KeePassXC: Kompletný návod na vytvorenie lokálneho trezoru a jeho používanie na mobilnom zariadení

Správa desiatok alebo stoviek kľúčov v dnešnej dobe Je to každodenná záležitosť: banky, e-mail, sociálne médiá, administračné panely, pracovné nástroje… a ak chceme byť v bezpečí, všetky by mali byť odlišné a komplexné. Zapamätať si to všetko je nemožné bez pomoci a spoliehať sa výlučne na prehliadač alebo cloudovú službu nie vždy vyhovuje tým, ktorí uprednostňujú súkromie.

Zdá sa, že KeePassXC túto medzeru len vypĺňa.Je to správca hesiel s otvoreným zdrojovým kódom, ktorý ukladá všetky vaše informácie do lokálneho, šifrovaného súboru pod vašou kontrolou, ktorý však môžete jednoducho synchronizovať medzi počítačmi a mobilnými zariadeniami pomocou cloudu alebo peer-to-peer riešení. V tomto článku sa dozviete, čo to je, ako to funguje, ako nastaviť databázu, integrovať ju s prehliadačom a bezpečne ju prenášať na mobilnom zariadení, a to ako na osobné použitie, tak aj pre pracovné tímy.

Čo je KeePassXC a prečo sa oplatí?

KeePassXC je multiplatformový správca hesiel s otvoreným zdrojovým kódom. Vznikol ako komunitná odnož platformy KeePassX a je plne kompatibilný s formátom databázy KDBX verzie KeePass 2.x. Je dostupný pre Windows, macOS a... Linuxa zameriava sa na veľmi jednoduchý koncept: všetky vaše citlivé informácie sú uložené v jednom alebo viacerých šifrovaných súboroch, ktoré je možné otvoriť iba pomocou hlavného hesla (a ak chcete, pomocou súboru s kľúčom alebo fyzického kľúča).

Na rozdiel od cloudových manažérovKeePassXC neodosiela vaše údaje na žiadny centrálny server. Vy sa rozhodnete, kde sa súbor .kdbx nachádza: na vašom pevnom disku, USB disku, v priečinku synchronizovanom s Google Drive, Dropbox, Nextcloud, OneDrive, Syncthing, Resilio Sync, NAS atď. Súbor je vždy šifrovaný pomocou moderných algoritmov, ako sú AES-256 alebo ChaCha20, a funkcií odvodzovania kľúčov, ako sú Argon2 alebo AES-KDF, takže bez hlavného kľúča nemôžete nič robiť.

Jeho účelom nie je len ukladanie hesielMôže tiež ukladať používateľské mená, URL adresy, poznámky, kľúče na obnovenie, certifikáty, prílohy a dokonca aj kódy TOTP (2FA) pre dvojstupňové overenie. Všetko je usporiadané do skupín a položiek s prispôsobiteľnými ikonami, značkami a výkonným vyhľadávacím nástrojom, ktorý vám umožní nájsť doslova čokoľvek v priebehu niekoľkých sekúnd, aj keď máte stovky záznamov.

Nakoniec, KeePassXC zahŕňa integráciu prehliadača prostredníctvom oficiálneho rozšírenia (KeePassXC-Browser) pre Chrome, Firefox, Edge a kompatibilné prehliadače. To vám umožňuje automaticky vypĺňať prihlasovacie údaje, generovať silné heslá za chodu a v najnovších verziách dokonca pracovať s prístupovými kľúčmi priamo v prehliadači.

Kľúčové funkcie a výhody oproti iným manažérom

Sila KeePassXC spočíva v kombinácii pokročilého zabezpečenia S veľmi pohodlným pracovným postupom, bez závislosti od tretích strán. Toto sú funkcie, ktoré ho odlišujú od iných riešení:

• Lokálna šifrovaná databáza: jeden súbor .kdbx zašifrovaný pomocou AES-256 alebo ChaCha20, chránený hlavným heslom, kľúčovými súbormi a voliteľne aj výzvou a odpoveďou pomocou YubiKey alebo OnlyKey.
• Generátor hesiel a prístupových fráz: vytvára robustné kľúče s možnosťou kontroly dĺžky, typov znakov alebo prístupových fráz s náhodnými slovami; rozhranie zobrazuje vizuálny indikátor sily a počítadlo znakov v reálnom čase.
• Automatické dopĺňanie (Auto-Type) a rozšírenie prehliadačaFormuláre môžete vypĺňať na webových stránkach aj v desktopových aplikáciách, či už pomocou klávesové skratky (Automatické písanie) alebo prostredníctvom rozšírenia KeePassXC-Browser.
• Bezpečnostné a audítorské správyKontroluje slabé, opakované alebo veľmi staré heslá, kontroluje záznamy oproti známym únikom (HIBP) a generuje štatistiky o celkovom stave vášho trezoru.
• Integrovaná podpora TOTPUložte si 2FA seed vašich účtov a generujte dočasné kódy priamo z KeePassXC, čím sa vyhnete závislosti od aplikácie extra typ Google Authenticator.
• Nástroje na import a exportUmožňuje import z CSV, KeePass 1 (KDB), 1Password, Bitwarden, Proton Pass a ďalších; export do CSV, XML alebo HTML pre zálohy alebo audity.
• CLI a pokročilé funkciekeepassxc-cli pre skripty a automatizáciu, integrácia ako tajná služba v systéme Linux, automatické otváranie, vlastné atribúty pre každú položku, šifrované prílohy atď.

Ďalšou silnou stránkou je komunita a transparentnosťKód je verejne dostupný, priebežne kontrolovaný a aktualizácie sú zdokumentované v podrobnom zozname zmien. To umožňuje výskumníkom a pokročilým používateľom auditovať projekt a rýchlo prispievať vylepšeniami alebo opravami.

Ako nainštalovať a nakonfigurovať KeePassXC na vašom počítači

Inštalácia KeePassXC je jednoduchá na akomkoľvek operačnom systéme.V systémoch Windows a macOS si môžete stiahnuť oficiálny inštalátor z webovej stránky projektu; na väčšine linuxových distribúcií je dostupný v repozitároch a existujú aj verzie v obchode Microsoft Store alebo špecifické balíky pre každú distribúciu.

Napríklad v systéme Windows je typický postup Prejdite na stránku keepassxc.org, stiahnite si inštalátor, spustite ho a postupujte podľa pokynov sprievodcu. V systéme macOS je distribuovaný ako balík .dmg, ktorý presuniete do priečinka Aplikácie. V systéme Linux nájdete okrem natívnych balíkov každej distribúcie aj balíky ako .deb, .rpm, Flatpak alebo Snap. Po nainštalovaní, keď ho prvýkrát otvoríte, uvidíte prakticky prázdne okno: zatiaľ neexistuje žiadna databáza.

Prvým dôležitým krokom je vytvorenie šifrovanej databázyV hlavnej ponuke vyberte možnosť vytvorenia novej databázy (Nová databáza alebo podobná) a program sa vás opýta na názov súboru a umiestnenie. Bežnou praxou je uložiť ho do priečinka, ktorý neskôr synchronizujete (napríklad do priečinka Disku Google alebo Dropboxu v počítači alebo do adresára Nextcloud alebo Syncthing, pričom využite možnosti ako...). bezplatné cloudové úložisko).

Po výbere názvu súboru je potrebné nakonfigurovať nastavenia zabezpečenia.KeePassXC vás požiada o zadanie hlavného hesla; čím dlhšie a zložitejšie, tým lepšie. Na vytvorenie silného, ​​ale zapamätateľného hesla môžete použiť vstavaný generátor prístupových fráz programu alebo použiť upravenú osobnú frázu. Rozhranie vám zobrazí odhadovanú silu hesla a môžete rozšíriť rozšírené možnosti a pridať:

• Kľúčový súbor náhodne generované, ktoré musí byť prítomné spolu s heslom na otvorenie základne (dôrazne odporúčané, ak chcete druhú offline vrstvu).
• Autentifikácia pomocou účtu Windows (neodporúča sa, pokiaľ neviete, čo robíte, pretože zmena v systémovom profile môže spôsobiť, že databáza bude neprístupná).

