KeePassXC Avansert veiledning: Profesjonell oppsett og bruk

Hvis du er lei av skybaserte passordbehandlere, månedlige avgifter og at du ikke egentlig vet hvor passordene dine havner, KeePassXC er sannsynligvis et av de mest seriøse og kraftige alternativene du kan ta i bruk.Det er en lokal, åpen kildekode-basert og svært fleksibel administrator som passer like godt i hverdagen til en avansert bruker som i miljøet til en liten bedrift.

Gjennom hele denne guiden vil du se hvordan Installer, konfigurer og få mest mulig ut av KeePassXCFra å opprette din første database til synkronisering på tvers av enheter, nettleserintegrasjon, sikkerhetskopieringspolicyer og bruk med mobilapper, vil du se alt. Du vil også finne ut om KeePassXC oppfyller dine spesifikke krav, for eksempel... Integrasjon med TOTP, ekte offline-funksjonalitet og full kontroll over hvelvet ditt.

Hva er KeePassXC, og hvorfor er det annerledes?

KeePassXC er en lokal, åpen kildekode- og plattformuavhengig passordbehandler Den lagrer alle nøklene dine i en kryptert fil på din egen enhet. Ingen obligatoriske skykontoer eller tredjepartsservere som administrerer hemmelighetene dine: du kontrollerer .kdbx-databasefilen din fra start til slutt.

Denne tilnærmingen gjør det til et spesielt interessant verktøy for de som verdsetter personvern, kontroll og fravær av abonnementerDu kan bruke den på Windows, macOS og Linux, og kombinere den med synkroniseringstjenester som Dropbox, Google Drive, OneDrive, Nextcloud, Syncthing eller P2P-løsninger som Resilio Sync for å ha den samme databasen på flere datamaskiner eller dele den mellom flere brukere.

Selv om det fungerer lokalt, mangler ikke KeePassXC funksjoner. Inkluderer autofullføring, svært konfigurerbar passordgeneratorSikkerhetsrevisjoner, kompatibilitet med fysiske nøkler som YubiKeyIntegrasjon med moderne nettlesere og tredjeparts mobilapplikasjoner for Android og iOS som leser samme databaseformat.

Alt dette betyr at, sammenlignet med andre enklere eller mer lukkede forvaltere, KeePassXC er en ideell løsning for avanserte brukere og bedrifter som ønsker å kontrollere sin egen infrastruktur.utform din egen sikkerhetskopieringspolicy og bestem nøyaktig hvordan og hvor dataene dine lagres.

Viktige funksjoner i KeePassXC du bør kjenne til

Det fine med KeePassXC ligger ikke bare i at det er lokalt, men også i det faktum at Den tilbyr et svært komplett sett med funksjoner som konkurrerer direkte med bedriftsledere.Dette er noen av egenskapene du bør være klar over før du starter.

Først er det autofullføring av legitimasjonKeePassXC lar deg automatisk fylle ut påloggingsskjemaer fra både skrivebordsklienten (ved hjelp av hurtigtaster) og den offisielle nettleserutvidelsen. Dette sparer deg for å skrive inn passord som er umulige å huske, minimerer feil og oppfordrer deg til å bruke sterkere passord.

Programmet integrerer også en svært konfigurerbar passordgeneratorhvor du kan justere lengden, bruken av store og små bokstaver, tall og symboler. På denne måten slipper du å bruke den samme nøkkelen om og om igjen, og tar i bruk den beste praksisen med å bruke en annen, lang og sterk hemmelighet for hver tjeneste.

Kjernen i det hele er lokalt kryptert database ved hjelp av AES-256-algoritmenAll informasjon (brukernavn, passord, notater, vedlegg) lagres kryptert i .kdbx-filen. Bare noen som kjenner hovedpassordet (og, hvis konfigurert, har nøkkelfilen og/eller den tilhørende YubiKey) kan dekryptere det.

Når det gjelder kompatibilitet, fungerer KeePassXC på Windows, macOS og Linux med samme grunnleggende grensesnittDen har også en offisiell utvidelse for de mest populære nettleserne (Firefox, Chrome, Edge og derivater). I tillegg finnes det mobilapper som er kompatible med KeePass på Android (KeePassDX, KeePass2Android, osv.) og iOS (Strongbox, KeePassium, blant andre) som åpner .kdbx-filene dine uten problemer.

