KeePassXC: Popoln vodnik za ustvarjanje lokalnega trezorja in njegovo uporabo v mobilni napravi

Upravljanje z več deset ali več sto ključi danes To se dogaja vsak dan: banke, e-pošta, družbena omrežja, skrbniške plošče, delovna orodja ... in če želimo biti varni, morajo biti vsa ta orodja različna in kompleksna. Zapomniti si vse to je nemogoče brez pomoči, popolno zanašanje na brskalnik ali storitev v oblaku pa ne ustreza vedno tistim, ki dajejo prednost zasebnosti.

Zdi se, da KeePassXC ravno zapolnjuje to vrzel.Gre za odprtokodni upravitelj gesel, ki shranjuje vse vaše podatke v lokalni, šifrirani datoteki pod vašim nadzorom, ki pa jo lahko preprosto sinhronizirate med računalniki in mobilnimi napravami z uporabo oblaka ali rešitev peer-to-peer. V tem članku boste videli, kaj je to, kako deluje, kako nastaviti svojo bazo podatkov, jo integrirati z brskalnikom in jo varno prenašati v mobilni napravi, tako za osebno uporabo kot za delovne ekipe.

Kaj je KeePassXC in zakaj se splača?

KeePassXC je večplatformski, odprtokodni upravljalnik gesel Izvira kot skupnostna veja KeePassX in je popolnoma združljiv s formatom baze podatkov KDBX za KeePass 2.x. Na voljo je za Windows, macOS in Linuxin se osredotoča na zelo preprost koncept: vsi vaši občutljivi podatki so shranjeni v eni ali več šifriranih datotekah, ki jih je mogoče odpreti le z glavnim geslom (in, če želite, s ključno datoteko ali fizičnim ključem).

Za razliko od upravljavcev v oblakuKeePassXC ne pošilja vaših podatkov na noben centralni strežnik. Sami se odločite, kje se bo datoteka .kdbx nahajala: na vašem trdem disku, USB-ključu, mapi, sinhronizirani z Google Drive, Dropboxom, Nextcloudom, OneDriveom, Syncthingom, Resilio Sync, NAS-jem itd. Datoteka je vedno šifrirana z uporabo sodobnih algoritmov, kot sta AES-256 ali ChaCha20, in funkcij za izpeljavo ključev, kot sta Argon2 ali AES-KDF, zato brez glavnega ključa ne morete storiti ničesar.

Njegov namen ni le shranjevanje geselShranjuje lahko tudi uporabniška imena, URL-je, zapiske, ključe za obnovitev, potrdila, priloge in celo kode TOTP (2FA) za dvostopenjsko preverjanje pristnosti. Vse je organizirano v skupine in vnose, s prilagodljivimi ikonami, oznakami in zmogljivim iskalnikom, ki vam omogoča, da v nekaj sekundah najdete dobesedno karkoli, tudi če imate na stotine zapisov.

Končno, KeePassXC vključuje integracijo brskalnika prek uradne razširitve (KeePassXC-Browser) za Chrome, Firefox, Edge in združljive brskalnike. To vam omogoča samodejno izpolnjevanje prijavnih podatkov, sproti ustvarjanje močnih gesel in v najnovejših različicah celo delo z gesli neposredno v brskalniku.

Ključne funkcije in prednosti pred drugimi menedžerji

Moč KeePassXC je v kombinaciji napredne varnosti Z zelo priročnim delovnim procesom, brez odvisnosti od tretjih oseb. To so lastnosti, ki ga ločijo od drugih rešitev:

• Lokalna šifrirana baza podatkov: ena sama datoteka .kdbx, šifrirana z AES-256 ali ChaCha20, zaščitena z glavnim geslom, ključnimi datotekami in, po izbiri, izzivom in odgovorom z YubiKey ali OnlyKey.
• Generator gesel in geselnih fraz: ustvarja robustne ključe z nadzorom nad dolžino, vrstami znakov ali gesli z naključnimi besedami; vmesnik prikazuje vizualni indikator moči in števec znakov v realnem času.
• Samodokončanje (Auto-Type) in razširitev brskalnikaObrazce lahko izpolnite tako na spletnih mestih kot v namiznih aplikacijah, bodisi z bližnjice na tipkovnici (Samodejno tipkanje) ali prek razširitve KeePassXC-Browser.
• Varnostna in revizijska poročilaPreverja šibka, ponavljajoča se ali zelo stara gesla, preverja vnose glede znanih puščanj (HIBP) in ustvarja statistiko o splošnem stanju vašega trezorja.
• Integrirana podpora za TOTPShranite seme 2FA svojih računov in ustvarite začasne kode neposredno iz KeePassXC, s čimer se izognete odvisnosti od aplikacije dodatna vrsta Google Authenticator.
• Orodja za uvoz in izvozOmogoča uvoz iz CSV, KeePass 1 (KDB), 1Password, Bitwarden, Proton Pass in drugih; izvoz v CSV, XML ali HTML za varnostne kopije ali revizije.
• CLI in napredne funkcijekeepassxc-cli za skripte in avtomatizacijo, integracija kot tajna služba v Linuxu, samodejno odpiranje, atributi po meri za vsak vnos, šifrirane priloge itd.

Druga prednost je skupnost in preglednostKoda je javna, se nenehno pregleduje, posodobitve pa so dokumentirane v podrobnem dnevniku sprememb. To raziskovalcem in naprednim uporabnikom omogoča, da pregledajo projekt in hitro prispevajo k izboljšavam ali popravkom.

Kako namestiti in konfigurirati KeePassXC na vašem računalniku

Namestitev KeePassXC je preprosta v katerem koli operacijskem sistemu.V sistemih Windows in macOS lahko uradni namestitveni program prenesete s spletnega mesta projekta; v večini distribucij Linuxa je na voljo v repozitorijih, obstajajo pa tudi različice v trgovini Microsoft Store ali posebni paketi za vsako distribucijo.

V sistemu Windows je na primer tipičen postopek Pojdite na keepassxc.org, prenesite namestitveni program, ga zaženite in sledite čarovniku. V sistemu macOS je distribuiran kot paket .dmg, ki ga povlečete v Aplikacije. V Linuxu boste poleg izvornih paketov posamezne distribucije našli tudi pakete, kot so .deb, .rpm, Flatpak ali Snap. Ko ga enkrat namestite, boste ob prvem odprtju videli praktično prazno okno: še ni baze podatkov.

Prvi pomemben korak je ustvariti šifrirano bazo podatkovV glavnem meniju izberite možnost za ustvarjanje nove baze podatkov (Nova baza podatkov ali podobno) in program vas bo vprašal za ime datoteke in lokacijo. Običajna praksa je, da jo shranite v mapo, ki jo boste kasneje sinhronizirali (na primer v mapo Google Drive ali Dropbox v računalniku ali v imenik Nextcloud ali Syncthing, pri čemer lahko izkoristite možnosti, kot so ...). brezplačno shranjevanje v oblaku).

Ko izberete ime datoteke, morate konfigurirati varnostne nastavitve.KeePassXC vas bo pozval k vnosu glavnega gesla; daljše in bolj zapleteno kot je, tem bolje. Za ustvarjanje močnega, a nepozabnega gesla lahko uporabite vgrajeni generator gesel ali pa uporabite spremenjeno osebno frazo. Vmesnik vam bo prikazal ocenjeno moč gesla, napredne možnosti pa lahko razširite in dodate:

• Ključna datoteka naključno generirano, ki mora biti prisotno skupaj z geslom za odpiranje baze (zelo priporočljivo, če želite drugo plast brez povezave).
• Preverjanje pristnosti z računom Windows (ni zelo priporočljivo, razen če veste, kaj počnete, saj lahko sprememba sistemskega profila povzroči, da baza podatkov ni dostopna).