Počas toho istého procesu vytvárania môžete upraviť typ šifrovania. (AES-256 alebo ChaCha20), odvodzovaciu funkciu (AES-KDF, Argon2d, Argon2id) a počet iterácií alebo pamäťových parametrov, čo výrazne posilňuje útoky hrubou silou. Je tiež možné povoliť kompresiu Gzip, interný kôš, obmedzenia histórie záznamov a pripomienky na pravidelné striedanie hlavného kľúča.

Na konci sprievodcu vám KeePassXC môže ponúknuť možnosť vytlačiť si „súhrn núdzových situácií“. s kľúčovými informáciami na opätovné získanie prístupu (ako sú napríklad indície o hesle alebo technické údaje o databáze). Ak sa rozhodnete tento dokument vygenerovať, uložte ho na mimoriadne bezpečnom fyzickom mieste, pretože ktokoľvek ho má, by mohol potenciálne otvoriť váš trezor.

Vytvorte a usporiadajte svoje prvé záznamy

Keď je databáza už vytvorená a uložená, zobrazí sa vám predvolená štruktúra skupín. (internet, Windows, e-mail, online bankovníctvo atď.), ktoré môžete používať tak, ako sú, upravovať alebo mazať. Zaujímavé je, že KeePassXC vám umožňuje vytvoriť toľko skupín a podskupín, koľko potrebujete, aby odrážali váš vlastný pracovný postup: osobné, pracovné, servery, banky, klienti, projekty atď.

Ak chcete pridať svoje prvé heslo, jednoducho kliknite na tlačidlo „Nový záznam“ (Nový záznam alebo tlačidlo so symbolom +). Otvorí sa formulár, do ktorého zadáte názov záznamu (napríklad „Osobný Gmail“), používateľské meno alebo e-mailovú adresu, prihlasovaciu URL adresu a heslo. Je veľmi pohodlné použiť vstavaný generátor na vytvorenie jedinečného, ​​dlhého a náhodného hesla, ktoré už nikdy nebudete musieť zadávať manuálne.

Každá položka má niekoľko konfiguračných kariet Okrem základných polí môžete v časti „Rozšírené“ pridať vlastné atribúty (napríklad ID zákazníka, číslo zmluvy) a priložiť súbory (certifikáty, PDF s návodom, kľúčmi SSHatď.), ktoré budú zašifrované spolu so zvyškom databázy. V časti „Vlastnosti“ môžete zmeniť ikonu, označiť značky, nakonfigurovať platnosť záznamu alebo aktivovať možnosti automatického písania.

Ďalšou zaujímavou súčasťou je denník zmien.KeePassXC ukladá predchádzajúce verzie každého záznamu, takže ak zmeníte heslo a potom potrebujete obnoviť staré, môžete tak urobiť, pokiaľ ste v nastaveniach databázy nadmerne neobmedzili veľkosť histórie. To pridáva malú vrstvu ochrany pred ľudskou chybou.

S rastúcim počtom záznamov sa integrované vyhľadávanie stáva nevyhnutným.Vyhľadávacie pole vyhľadáva text v názve, používateľovi, URL adrese, poznámkach a ďalších poliach a podporuje pokročilé filtre, aby ste našli presne to, čo hľadáte, a to aj v podnikových trezoroch so stovkami alebo tisíckami prihlasovacích údajov.

Integrujte KeePassXC s vaším prehliadačom

Pre väčšinu používateľov je integrácia prehliadača hlavnou funkciouAutomatické dopĺňanie prihlásení znižuje počet preklepov, podporuje používanie veľmi dlhých hesiel a šetrí značné množstvo času, najmä ak pracujete s mnohými webovými nástrojmi.

