜치는 가볍지만 기능이 축소되었습니다. 전체 유니코드가 없습니다. URL 열기 또는 동기화 없음, 인쇄 기능이 제한적이고 확장성이 떨어집니다. 2.x에서는 사용자 정의 필드, 플러그인, 고급 자동 유형, 향상된 크로스 플랫폼 지원(Mono/.NET을 통해)이 추가되었습니다.

두 가지 모두 이식성이 뛰어나고 오픈 소스이며 강력한 암호화를 사용합니다. 오늘 시작한다면 2.x로 가세요 1.x에 대한 아주 구체적인 이유가 없는 한요.

KeePassXC: 크로스 플랫폼 로컬 대안

KeePassXC는 .kdbx 형식을 가져와 브라우저 통합(Chrome/Firefox/Edge), TOTP 및 보다 현대적인 인터페이스를 통해 Linux/macOS/Windows로 제공합니다. 기본적으로 오프라인으로 작동합니다.kdbx를 저장하여 평소 사용하는 클라우드를 사용하여 동기화할 수도 있습니다.

일반적인 흐름은 간단합니다. 기반을 만들고 정의합니다. 강력한 마스터 키브라우저 통합을 활성화하고, 항목을 추가하고, 원하는 경우 TOTP를 같은 탭에 저장하여 2FA 로그인을 완료합니다.

생태계의 장단점 및 대안

KeePass의 장점: 감사 가능한 보안, 이식성 플러그인을 통한 유연성중앙 서버에 의존하지 않고도 고급 자동화 및 통합 옵션을 제공합니다.

단점: 냉정한 인터페이스, 네이티브 동기화 없이 (클라우드에서는 쉽지만) 옵션이 더 많기 때문에 폐쇄형 "올인원" 솔루션보다 학습 곡선이 더 큽니다.

인기 있는 대안: 1Password, Keeper, Enpass, Bitwarden 및 LastPass이들은 타사에 스토리지를 아웃소싱하거나 유료 모델을 도입하는 대가로 통합된 클라우드와 세련된 환경을 제공합니다.

문제 해결 및 모범 사례

베이스가 열리지 않을 경우 대문자/소문자를 확인하세요. 올바른 키 파일 Windows 계정을 사용하셨다면 SID/비밀번호가 변경되지 않았는지 확인하세요. 정확한 정보가 없으면 복구가 불가능합니다.

.kdbx 및 키 파일을 정기적으로 백업하세요. 종료하기 전에 KeePass를 닫으세요 동시 편집을 방지하세요. 데이터베이스 휴지통을 사용하여 실수로 삭제하여 발생하는 손상을 최소화하세요.

인쇄의 경우, 어떤 필드가 비어 있는지 제한하고 인쇄하려면 마스터 키가 필요합니다. 느슨한 내보내기 CSV를 절대 남겨두지 마세요.; 가져온 후에는 안전하게 삭제하세요.

현실적인 시나리오: 내 클라우드 데이터베이스가 해킹될 수 있을까?

누군가가 WebDAV나 클라우드에서 .kdbx 파일을 훔쳤다고 가정해 보겠습니다. ~1초의 유도를 통한 Argon2 긴 문구나 25자 이상의 무작위 문자 마스터 키로 인해 오늘날 GPU/ASIC 공격은 비실용적입니다.

취약점은 대개 마스터 비밀번호가 짧거나 예측 가능하다는 것입니다. "정말 강력한" 비밀번호 + 잘 강화된 KDF + (선택 사항) 별도 장치에 키 파일을 설치하면 공격 시간이 "어쩌면"에서 "불합리함"으로 바뀝니다.

2FA를 시행하고, 링크를 공유하지 않고, KDF를 높게 유지한다면 클라우드에 계속 백업하는 것은 괜찮습니다. 극단적인 상황을 두려워하는 사람 추가 암호화된 컨테이너와 결합하거나 암호화된 USB만 동기화 채널로 사용할 수 있습니다.

운전 아이디어로서구문/키를 연관시킬 수 없다면 사전은 아무런 도움이 되지 않고, KDF는 모든 시도를 지연시킵니다. 잘 구성된 데이터베이스를 해독하는 데 필요한 투자 비용은 엄청나게 늘어납니다.

시작하기 전에 복사 정책(로컬 및 오프사이트), KDF 구성 및 사용 여부를 정의하는 데 잠시 시간을 내십시오. 두 번째 요소로 키 파일금고의 진정한 보안은 이러한 조합에 달려 있습니다.

KeePass를 사용하면 비밀번호를 안전하고 휴대 가능하게 원하는 방식으로 관리할 수 있는 완벽한 제어 기능을 제공합니다. 몇 가지 합리적인 조정(AES‑256/ChaCha20, 잘 보정된 Argon2, 긴 마스터 키 및 해당되는 경우 키 파일)을 통해흔적을 남기지 않고 Excel/Chrome에서 가져오고, 자동 입력을 활성화하고 사본을 관리하면 PC와 모바일 모두에서 내구성 있고 편리한 보관함을 갖게 됩니다.