Med istim postopkom ustvarjanja lahko prilagodite vrsto šifriranja. (AES-256 ali ChaCha20), funkcija izpeljave (AES-KDF, Argon2d, Argon2id) in število iteracij ali parametrov pomnilnika, kar močno okrepi napade z grobo silo. Možno je tudi omogočiti stiskanje Gzip, notranji koš za smeti, omejitve zgodovine vnosov in opomnike za periodično rotacijo glavnega ključa.

Na koncu čarovnika vam lahko KeePassXC ponudi možnost tiskanja »povzetka v sili« s ključnimi informacijami za ponovno pridobitev dostopa (kot so namigi o geslu ali tehnični podatki o zbirki podatkov). Če se odločite za ustvarjanje tega dokumenta, ga shranite na izjemno varno fizično mesto, saj bi lahko kdor koli, ki ga ima, odprl vaš trezor.

Ustvarite in organizirajte svoje prve vnose

Ko je baza podatkov že ustvarjena in shranjena, boste videli privzeto strukturo skupin. (internet, Windows, e-pošta, spletno bančništvo itd.), ki jih lahko uporabljate takšne, kot so, jih spreminjate ali brišete. Zanimivo je, da vam KeePassXC omogoča ustvarjanje poljubnega števila skupin in podskupin, ki jih potrebujete, da odražajo vaš delovni tok: osebne, službene, strežniki, banke, stranke, projekti itd.

Če želite dodati prvo geslo, preprosto kliknite »Nov vnos« (Nov vnos ali gumb s simbolom +). Odprl se bo obrazec, kamor boste vnesli naslov vnosa (na primer »Osebni Gmail«), uporabniško ime ali e-poštni naslov, URL za prijavo in geslo. Zelo priročno je uporabiti vgrajeni generator za ustvarjanje edinstvenega, dolgega in naključnega gesla, ki ga nikoli ne boste morali ročno vnašati.

Vsak vnos ima več zavihkov za konfiguracijo Poleg osnovnih polj lahko v razdelku »Napredno« dodate tudi atribute po meri (na primer ID stranke, številko pogodbe) in priložite datoteke (potrdila, PDF z navodili, ključi SSHitd.), ki bodo šifrirani skupaj s preostalo zbirko podatkov. V »Lastnostih« lahko spremenite ikono, označite oznake, konfigurirate potek vnosa ali aktivirate možnosti samodejnega vnosa.

Dnevnik sprememb je še en zanimiv del.KeePassXC shrani prejšnje različice vsakega vnosa, zato če spremenite geslo in nato morate obnoviti staro, lahko to storite, če v nastavitvah baze podatkov niste pretirano omejili velikosti zgodovine. To doda majhno plast zaščite pred človeškimi napakami.

Z naraščanjem števila vnosov postane integrirano iskanje bistvenega pomena.Iskalno polje poišče besedilo v naslovu, uporabniku, URL-ju, opombah in drugih poljih ter podpira napredne filtre, s katerimi lahko najdete točno tisto, kar iščete, tudi v poslovnih trezorjih s stotinami ali tisoči poverilnic.

Integrirajte KeePassXC z vašim brskalnikom

Za večino uporabnikov je integracija brskalnika glavna funkcijaSamodejno izpolnjevanje prijav zmanjšuje tipkarske napake, spodbuja uporabo zelo dolgih gesel in prihrani precej časa, še posebej, če delate s številnimi spletnimi orodji.