Všeobecný postup používania prehliadača KeePassXC je tento:

1. Povoliť integráciu z KeePassXCV desktopovej aplikácii prejdite do časti Nástroje → Nastavenia → Integrácia prehliadača a vyberte prehliadače, ktoré používate (Chrome, Firefox, Edge, Vivaldi, Brave, Tor Browser atď.).
2. Nainštalujte si oficiálne rozšírenie prehliadača: vyhľadajte ho v príslušnom obchode (internetový obchod Chrome, doplnky pre Firefox atď.) pod názvom „KeePassXC-Browser“.
3. Prepojenie rozšírenia a aplikáciePo kliknutí na ikonu rozšírenia sa zobrazí výzva na vytvorenie pripojenia ku KeePassXC. Zadajte mu rozpoznateľný názov (napríklad „Chrome Work Laptop“) a autorizujte ho v dialógovom okne, ktoré sa zobrazí v klientskej verzii pre počítače.
4. S otvorenou databázou navštívte prihlasovaciu stránkuKeď rozšírenie prvýkrát rozpozná kompatibilný záznam, KeePassXC zobrazí upozornenie so žiadosťou o povolenie používať dané poverenia v danej doméne. Ak sa chcete vyhnúť opätovnému zobrazeniu tejto správy, môžete vybrať možnosti „Zapamätať si“ a „Povoliť vybrané“.

Jedným praktickým detailom je zabezpečiť, aby sa KeePassXC spustil so systémom Minimalizuje sa do systémovej lišty, takže rozšírenie vždy nájde databázu otvorenú pri otvorení prehliadača. V systéme macOS je ľahké nechtiac zatvoriť aplikáciu stlačením klávesu X, preto je dobré skontrolovať si nastavenia správania okna.

Keď webová stránka nefunguje dobre s rozšírením (pre vysoko prispôsobené formuláre, desktopové aplikácie alebo starších klientov) stále máte možnosť automatického písania. Priradíte globálnu klávesovú skratku, vyberiete príslušný vstup a KeePassXC zadá používateľské meno a heslo do aktívneho okna podľa nakonfigurovaného poradia.

Synchronizujte svoju základňu s mobilným telefónom a inými zariadeniami

Zatiaľ to všetko bola lokálna práca, ale bežnou vecou je chcieť mať rovnaké heslá na mobilnom telefóne. a možno sa o niektoré z nich podeliť so spoluhráčmi. KeePassXC neobsahuje vlastnú synchronizáciu, ale funguje veľmi dobre s takmer každou službou. skladovanie v cloude alebo P2P riešení.

Všeobecný vzorec je vždy rovnakýSúbor .kdbx umiestnite do priečinka, ktorý sa synchronizuje na všetkých vašich zariadeniach, a potom otvorte ten istý súbor z každej kompatibilnej aplikácie. Niektoré bežné možnosti sú:

• Osobné cloudové službyDisk Google, Dropbox, iCloud a OneDriveSynology Drive, Nextcloud atď. Na počítači si zvyčajne nainštalujete desktopovú aplikáciu, ktorá vytvorí synchronizovaný lokálny priečinok; na mobilnom zariadení používate oficiálnu aplikáciu, ktorá sa integruje s prieskumníkom súborov systému.
• Riešenia typu peer-to-peer (P2P)Syncthing alebo Resilio Sync synchronizuje priečinky priamo medzi počítačmi bez prechodu cez centralizované servery, čo je ideálne, ak chcete maximálnu kontrolu a súkromie.
• Firemné prostrediaOneDrive pre firmy SharePointGoogle Workspace, podnikové NAS… umožňujú viacerým používateľom prístup k rovnakému súboru s povoleniami upravenými IT oddelením.

Kým je súbor v zašifrovanej forme, poskytovateľ cloudu nemôže prečítať jeho obsah.Rozhodujúce je dobre chrániť hlavný kľúč a ak zdieľate databázu s tretími stranami, dohodnite sa na tom, ako sa tento kľúč distribuuje (vždy cez iný kanál ako samotnú databázu) a kto môže čo upravovať.

Mobilné aplikácie kompatibilné s KeePassXC

Hoci KeePassXC nemá oficiálnu aplikáciu pre iOS o AndroidExistuje celý ekosystém klientov kompatibilných s formátom KDBX, ktorí túto medzeru bez problémov vypĺňajú. Medzi najviac odporúčané možnosti patria:

• KeePassDX alebo KeePass2Android v systéme AndroidOba podporujú súbory .kdbx, integráciu s cloudom a natívne automatické dopĺňanie systému. KeePass2Android sa napríklad bezproblémovo integruje s Diskom Google, Dropboxom, WebDAV a ďalšími zdrojmi.
• Trezor v iPhone y MacVeľmi kompletný klient s niektorými funkciami dostupnými aj v platenej verzii. Podporuje Face ID, Touch ID, synchronizáciu s iCloud, Dropbox, OneDrive atď. a je špeciálne navrhnutý pre prácu s úložiskami KeePass.
• KeePassium na iOSVysoko prepracovaná bezplatná alternatíva (s prémiovou verziou) s automatickým dopĺňaním, podporou TOTP, kompatibilitou s kdb/kdbx, Argon2/ChaCha20, košom a automatickou synchronizáciou so službami ako iCloud alebo Disk Google.

