KeePass: AES-256 gecodeerde database en sleutelbestandinstallatie

Als u tientallen accounts en services beheert, weet u dat het geheugen beperkt is; daarom is een manager als KeePass Het is puur goud. Centraliseer uw wachtwoorden in een gecodeerde database en vraagt ​​u om slechts één "sleutel" om de kluis te openen: uw hoofdsleutel (en optioneel een sleutelbestand).

In deze gids hebben we de nuttigste en meest recente informatie uit verschillende naslagbronnen gebundeld, zodat u alles op één plek kunt vinden. U leert hoe u KeePass kunt installeren, configureren en gebruiken (en het ecosysteem ervan), hoe KDF (AES-KDF en Argon2) te harden, wanneer je een sleutelbestand moet gebruiken, hoe je kunt importeren vanuit Excel/Chrome, hoe je veilig kunt synchroniseren en wat je moet doen op mobiel, samen met Tricks zoals Auto-Type, Veilig bureaublad, Triggers en meer.

Wat is KeePass en hoe beschermt het uw database?

KeePass is een wachtwoordbeheerder gratis en open source die al uw referenties opslaat in een beveiligd .kdbx-bestand. De database is end-to-end versleuteld. en opent alleen met de door u gedefinieerde combinatie: hoofdwachtwoord, sleutelbestand en/of uw account Windows (dit laatste is niet de meest flexibele optie).

Wat betreft encryptie ondersteunt KeePass 2.x AES‑256 (Rijndael), ChaCha20 en Twofish, breed gecontroleerde algoritmen. Het valideert ook de integriteit met HMAC-SHA-256 (Encrypt-then-MAC-schema), waardoor manipulatie zonder uw medeweten wordt voorkomen.

Naast het versleutelen op schijf, tijdens de uitvoering Bescherm het geheugen met DPAPI in Windows (of ChaCha20 wanneer het niet beschikbaar is) en verwijdert gevoelige gebieden wanneer ze niet langer nodig zijn. Gebruikers/URL's worden niet in platte tekst in het bestand weergegeven: al die content is ook versleuteld.

Een belangrijk detail is het afleiden van de sleutel voordat de inhoud wordt gecodeerd: Ten eerste zijn de ontgrendelingsfactoren gemengd (wachtwoord/sleutelbestand/enz.) met SHA‑256 om K te krijgen; daarna wordt K gehasht met een KDF om het moeilijk te raden te maken.

Installatie op Windows, Linux, macOS en mobiel

Op het bureaublad, download het van de officiële website en kies voor het installatieprogramma of de draagbare versie. De Professional 2.x-editie is de meest complete (plug-ins, aangepaste velden, openen via URL, geavanceerde synchronisatie, enz.). 1.x bestaat nog steeds, maar is beperkter.

In Windows is de wizard hetzelfde als altijd: taal, licentie, pad, componenten en extra taken. U kunt het controleren op updates inschakelen om meer te weten te komen over beveiligings- en prestatieverbeteringen.

Er is geen officiële app voor mobiel, maar er zijn uitstekende clients: Android opvallen Keepass2Android en KeePassDroid; in iOS, Strongbox en KeePassiumHiermee kunt u .kdbx-bestanden openen en automatisch aanvullen, Face ID/vingerafdruk en TOTP integreren.

Als u de voorkeur geeft aan een platformonafhankelijke native ervaring met een moderne interface, bekijk dan KeePassXC, een Linux/macOS/Windows-fork van KeePass die onder andere browserintegratie en TOTP toevoegt.

Uw eerste database aanmaken: beveiliging en opties

Bij het aanmaken van het .kdbx-bestand zal KeePass u vragen om de ontgrendelingsmethode. De meest evenwichtige optie is een sterk hoofdwachtwoord. En als u nog een stap verder wilt gaan, kunt u een sleutelbestand op een apart apparaat toevoegen.

Het hoofdwachtwoord moet lang en onvoorspelbaar zijn. Een lange zin werkt erg goed. Vermijd patronen en hergebruik, en bewaar het niet op een plek waar het in verkeerde handen kan vallen. Je kunt een noodblad printen, maar bewaar het goed.