Hvis du er bekymret for å ta sikkerheten et skritt videre, kan du Integrer KeePassXC med YubiKey eller andre fysiske nøkler som en annen faktor for å låse opp databasen. Og for å opprettholde «passordhygienen» inkluderer appen revisjonsverktøy som oppdager svake, gamle eller dupliserte nøkler.

Installer og konfigurer KeePassXC på datamaskinen din

Det enkleste å gjøre er å gjøre Førstegangsoppsett av KeePassXC fra PC-en dinEnten du bruker Windows, Linux eller macOS, er hele grensesnittet tilgjengelig på datamaskinen din, noe som gjør det enklere å sette opp hvelvet ditt fra starten av.

For å komme i gang, gå til Gå til det offisielle nettstedet for KeePassXC-prosjektet og last ned installasjonsprogrammet som tilsvarer operativsystemet ditt. På Windows finner du et klassisk installasjonsprogram og en bærbar versjon; på macOS distribueres det i vanlig format for dette systemet; på Linux kan du bruke distribusjonens repositorier, AppImage, Flatpak eller Snap, avhengig av hva du foretrekker.

I distribusjoner som Ubuntu har du muligheten til å Installer KeePassXC fra standardarkivene ved hjelp av apt eller bruk Snap-pakken. Den første metoden tilbyr vanligvis en litt eldre, men veldig stabil versjon som er integrert med skrivebordet; den andre er vanligvis mer oppdatert og gir deg tilgang til nyeste tilgjengelige versjonDen typiske kommandoen for å installere fra repositorier ville være noe sånt som sudo apt install keepassxc, mens det for Snap ville være sudo snap install keepassxc.

Når KeePassXC er installert og kjører for første gang, vil du se en velkomstskjerm med flere alternativer: opprette en ny database, åpne en eksisterende database eller importere fra andre formaterHvis du kommer fra en annen administrator eller fra klassisk KeePass, er det nå et godt tidspunkt å dra nytte av importveiviserne.

Hvis du starter helt fra bunnen av, velg alternativet opprett en ny databaseProgrammet vil be deg om å angi plasseringen og navnet på .kdbx-filen som skal inneholde hele hvelvet ditt. Du kan først lagre den i din personlige mappe, og senere flytte den til banen du bruker for synkronisering med andre enheter.

Opprette og beskytte din første database

Etter at du har angitt hvor du skal lagre filen, viser KeePassXC deg en veiviser der du definerer Hvordan vil den nye databasen din bli låst opp?Dette er et av de viktigste trinnene, fordi styrken på hele oppsettet i stor grad avhenger av styrken på hovedpassordet.

Det er normalt å bruke minst én langt og komplekst hovedpassordDu kan generere den med KeePassXCs egen generator eller opprette en tilfeldig lang passordfrase. Hvis du vil øke sikkerheten, lar applikasjonen deg supplere passordet med et nøkkelfilI bunn og grunn en fil (et bilde, et dokument osv.) som du må ha for hånden hver gang du vil åpne databasen.

Det er også mulig å kombinere det ovennevnte med en YubiKey eller annen maskinvarenøkkelDette sikrer at databasen bare låses opp hvis alle tre betingelsene er oppfylt: hovedpassordet er riktig, nøkkelfilen er tilgjengelig, og den fysiske nøkkelen er koblet til. Denne kombinasjonen er spesielt attraktiv for forretningsmiljøer eller brukere som er ekstremt sikkerhetsbevisste.

Under opprettingsveiviseren tilbyr KeePassXC deg også avanserte krypteringsinnstillingerDette inkluderer innstillinger som algoritmen, antall iterasjoner for nøkkelderivering og KDF-parametere. Med mindre du har svært spesifikke behov, er standardkonfigurasjonen allerede svært sikker og krever vanligvis ikke endringer.

Når du har bekreftet krypteringsinnstillingene og hovedpassordet, opprettes databasen og Hovedgrensesnittet vises med hvelvet tomt.Herfra kan du begynne å organisere grupper, legge til oppføringer, importere passord og generelt bygge opp nøkkelhåndteringssystemet ditt.

Organiser hvelvet: grupper, oppføringer og tilleggsdatabaser

Hovedvinduet i KeePassXC er organisert i flere områder: a klassisk toppmeny, en verktøylinje med snarveier og et sentralt område delt inn i et venstre panel (gruppetre) og et høyre panel (liste over oppføringer for den valgte gruppen).

Selv om du kan begynne å lagre passord direkte i databaseroten, er den mest praktiske tilnærmingen å opprette grupper for å klassifisere kontoene dine etter kategorierJobb, privat, bank, sosiale medier, bedriftstjenester osv. Dette gjør navigasjonen mye enklere når antallet oppføringer vokser.