Praktický postup na mobilnom zariadení je zvyčajne Nainštalujte si aplikáciu cloudového úložiska (Drive, Dropbox, iCloud Drive, Synology Drive atď.), uistite sa, že je súbor .kdbx synchronizovaný a potom v príslušnej aplikácii KeePass použite možnosť „Otvoriť existujúcu databázu“ a vyberte cloudové umiestnenie. Po otvorení môžete pomocou automatického dopĺňania systému prihlásiť sa do aplikácií a webových stránok len niekoľkými klepnutiami.

Je dobrý nápad urobiť synchronizačný testPridajte nový záznam v počítači, zatvorte databázu, počkajte, kým cloud nahraje zmeny, otvorte databázu v mobilnom zariadení a skontrolujte, či sa záznam zobrazuje. Potom zopakujte postup v opačnom poradí (vytvorte ho v mobilnom zariadení a skontrolujte v počítači), aby ste overili, či pracovný postup funguje v oboch smeroch.

Najlepšie postupy, zálohy a typické problémy

Mať všetky heslá v jednom súbore je upokojujúce aj znepokojujúce zároveň.Na jednej strane centralizujete a zjednodušujete; na druhej strane, ak súbor stratíte, poškodí sa alebo zabudnete hlavný kľúč, stratili ste všetko. Preto je nevyhnutné uplatňovať niekoľko osvedčených postupov.

Prvý je zrejmý: vyberte si veľmi silné hlavné heslo.Vyberte si frázu, ktorá kombinuje dĺžku a zložitosť, ale ktorú si zapamätáte bez toho, aby ste si ju museli zapísať na papierik. Dlhé vety s nezvyčajnými slovami v kombinácii s nejakým ťažko uhádnuteľným osobným vzorcom sú zvyčajne dobrým východiskovým bodom. Nespoliehajte sa na magické spomienky: ak ju zabudnete, niet na koho sa obrátiť.

Druhým sú zálohy databázy .kdbx a prípadného kľúčového súboru.Majte aspoň jeden zálohovanie Aktualizované na inom médiu (iný disk, NAS, USB disk uložený na bezpečnom mieste). Ak okrem hesla používate aj súbor s kľúčom, vytvorte si kópiu tohto súboru a neupravujte ho: aj malá zmena ho znehodnotí a stratíte k nemu prístup.

Taktiež je vhodné vyhnúť sa úprave databázy z viacerých zariadení súčasne.Ak dva tímy otvoria súbor, vykonajú zmeny a synchronizujú ho takmer súčasne, niektoré cloudové služby môžu vygenerovať konfliktné kópie alebo v najhoršom prípade súbor poškodiť. V zdieľaných prostrediach sa oplatí dohodnúť sa na pravidlách: kto môže upravovať, kto môže iba čítať a ako sa spravujú zmeny.

Ak kedykoľvek nebudete môcť otvoriť svoju základňu Aj keď ste si heslom istí, skontrolujte:

• Že nemáte povolené uzamknutie účtu vo Windowse a že ste zmenili používateľov alebo profily.
• Že používate správny kľúčový súbor a bez úprav.
• Uistite sa, že súbor .kdbx nie je poškodený zlyhaním disku alebo núteným vypnutím systému.

KeePass (a niektoré vidlice) obsahujú nástroje na opravu databázy Aj keď tieto nástroje niekedy dokážu obnoviť niektoré dáta z poškodených súborov, neodporúča sa spoliehať sa na ne. Najrozumnejším prístupom je vždy pracovať s najnovšími zálohami.