Kies onder 'Beveiliging' voor encryptie (AES-256 of ChaCha20) en KDF. AES‑KDF maakt het mogelijk om iteraties nauwkeurig af te stemmen (meer = langzamere aanval) en Argon2 voegt geheugenafhankelijke hardheid toe aan GPU's/ASIC's. Stel de "1 seconde vertraging" in als referentie op je systeem.

Andere handige tabbladen: 'Compressie' (GZip heeft nauwelijks invloed en helpt), 'Prullenbak' (voorkomt dodelijke verwijderingen) en 'Geavanceerd' (geschiedenis, maximale groottes, herinneringen om de hoofdsleutel te wijzigen, Enz.).

Sla uw eerste inloggegevens op en gebruik ze

KeePass maakt standaardgroepen (Internet, E-mail, Windows, enz.) die u kunt aanpassen. Een item toevoegen, gebruik “Voeg item toe” en vul de titel, gebruikersnaam, wachtwoord (u kunt er zelf één genereren), URL en notities in.

Om een ​​wachtwoord te gebruiken, hebt u verschillende opties: dubbelklikken om het tijdelijk te kopiëren naar de klembord (verloopt in seconden), open de invoer en geef deze weer, of Autotypie om KeePass gebruikersnaam/wachtwoord te laten schrijven in het actieve venster met een toetsencombinatie.

Als een login extra velden heeft, pas dan de Auto-Type-volgorde per invoer aan (bijvoorbeeld {GEBRUIKERSNAAM}{TAB}{WACHTWOORD}{TAB}{ENTER}). Er is ook een “Tweekanaals Auto-Type-verduistering” om te verduisteren tegen eenvoudige keyloggers.

Krachtige truc: “URL-schema-overschrijvingen”. Hiermee kunt u programma's zoals PuTTY of MSTSC starten met parameters en referenties rechtstreeks vanuit de invoer, of open URL's met uw favoriete browser per schema.

Importeren vanuit Excel en Google Chrome

Als u een Excel-bestand gebruikt, converteer dit dan eerst naar CSV met het juiste scheidingsteken (meestal ; op lokale systemen). Gebruik "Algemene CSV-importer", wijs kolommen toe aan KeePass-velden en bekijk een voorbeeld voordat u klaar bent. U kunt ze vervolgens opnieuw in groepen ordenen.

Exporteer wachtwoorden vanuit Chrome naar een CSV-bestand (let op: het bestand blijft ongecodeerd zolang het bestaat). In KeePass, “Importeren” → “Google Chrome Wachtwoorden CSV” formaat, selecteer het bestand en klaar. Vergeet niet om het CSV-bestand veilig te verwijderen, ook uit de prullenbak.

Encryptie, KDF en parameters: AES‑256, ChaCha20, Twofish, AES‑KDF en Argon2

KeePass-encryptie beschermt alle inhoud (gebruikers, URL's, notities, bijlagen) met AES‑256, ChaCha20 of Twofish. CBC-modus en een willekeurige IV per opslag voorkomen patronen tussen kopieën.

Vóór de encryptie wordt de samengestelde sleutel met behulp van SHA‑256 teruggebracht tot 256 bits en wordt vervolgens een KDF toegepast. AES‑KDF schaalt lineair met iteraties (gemakkelijk af te stellen, minder GPU-resistent). Argon2 biedt geheugenintensieve robuustheid en configureerbare parallelliteit.

Argon2d of Argon2id? KeePass geeft prioriteit Argon2d voor GPU/ASIC-resistentie op clientArgon2id is een hybride oplossing die side-channel-verdediging toevoegt. Als u de basis op gedeelde of niet-vertrouwde apparaten gebruikt, kan Argon2id een evenwichtige keuze zijn.

Praktische aanbeveling: repareer de knop “1 seconde” van afleiding op uw hoofdapparaat en controleer dit op uw andere apparaten de tijd Betaalbaar zijn (ook mobiel). Als je je bij elke opening 1 à 2 seconden kunt veroorloven, is dat nog beter.

Keyfile vs. hoofdwachtwoord: welke is het juiste en hoe gebruik je het?

Een sleutelbestand voegt een tweede offline factor toe die de aanvaller niet met een woordenboek kan raden. Het is sterker dan alleen een wachtwoord, maar dit brengt wel een risico met zich mee: als u uw kluis kwijtraakt of als er iets verandert, bent u buitengesloten.