For å opprette en ny gruppe, gå ganske enkelt til menyen Grupper og velg alternativet for å legge tilEt vindu åpnes der du kan gi den et navn, skrive en kort beskrivelse og velge et særegent ikon. Hvis du vil ha en undergruppe, må du bare sørge for at den overordnede gruppen er valgt når du oppretter den nye.

Når du har strukturert hovedgruppene, er det på tide å... Legg til brukernavn og passordDu kan gjøre dette fra Innlegg-menyen eller ved å bruke ikonet «Nytt innlegg» i verktøylinjen. I redigeringsvinduet må du skrive inn en tittel som identifiserer kontoen, brukernavnet, passordet og eventuelt innloggings-URL-en.

På samme skjerm vil du også se felt for angi utløpsdato for passordetYtterligere merknader og andre egenskaper. Hvis du ikke vil tenke på passord, kan du bruke KeePassXCs egen passordgenerator, og justere lengden og tegntypen i henhold til hva måltjenesten støtter (vær forsiktig med Utvidet ASCII(som noen nettsteder ikke godtar godt).

I tillegg til det grunnleggende innholdet har du avanserte faner der det er mulig Legg til vedlegg eller egendefinerte attributterDu kan for eksempel knytte en PDF-fil til kontodokumentasjon eller konfigurere ekstra felt som organisasjonen din trenger. Husk imidlertid at vedlegg øker den totale størrelsen på databasen.

Hvis du vil dele opp sikkerheten ytterligere, kan du i stedet for å gruppere alt i ett hvelv også opprett flere databaser med forskjellige hovedpassordHver database åpnes i en egen fane i KeePassXC, og du kan jobbe med dem helt uavhengig. Dette er en nyttig tilnærming for å skille for eksempel personopplysninger fra bedriftsdata eller spesielt sensitive prosjektdata.

Daglig bruk: låsing, opplåsing og utklippstavle

I hverdagen består den normale flyten av Åpne KeePassXC, lås opp databasen du trenger og arbeid med påloggingsinformasjonen din mens du bruker den. Hvis du lukker filen eller låser økten, må du skrive inn hovedpassordet på nytt og, hvis aktuelt, nøkkelfilen eller YubiKey.

For å åpne en database kan du starte KeePassXC og velge .kdbx-filen fra programmet, eller ganske enkelt Dobbeltklikk på den krypterte filen fra filutforskeren dinProgrammet husker vanligvis de mest brukte rutene, så det tar bare et par klikk å finne hvelvet ditt igjen.

Når databasen er låst opp, vil du se alle oppføringene dine organisert i gruppene du har opprettet. Den raskeste måten å bruke påloggingsinformasjonen din på er Kopier dem til utklippstavlen med et dobbeltklikkDu kan dobbeltklikke på URL-en til en oppføring for å åpne nettstedet i standardnettleseren din, eller på brukernavnet og passordet for å kopiere og lime dem inn der det passer.

KeePassXC, av sikkerhetsmessige årsaker, vanligvis tøm innholdet på utklippstavlen etter noen få sekunderDette reduserer risikoen for at noen med fysisk tilgang til datamaskinen ved et uhell limer inn påloggingsinformasjonen din. Disse tidene kan konfigureres, slik at du kan justere dem slik du ønsker.

Når du går bort fra datamaskinen eller ønsker å avslutte arbeidsøkten, anbefales det at du lås databasen manuelt eller lukk KeePassXCPå denne måten, selv om datamaskinen forblir på, vil ingen kunne få tilgang til passordene dine uten å vite hovedpassordet eller ha de ekstra sikkerhetsfaktorene du har konfigurert.

Nettleserintegrasjon: KeePassXC og Firefox

Et av de vanlige spørsmålene er om KeePassXC kan erstatte nettleserens innebygde manager, og også tilby... strengere håndtering av hovedpassord og forbedret TOTP-støttePå datamaskiner er responsen vanligvis ganske tilfredsstillende, spesielt i kombinasjon med Firefox.

For å aktivere integrasjonen, gå til Konfigurer KeePassXC og se etter delen Nettleserintegrasjon.Der kan du velge nettleserne du vil at administratoren skal kunne kommunisere med (Firefox, Chrome, Edge og kompatible derivater).

Da må du Installer den offisielle KeePassXC-utvidelsen i nettleseren dinDu kan laste den ned fra Chrome Nettmarked, Firefox tilleggsprogrammer eller tilsvarende butikker, avhengig av nettleseren din. Når den er installert, fester du ikonet til verktøylinjen for enkel tilgang.