Splošni postopek uporabe brskalnika KeePassXC je naslednji:

1. Omogoči integracijo iz KeePassXCV namizni aplikaciji pojdite na Orodja → Nastavitve → Integracija brskalnika in izberite brskalnike, ki jih uporabljate (Chrome, Firefox, Edge, Vivaldi, Brave, Tor Browser itd.).
2. Namestite uradno razširitev brskalnika: poiščite ga v ustrezni trgovini (spletna trgovina Chrome, dodatki za Firefox itd.) pod imenom »KeePassXC-Browser«.
3. Povežite razširitev in aplikacijoKo kliknete ikono razširitve, boste pozvani, da ustvarite povezavo s KeePassXC. Dajte ji prepoznavno ime (na primer »Chrome Work Laptop«) in jo avtorizirajte v pogovornem oknu, ki se bo prikazalo v namiznem odjemalcu.
4. Z odprto bazo podatkov obiščite spletno mesto za prijavoKo razširitev prvič zazna združljiv vnos, bo KeePassXC prikazal obvestilo, v katerem bo zahteval dovoljenje za uporabo te poverilnice na tej domeni. Če želite preprečiti ponovno prikazovanje sporočila, lahko izberete »Zapomni si« in »Dovoli izbrano«.

Ena praktična podrobnost je zagotoviti, da se KeePassXC zažene skupaj s sistemom. Zmanjša se v sistemsko vrstico, tako da razširitev vedno najde odprto bazo podatkov, ko odprete brskalnik. V sistemu macOS lahko aplikacijo zlahka pomotoma zaprete s pritiskom na X, zato je dobro, da pregledate nastavitve delovanja okna.

Ko spletno mesto ne deluje dobro z razširitvijo (za zelo prilagojene obrazce, namizne aplikacije ali starejše odjemalce) imate še vedno možnost samodejnega vnašanja. Dodelite globalno bližnjico na tipkovnici, izberete ustrezen vnos in KeePassXC v aktivno okno vnese uporabniško ime in geslo po zaporedju, ki ste ga konfigurirali.

Sinhronizirajte bazo z mobilnim telefonom in drugimi napravami

Do sedaj je bilo vse delo lokalno, ampak običajno je, da si želiš enaka gesla na mobilnem telefonu. in morda nekatere od njih delite s soigralci. KeePassXC nima lastne sinhronizacije, vendar deluje zelo dobro s skoraj vsako storitvijo. shranjevanje v oblaku ali rešitvi P2P.

Splošni vzorec je vedno enakDatoteko .kdbx postavite v mapo, ki se sinhronizira v vseh vaših napravah, nato pa to isto datoteko odprete v vsaki združljivi aplikaciji. Nekatere pogoste možnosti so:

• Osebne storitve v oblakuGoogle Drive, Dropbox, iCloud in OneDriveSynology Drive, Nextcloud itd. V računalniku običajno namestite namizno aplikacijo, ki ustvari sinhronizirano lokalno mapo; v mobilni napravi pa uporabljate uradno aplikacijo, ki se integrira z raziskovalcem datotek sistema.
• Rešitve med posamezniki (P2P)Syncthing ali Resilio Sync sinhronizira mape neposredno med vašimi računalniki, ne da bi šel skozi centralizirane strežnike, kar je idealno, če želite maksimalen nadzor in zasebnost.
• Poslovna okoljaOneDrive za podjetja SharePointGoogle Workspace, poslovni NAS ... omogočajo več uporabnikom dostop do iste datoteke, dovoljenja pa prilagodi IT.

Medtem ko je datoteka v šifrirani obliki, ponudnik storitev v oblaku ne more prebrati njene vsebine.Ključno je dobro zaščititi glavni ključ in, če podatkovno bazo delite s tretjimi osebami, se dogovoriti o tem, kako se ta ključ distribuira (vedno prek kanala, ki ni sama podatkovna baza) in kdo lahko kaj spreminja.