Goede praktijken met sleutelbestanden: sla het op in apart apparaat (pendrive), maak gecodeerde kopieën, upload het niet naar dezelfde cloud als de .kdbx en vermijd voor de hand liggende paden. Laat het op mobiel in de opslagruimte intern gecodeerd door het systeem, niet op de SD.

Is het sleutelbestand de enige factor? Het is haalbaar, maar het vermindert de fouttolerantie. De combinatie hoofdwachtwoord + sleutelbestand biedt een gelaagde verdediging en zorgt ervoor dat u blijft werken als een exemplaar van het sleutelbestand uitvalt.

Over de grootte: KeePass .key-bestanden zijn qua ontwerp klein; de effectieve entropie ervan is niet afhankelijk van het gewicht in KB maar van de willekeurige bits. Je hoeft het niet "10 KB groot te maken" om het veilig te maken.

Synchronisatie en back-up: cloud, WebDAV/FTP, USB en triggers

U kunt het .kdbx-bestand opslaan in diensten zoals Drive, Dropbox, OneDrive, iCloud of een WebDAV/FTP-server. Het bestand is end-to-end versleuteld, dus als u geen samengestelde sleutel gebruikt, wordt er geen inhoud weergegeven in uw cloud.

Risico's en beperking: gebruik cloud 2FA, deel geen links en overweeg ook een ZIP versleutelen met een andere sleutel Als u meerdere basissen/bijlagen meeneemt, vermijd dan het bewerken van dezelfde basis op twee apparaten tegelijkertijd.

Als u liever niet afhankelijk bent van internet, pendrive met de draagbare versie en de basis is heel praktisch. KeePass maakt openen via URL mogelijk en plugins zoals KeeCloud/Sync voor S3/Dropbox, maar configureer ze zorgvuldig.

Automatiseer taken met het 'Triggers'-systeem: bij het opslaan kunt u een kopie exporteren, een synchronisatie activeren of scripts uitvoeren. Het is handig om een ​​geschiedenis bij te houden of berichten te verzenden. backup naar een veilige locatie.

Geavanceerde functies: Veilig bureaublad, geheugen, willekeur en automatisch typen

Activeer de hoofdsleutelkast in “veilig bureaublad” (Extra → Opties → Beveiliging) om het risico op keyloggers tijdens ontgrendelingssessies te minimaliseren; uitgeschakeld vanwege compatibiliteit.

Om betrouwbare referenties te genereren, verzamelt KeePass systeementropie (tijden, bewegingen, GUID's, enz.) en gebruikt CSPRNG gebaseerd op SHA‑256/SHA‑512 en ChaCha20Voeg indien nodig handmatige entropie toe.

In het geheugen versleutelt de applicatie gevoelige gegevens en wist deze wanneer deze niet nodig zijn, waarbij wordt vertrouwd op DPAPI / Beschermd geheugen in Windows. Als u echter een wachtwoord op het scherm weergeeft of kopieert, kan het besturingssysteem tijdelijke kopieën bewaren.

Integratie van 'Auto-Type' bespaart typen en fouten; pas sequenties per service aan, voeg vertragingen toe ({DELAY 1000}) en gebruik waar nodig tweekanaalsverduistering. U kunt ook RDP/SSH-aanmeldingen activeren met sjablonen.

KeePass op mobiel en ondersteunde varianten

Op Android openen Keepass2Android en KeePassDroid .kdbx-bestanden met Argon2/AES‑KDF, genereren wachtwoorden, integreren automatisch aanvullen en kunnen synchroniseren met de cloudOp iOS ondersteunen Strongbox en KeePassium Face ID/Touch ID, TOTP en iCloud/bestandsopslag.

KeePassium onderscheidt zich door de gratis modus met essentiële functies en een Premium-optie voor extra's. Beide platforms maken geïntegreerde TOTP mogelijk, zodat u de seed kunt opslaan en tijdelijk codes kunt genereren zonder afhankelijk te zijn van een andere app.

Verschillen tussen KeePass 1.x en 2.x

De 1.x-tak is lichtgewicht, maar bevat minder functies: geen volledige Unicode, geen URL-opening of synchronisatie, beperkt afdrukken en minder uitbreidbaarheid. 2.x voegt aangepaste velden, plug-ins, geavanceerd automatisch typen en verbeterde platformonafhankelijke ondersteuning toe (via Mono/.NET).