Med KeePassXC åpen og databasen ulåst, klikk på utvidelsesikonet og velg alternativet for å Koble til KeePassXCLederen vil be deg om å bekrefte tilkoblingen og gi den et navn, slik at du vet nøyaktig hva den er hvis du noen gang vil tilbakekalle den.

Fra det øyeblikket av, når du besøker en innloggingsside, Utvidelsen vil varsle skrivebordsklienten om at det finnes et skjema som kan fylles ut automatisk.Første gang KeePassXC oppdager en autofyllforespørsel for et bestemt nettsted, vil det vise en dialogboks der du kan velge hvilken oppføring som skal knyttes til det nettstedet, og om du vil huske autorisasjonen for fremtidig bruk.

Angående kravet ditt om at Ikke be om hovedpassordet før det er absolutt nødvendig å fylle ut automatisk.KeePassXC passer ganske bra til formålet: mens databasen er låst, har ikke utvidelsen tilgang til påloggingsinformasjonen, så du trenger bare å låse opp hvelvet når du prøver å bruke det. Du kan også justere databasens automatiske låsetid for å tvinge hovedpassordet til å kreves så ofte du anser det som rimelig.

På skrivebordet er derfor kombinasjonen KeePassXC + offisiell Firefox-utvidelse Den oppfyller de fleste vanlige kravene: nettleserintegrasjon, ingen avhengighet av en skyserver, fullstendig offline-funksjonalitet og presis kontroll over når hvelvet låses opp. Hvis du foretrekker at nettleseren ikke lagrer påloggingsinformasjonen din, kan du hindre nettlesere i å huske passord og stole utelukkende på KeePassXC for autofyll.

Synkronisering mellom enheter og bruk på mobile enheter

Så langt har vi snakket om lokal drift, men de fleste brukerne ønsker å ha de samme passordene er tilgjengelige på flere enheter og på mobilKeePassXC er designet for dette, selv om synkronisering er delegert til eksterne verktøy du velger.

For personlig bruk er den enkleste løsningen vanligvis lagre .kdbx-filen i en synkronisert katalog med en skytjeneste som integreres med systemet ditt: Google Drive, Dropbox, OneDrive, iCloud Drive, Nextcloud, en NAS med Synology Drive, osv. Så lenge filen er synkronisert på tvers av enhetene dine, vil KeePassXC og mobilappene alltid se den nyeste versjonen.

I forretningsmiljøer er det vanlig å dele databasen gjennom bedriftsplattformer som OneDrive for business, SharePoint eller Google Drive i Workspace, som tillater del passord og tillate samarbeid mellom flere brukere. Det er imidlertid lurt å definere klare interne regler for hvem som kan redigere hva og hvordan samtidige redigeringskonflikter håndteres.

Hvis du foretrekker å unngå den offentlige skyen av personvernhensyn, er et annet veldig interessant alternativ å bruke peer-to-peer-synkroniseringsverktøy som Syncthing eller Resilio SyncI dette scenariet replikeres filer direkte mellom enhetene dine uten å gå gjennom tredjepartsservere, slik at du opprettholder maksimal kontroll over hvor dataene dine befinner seg.

Når det gjelder mobilbruk, har ikke KeePassXC en offisiell app for Android eller iOS, men KeePass-databaseformatet (.kdbx) er en de facto standard og Det er svært modne kunder på begge plattformenePå Android, KeePassDX eller KeePass2Android er utmerkede alternativer for å se passord på AndroidPå iOS skiller Strongbox og KeePassium seg ut for sine gode sikkerhetsrutiner og støtte for automatisk systemfullføring.

Disse appene lar deg åpne den samme .kdbx-filen som du bruker på datamaskinen din, enten ved å få tilgang til den via Fil-appens integrasjon med skyleverandøren din, via P2P-synkronisering, eller til og med ved å kopiere den manuelt. Så lenge databasen er kryptert og du bare deler hovednøkkelen gjennom sikre kanaler, er eksponeringsrisikoen fortsatt svært lav.

Sikkerhets- og sikkerhetskopieringspolicy for databaser

Et aspekt som mange brukere overser er Hvor skal databasefilen lagres og hvordan skal man sikkerhetskopiere denDet er verdt å stoppe opp et øyeblikk her, fordi risikoen ikke bare kommer fra eksterne angripere, men også fra maskinvarefeil eller vår egen uforsiktighet.