Výhody, nevýhody a alternatívy, ktoré je potrebné zvážiť

KeePassXC ponúka veľmi silnú rovnováhu medzi bezpečnosťou a kontrolou.Je to obzvlášť atraktívne pre pokročilých používateľov a organizácie, ktoré sa nechcú spoliehať na SaaS riešenia. Nie je to však dokonalé a ani najlepšia voľba pre každého.

Medzi jeho hlavné výhody môžeme zdôrazniť:

• Úplná kontrola nad tým, kde sú heslá uložené a ako sú synchronizované.
• Otvorený zdrojový kód, auditovateľný a s aktívnou komunitou.
• Robustné šifrovanie, podpora pre technické vybavenie tokeny a integrovaný TOTP.
• Veľmi široká kompatibilita medzi platformami (Windows, macOS, Linux, mobilní klienti tretích strán).
• Vysoká flexibilita pre integráciu do technických pracovných postupov (CLI, Secret Service atď.).

Na menej príjemnej strane je potrebné zvážiť niekoľko nevýhod.:

• Krivka učeniaPre používateľov s veľmi malými technickými znalosťami to môže byť zložitejšie ako hotový cloudový správca. Zvyčajne si to vyžaduje krátke adaptačné obdobie a niekedy aj prečítanie príručky, ako je táto.
• Manuálna alebo externá synchronizáciaNeexistuje žiadny vstavaný backend; musíte sa spoľahnúť na externé služby (cloud, P2P, NAS…) a pochopiť ich dôsledky.
• Závislosť lokálneho súboruAk sa vaše údaje vymažú alebo poškodia bez zálohy, stratíte všetky svoje informácie. Preto je zásady zálohovania absolútne nevyhnutné.
• Aktualizácie a údržbaHoci sa projekt rýchlo vyvíja, je vašou zodpovednosťou priebežne aktualizovať klienta na vašich počítačoch a občas skontrolovať nastavenia zabezpečenia.

Ak po zvážení všetkého zistíte, že KeePassXC nezodpovedá vášmu profiluEkosystém správcov hesiel je rozsiahly: 1Password, Bitwarden, Keeper, Enpass, LastPass a dokonca aj integrované riešenia od iCloudu a... Google Chrome Majú svoje publikum. Zvyčajne ponúkajú automatickú synchronizáciu, oficiálne aplikácie pre všetky platformy a v niektorých prípadoch aj obnovenie účtu, ale za cenu väčšej dôvery v externých poskytovateľov.

Dobrý výber zahŕňa analýzu vašich skutočných potrieb.Aké zariadenia používate, akú úroveň kontroly nad svojimi údajmi chcete mať, či uprednostňujete platené predplatné alebo nie, aký dôležitý je pre vás open source a koľko ľudí bude zdieľať tieto prihlasovacie údaje? Neexistuje univerzálna odpoveď, ale KeePassXC je obzvlášť vhodný, keď bezpečnosť, transparentnosť a autonómia prevažujú nad absolútnym pohodlím.

Nastavenie systému pomocou KeePassXC znamená vytvorenie vlastnej bezpečnostnej súpravyRobustný, lokálny, šifrovaný trezor s integráciou prehliadača a mobilných zariadení, ktorý môžete synchronizovať podľa vlastného uváženia a zálohovať kdekoľvek chcete. Vyžaduje si to o niečo viac zapojenia ako len kliknutie na „ďalej, ďalej, prijať“ v cloudovej službe, ale na oplátku vám to dáva niečo, čo len máloktoré iné služby ponúkajú: presne viete, kde sú vaše tajomstvá, ako sú chránené a ktoré komponenty môžete upraviť tak, aby s vami rástli bez straty kontroly.

Súvisiaci článok:

KeePass: Nastavenie databázy a kľúčového súboru šifrovaného AES-256

Isaac

Vášnivý spisovateľ o svete bajtov a technológií všeobecne. Milujem zdieľanie svojich vedomostí prostredníctvom písania, a to je to, čo urobím v tomto blogu, ukážem vám všetko najzaujímavejšie o gadgetoch, softvéri, hardvéri, technologických trendoch a ďalších. Mojím cieľom je pomôcť vám orientovať sa v digitálnom svete jednoduchým a zábavným spôsobom.