Beide zijn draagbaar, open source en maken gebruik van sterke encryptie. Als je vandaag begint, ga dan voor 2.x tenzij je een heel specifieke reden hebt voor 1.x.

KeePassXC: cross-platform lokaal alternatief

KeePassXC neemt het .kdbx-formaat over en brengt het naar Linux/macOS/Windows met browserintegratie (Chrome/Firefox/Edge), TOTP en een modernere interface. Werkt standaard offline, maar u kunt wel synchroniseren via uw gebruikelijke cloud door het bestand .kdbx op te slaan.

Hun typische stroom is eenvoudig: basis creëren, definiëren sterke hoofdsleutel, schakel browserintegratie in, voeg items toe en sla, indien gewenst, TOTP op in hetzelfde tabblad om 2FA-aanmeldingen te voltooien.

Voor- en nadelen en alternatieven van het ecosysteem

Voordelen van KeePass: controleerbare beveiliging, draagbaarheid, flexibiliteit door middel van plugins, zonder afhankelijkheid van een centrale server en met geavanceerde automatiserings- en integratieopties.

Nadelen: sobere interface, zonder native synchronisatie (hoewel eenvoudig met de cloud), en meer opties betekenen een grotere leercurve dan gesloten 'alles-in-één'-oplossingen.

Populaire alternatieven: 1Password, Keeper, Enpass, Bitwarden en LastPassZe bieden een geïntegreerde cloud en een verfijnde ervaring, in ruil voor het uitbesteden van opslag aan derden of het hanteren van betaalde modellen.

Probleemoplossing en goede praktijken

Als de basis niet opengaat, controleer dan de hoofdletters/kleine letters, correct sleutelbestand En als je een Windows-account hebt gebruikt, controleer dan of je SID/wachtwoorden niet zijn gewijzigd. Zonder de juiste factoren is er geen herstel mogelijk.

Maak regelmatig een back-up van het .kdbx- en sleutelbestand; Sluit KeePass af voordat u het programma afsluit en vermijd gelijktijdige bewerkingen. Gebruik de prullenbak van de database om schade door onbedoelde verwijderingen te minimaliseren.

Bij het afdrukken beperkt het welke velden leeg zijn en is er een hoofdsleutel nodig om te kunnen afdrukken. Laat nooit losse export-CSV's achter; verwijder ze veilig na het importeren.

Realistisch scenario: Kan mijn clouddatabase gehackt worden?

Stel dat iemand je .kdbx-bestand steelt van een WebDAV of je cloud. Als je Argon2 met ~1 s afleiding en een lange zin of een hoofdsleutel van 25+ willekeurige tekens, is een GPU/ASIC-aanval tegenwoordig onpraktisch.

Het zwakke punt is meestal een kort of voorspelbaar hoofdwachtwoord. "Echt sterk" wachtwoord + goed geharde KDF + (optioneel) sleutelbestand op apart apparaat zorgt ervoor dat de aanvalstijd van “misschien” naar “onredelijk” gaat.

U kunt gerust doorgaan met het maken van back-ups in de cloud, zolang u 2FA toepast, geen links deelt en uw KDF hoog houdt. Wie vreest extreme scenario's? U kunt het combineren met een extra gecodeerde container of alleen een gecodeerde USB gebruiken als synchronisatiekanaal.

Als een drijvende gedachteEen woordenboek is niet nuttig als je zin/sleutel niet correleerbaar is, en KDF vertraagt ​​elke poging. De investering die nodig is om een ​​goed geconfigureerde database te kraken, schiet omhoog.

Voordat u aan de slag gaat, moet u even de tijd nemen om uw kopieerbeleid (lokaal en offsite), uw KDF-configuratie en of u deze gaat gebruiken, te definiëren. sleutelbestand als tweede factorDe werkelijke veiligheid van uw kluis hangt af van deze combinatie.

Met KeePass hebt u volledige controle over het veilig, draagbaar en op uw eigen manier beheren van wachtwoorden. Met een paar handige aanpassingen (AES‑256/ChaCha20, goed gekalibreerde Argon2, lange hoofdsleutel en, indien van toepassing, sleutelbestand), importeer vanuit Excel/Chrome zonder sporen achter te laten, activeer Auto‑Type en beheer uw kopieën. U beschikt dan over een duurzame en handige kluis, zowel op uw pc als op uw mobiele apparaat.