På den ene siden er det Risiko for å miste tilgang til .kdbx-filen på grunn av diskfeilUtilsiktet sletting eller dataødeleggelse kan være en stor risiko. For å minimere dette er det viktig å ha minst én sikkerhetskopi på en annen lagringsenhet: en ekstern harddisk, en annen datamaskin, en NAS osv. Ideelt sett bør du ha flere kopier fordelt på forskjellige fysiske steder.

Hvis du tenker på mer ekstreme scenarioer, som f.eks. Tyveri eller brann i hjemmet eller på kontoret dittDet kan være lurt å oppbevare noen av disse krypterte kopiene hos en skyleverandør eller på et separat fysisk sted. Siden databasen allerede er kryptert, blir den primære risikofaktoren styrken på hovedpassordet.

Det er nettopp derfor det er så viktig Velg et sterkt hovedpassord, og ikke bruk det på noen annen tjeneste.Det er nytteløst å få filen overført kryptert via skyen hvis noen kan utlede passordet ditt med et ordbokangrep eller enkel brute force. Å kombinere passordet med en nøkkelfil eller en YubiKey reduserer angrepsflaten ytterligere.

Et annet sensitivt punkt er hvordan Du deler hovednøkkelen og .kdbx-filen hvis flere brukere trenger tilgang til samme hvelv.Anbefalingen er klar: send aldri filen og passordet gjennom samme kanal, bruk sikre kommunikasjonsmetoder, og begrens antallet personer som kjenner til disse hemmelighetene så mye som mulig.

I bedriftsmiljøer der flere personer skal administrere databasen, anbefales det på det sterkeste etablere en policy for rotasjon av hovedpassord, registrer hvem som har tilgang til hva, og send dette med andrefaktorautentisering ved hjelp av YubiKey eller andre fysiske nøkler for de viktigste kontoene.

Avanserte krav: TOTP, frakoblet modus og sammenligning med andre administratorer

Mange brukere som vurderer å bytte kontoadministrator kommer med en ganske spesifikk liste over krav: åpen kildekode, ingen avgifter, synkronisering av datamaskin og mobil, nettleserintegrasjon, ekte offline-funksjonalitet og TOTP-støtteBlant annet klarer KeePassXC seg ganske bra i denne typen sammenligninger.

Når det gjelder TOTP, tillater KeePassXC lagre hemmeligheter for tofaktorautentisering for å generere midlertidige koder direkte i selve påloggingen. Dette har fordelen av å sentralisere passord og 2FA-koder, selv om noen fra et sikkerhetspuristisk synspunkt foretrekker å holde dem separate. Uansett finnes funksjonaliteten og er gratis, uten ekstra abonnementer.

Når det gjelder frakoblet modus, er applikasjonen designet nettopp for å fungere uten å være avhengig av noen ekstern serverDatabasen din er på harddisken din. Selv uten internettforbindelse kan du fortsatt åpne, endre og opprette nye oppføringer. Det finnes ingen «skrivebeskyttet frakoblet»-modus som i noen skybaserte databasesystemer. Synkronisering, hvis noen, håndteres av det eksterne verktøyet du har valgt.

Angående nettleserintegrasjon og måten hovedpassordet blir forespurt på, KeePassXC Den tvinger ikke opplåsingen frem når du starter nettleserenMens databasen er låst, kan ikke utvidelsen fullføre automatisk. Brukerinngripen er bare nødvendig for å låse opp hvelvet når man prøver å fylle ut eller lagre påloggingsinformasjon, noe som stemmer godt overens med ideen om å ikke ha alt åpent fra starten av.

Hvis KeePassXC imidlertid ikke passer inn i arbeidsflyten din, kan du vurdere andre alternativer fra KeePass-familien eller derivater som Original KeePass på Windows kombinert med nettlesertillegg, eller alternative KeePass-klienter for hver plattformImidlertid er KeePassXC i dag vanligvis det mest polerte og moderne skrivebordsalternativet, med solid integrasjon med Firefox og andre nettlesere.

Alt i alt har KeePassXC etablert seg som en svært komplett løsning for de som leter etter En avansert passordbehandler, ikke bundet til skyen, med nettleserintegrasjon, TOTP-støtte, offline-funksjonalitet og enorm fleksibilitet i synkronisering og sikkerhetskopieringDet krever imidlertid et minimumsnivå av involvering for å utforme din egen sikkerhets- og sikkerhetskopieringspolicy, og passer best for brukere som ikke er redde for å ta på seg den ekstra kontrollen.