Mobilne aplikacije, združljive s KeePassXC

Čeprav KeePassXC nima uradne aplikacije za iOS o AndroidObstaja cel ekosistem odjemalcev, združljivih s formatom KDBX, ki brez težav zapolnijo to vrzel. Nekatere najbolj priporočljive možnosti so:

• KeePassDX ali KeePass2Android v sistemu AndroidOba podpirata datoteke .kdbx, integracijo z oblakom in samodejno izpolnjevanje v izvornem sistemu. KeePass2Android se na primer brezhibno integrira z Google Drive, Dropbox, WebDAV in drugimi viri.
• Sef v iPhone y MacZelo celovit odjemalec, z nekaterimi funkcijami, ki so na voljo v plačljivi različici. Podpira Face ID, Touch ID, sinhronizacijo z iCloud, Dropbox, OneDrive itd. in je posebej zasnovan za delo s KeePass trezorji.
• KeePassium v ​​sistemu iOSVisoko dodelana brezplačna alternativa (z možnostjo Premium), ki vključuje samodejno dokončanje, podporo za TOTP, združljivost s kdb/kdbx, Argon2/ChaCha20, koš za smeti in samodejno sinhronizacijo s storitvami, kot sta iCloud ali Google Drive.

Praktični postopek na mobilni napravi je običajno Namestite aplikacijo za shranjevanje v oblaku (Drive, Dropbox, iCloud Drive, Synology Drive itd.), poskrbite, da bo datoteka .kdbx tam sinhronizirana, nato pa v ustrezni aplikaciji KeePass uporabite »Odpri obstoječo bazo podatkov« in izberite lokacijo v oblaku. Ko je odprta, se lahko s samodejnim izpolnjevanjem sistema prijavite v aplikacije in spletna mesta le z nekaj dotiki.

Dobra ideja je narediti test sinhronizacijeDodajte nov vnos v računalniku, zaprite zbirko podatkov, počakajte, da oblak naloži spremembe, odprite zbirko podatkov v mobilni napravi in ​​preverite, ali se vnos prikaže. Nato ponovite postopek v obratnem vrstnem redu (ustvarite v mobilni napravi in ​​preverite v računalniku), da preverite, ali potek dela deluje v obe smeri.

Najboljše prakse, varnostne kopije in tipične težave

Imeti vsa gesla v eni sami datoteki je hkrati pomirjujoče in zaskrbljujoče.Po eni strani centralizirate in poenostavite; po drugi strani pa, če izgubite datoteko, se ta poškoduje ali pozabite glavni ključ, ste izgubili vse. Zato je bistveno uporabiti nekaj najboljših praks.

Prvi je očiten: izberite zelo močno glavno gesloIzberite besedno zvezo, ki združuje dolžino in kompleksnost, a si jo lahko zapomnite, ne da bi si jo morali zapisati na listek. Dolgi stavki z nenavadnimi besedami, kombinirani z nekim težko ugaljivim osebnim vzorcem, so običajno dobro izhodišče. Ne zanašajte se na čarobni spomin: če jo pozabite, ni pomoči, na katero bi se lahko obrnili.

Druga so varnostne kopije baze podatkov .kdbx in morebitne ključne datoteke.Imej vsaj enega backup Posodobljeno na drugem mediju (drugem disku, NAS, USB ključu, shranjenem na varnem mestu). Če poleg gesla uporabljate tudi ključno datoteko, naredite kopijo te datoteke in je ne spreminjajte: že majhna sprememba jo bo naredila neuporabno in izgubili boste dostop.

Prav tako je priporočljivo, da se izogibate urejanju baze podatkov z več naprav hkrati.Če dve ekipi odpreta datoteko, izvedeta spremembe in jo skoraj hkrati sinhronizirata, lahko nekatere storitve v oblaku ustvarijo nasprotujoče si kopije ali v najslabšem primeru poškodujejo datoteko. V skupnih okoljih se je smiselno dogovoriti o pravilnikih: kdo lahko ureja, kdo lahko samo bere in kako se upravljajo spremembe.

Če kadar koli ne morete odpreti svoje baze Tudi če ste prepričani glede gesla, preverite:

• Da nimate omogočenega zaklepanja računa Windows in da ste spremenili uporabnike ali profile.
• Da uporabljate pravilno ključno datoteko in brez sprememb.
• Prepričajte se, da datoteka .kdbx ni poškodovana zaradi okvare diska ali prisilne zaustavitve sistema.

KeePass (in nekatere vilice) vključujejo orodja za popravilo podatkovnih baz Čeprav lahko ta orodja včasih obnovijo nekatere podatke iz poškodovanih datotek, se ni priporočljivo zanašati nanje. Najbolj moder pristop je, da vedno delate z nedavnimi varnostnimi kopijami.

Prednosti, slabosti in alternative, ki jih je treba upoštevati

KeePassXC ponuja zelo močno ravnovesje med varnostjo in nadzorom.Še posebej je privlačen za napredne uporabnike in organizacije, ki se ne želijo zanašati na rešitve SaaS. Vendar ni popoln in tudi ni najboljša možnost za vsakogar.

Med njegovimi glavnimi prednostmi lahko izpostavimo:

• Popoln nadzor nad tem, kje so shranjena gesla in kako so sinhronizirana.
• Odprtokodno, preverljivo in z aktivno skupnostjo.
• Robustno šifriranje, podpora za strojna oprema žetoni in integriran TOTP.
• Zelo široka združljivost z različnimi platformami (Windows, macOS, Linux, mobilni odjemalci drugih ponudnikov).
• Visoka prilagodljivost za integracijo v tehnične delovne procese (CLI, Secret Service itd.).

Na manj prijetni strani je treba upoštevati več slabosti.:

• Učna krivuljaZa uporabnike z zelo malo tehničnega znanja je lahko bolj zapleteno kot že pripravljen upravljalnik v oblaku. Običajno zahteva kratko obdobje prilagajanja in včasih branje priročnika, kot je ta.
• Ročna ali zunanja sinhronizacijaVgrajenega zalednega sistema ni; zanašati se morate na zunanje storitve (oblak, P2P, NAS ...) in razumeti njihove posledice.
• Odvisnost lokalnih datotekČe so vaši podatki izbrisani ali poškodovani brez varnostne kopije, izgubite vse svoje podatke. Zato je pravilnik o varnostnem kopiranju nujno potreben.
• Posodobitve in vzdrževanjeČeprav se projekt hitro razvija, je vaša odgovornost, da stranko redno obveščate o stanju na svojih računalnikih in občasno pregledate varnostne nastavitve.

Če po vsem tem premisleku ugotovite, da KeePassXC ne ustreza vašemu profiluEkosistem upraviteljev gesel je obsežen: 1Password, Bitwarden, Keeper, Enpass, LastPass in celo integrirane rešitve iClouda in Google Chrome Imajo svoje občinstvo. Običajno ponujajo samodejno sinhronizacijo, uradne aplikacije za vse platforme in v nekaterih primerih obnovitev računa, za ceno večjega zaupanja v zunanje ponudnike.

Dobra izbira vključuje analizo vaših dejanskih potreb.Katere naprave uporabljate, kakšno raven nadzora želite nad svojimi podatki, ali imate raje plačljivo naročnino ali ne, kako pomembna vam je odprtokodna programska oprema in koliko ljudi bo delilo te poverilnice? Ni enotnega odgovora, vendar je KeePassXC še posebej primeren, kadar varnost, preglednost in avtonomija prevladajo nad absolutnim udobjem.

Nastavitev sistema s KeePassXC pomeni izdelavo lastnega varnostnega kompletaRobustni, lokalni, šifrirani trezor z integracijo brskalnika in mobilnih naprav, ki ga lahko po želji sinhronizirate in varnostno kopirate kjer koli želite. Zahteva nekoliko več sodelovanja kot zgolj klikanje »naprej, naprej, sprejmi« v storitvi v oblaku, vendar vam v zameno ponuja nekaj, kar ponuja le malo drugih: natančno veste, kje so vaše skrivnosti, kako so zaščitene in katere komponente lahko prilagodite, da rastejo z vami, ne da bi pri tem izgubili nadzor.

Povezani članek:

KeePass: Nastavitev baze podatkov in datoteke ključev, šifrirane z AES-256

Isaac

Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.