- 强加密和 KDF:带有 Argon2 的 AES-256/ChaCha20 或经过良好校准的 AES-KDF 保护整个数据库。
- 完全控制:本地、便携式和移动客户端选项;与云或移动设备同步。 USB 取决于您的型号。
- 强项:长主密码,如果适用的话,在单独的设备上放置密钥文件。
- 安全生产力:自动输入、集成和触发器,实现便捷的工作流程,同时不牺牲安全性。
如果你管理几十个账户和服务,你就会知道内存是有限的;这就是为什么像 KeePass的 它是纯金的。 将您的密码集中在加密数据库中 并要求您仅提供一把“钥匙”来打开保险库:您的主密钥(以及可选的密钥文件)。
在本指南中,我们从多个参考资源中汇编了最有用和最新的信息,以便您可以在一个地方获得所有信息。 您将了解如何安装、配置和利用 KeePass (及其生态系统)、如何强化 KDF(AES-KDF 和 Argon2)、何时使用密钥文件、如何从 Excel/Chrome 导入、如何安全同步以及在移动设备上做什么,以及 技巧 例如自动类型、安全桌面、触发器等。
什么是 KeePass 以及它如何保护您的数据库?
KeePass是一个 密码管理员 免费且开源,将您的所有凭据存储在受保护的 .kdbx 文件中。 数据库是端到端加密的。 并且仅使用您定义的组合打开:主密码、密钥文件和/或您的帐户 Windows (后者不是最灵活的选择)。
至于加密,KeePass 2.x 支持 AES‑256(Rijndael)、ChaCha20 和 Twofish经过广泛审核的算法。它还使用 HMAC-SHA-256(先加密后 MAC 算法)验证完整性,防止在您不知情的情况下被篡改。
除了在磁盘上加密之外,在执行期间 使用 Windows 中的 DPAPI 保护内存 (或在不可用时使用 ChaCha20)并在不再需要时删除敏感区域。它不会在文件中以纯文本形式显示用户/URL:所有内容也都经过加密。
一个关键细节是在加密内容之前推导密钥: 一、解锁因素复杂 (密码/密钥文件/等)使用 SHA-256 进行加密以获得 K;然后使用 KDF 对 K 进行哈希处理,以使其难以猜测。
在 Windows、Linux、macOS 和移动设备上安装
在桌面上, 从其官方网站下载 并选择安装程序或便携版本。 Professional 2.x 版本是最完整的 (插件、自定义字段、通过 URL 打开、高级同步等)。1.x 仍然存在,但受到更多限制。
在 Windows 中,向导与往常相同:语言、许可证、路径、组件和附加任务。 您可以启用检查更新 了解安全性和性能改进。
移动端没有官方应用程序,但有优秀的客户端: 安卓 脱颖而出 Keepass2Android 和 KeePassDroid;在 iOS, Strongbox 和 KeePassium。这些允许您打开.kdbx 文件,集成自动完成、Face ID/指纹和 TOTP。
如果您更喜欢具有现代界面的跨平台原生体验,请查看 KeePassXC,KeePass 的 Linux/macOS/Windows 分支,增加了浏览器集成和 TOTP 以及其他改进。
创建您的第一个数据库:安全性和选项
创建 .kdbx 时,KeePass 会要求您定义 解锁方法. 最平衡的选择是使用强主密码。 并且,如果您想更进一步,请在单独的设备上添加密钥文件。
主密码应该很长并且难以预测;较长的短语效果很好。 避免模式和重复使用,不要将其存放在可能落入他人之手的地方。您可以打印一份应急清单,但务必妥善保管。
在“安全”下,选择加密(AES-256 或 ChaCha20)和 KDF。 AES‑KDF 允许微调迭代 (延迟越长,攻击速度越慢)Argon2 还增加了对 GPU/ASIC 的内存依赖性攻击。请将你的设备设置为“1 秒延迟”作为参考。
其他有用的标签:“压缩”(GZip 几乎不影响,但有帮助)、“回收站”(防止致命删除)和“高级”(历史记录、最大大小、 更换主密钥的提醒等)。

保存并使用您的第一个凭证
KeePass 创建您可以自定义的默认组(Internet、电子邮件、Windows 等)。 添加条目,使用“添加条目”并填写标题、用户名、密码(可以生成一个)、URL 和注释。
要使用密码,您有几种选择:双击将其临时复制到 剪贴板 (以秒为单位),打开条目并显示它,或者 复写 让 KeePass 使用按键序列在活动窗口中写入用户名/密码。
如果登录有额外的字段,请调整每个条目的自动输入顺序(例如, {用户名}{TAB}{密码}{TAB}{ENTER})。还有“双通道自动类型混淆”功能,可以对简单的键盘记录器进行混淆。
强大的技巧:“URL Scheme Overrides”。 允许您启动 PuTTY 或 MSTSC 等程序 直接从输入中获取参数和凭据,或通过方案使用您最喜欢的浏览器打开 URL。
从 Excel 和 Google Chrome 导入
如果您来自 Excel 文件,请先使用适当的分隔符将其转换为 CSV(在本地系统上通常为 ;)。 使用“通用 CSV 导入器”,将列映射到 KeePass 字段,并在完成前预览。然后,您可以将它们重新排序到组中。
从 Chrome 中将密码导出到 CSV(注意:密码存在时保持未加密状态)。 在 KeePass 中,“导入”→“Google Chrome 密码 CSV”格式,选择文件,就完成了。别忘了安全删除 CSV 文件,也从垃圾箱中删除。
加密、KDF 和参数:AES-256、ChaCha20、Twofish、AES-KDF 和 Argon2
KeePass 加密保护所有内容(用户、URL、笔记、附件), AES‑256、ChaCha20 或 Twofish. CBC 模式和每次保存的随机 IV 可防止副本之间出现模式。
加密之前,使用 SHA-256 将复合密钥减少到 256 位,然后应用 KDF。 AES-KDF 与迭代呈线性关系 (易于调整,对 GPU 的抵抗力较低)。Argon2 具有内存密集型的稳健性和可配置的并行性。
Argon2d 还是 Argon2id?KeePass 优先 Argon2d 用于客户端上的 GPU/ASIC 抵抗Argon2id 是一种混合体,并增加了侧信道防御;如果您在共享或不受信任的设备上使用该基础,Argon2id 可以是一个平衡的选择。
实用建议:修复按钮 “1秒”推导 在您的主设备上检查,并在其他设备上检查 El Temppo 易于管理(包括移动)。如果每次开局能有1-2秒的时间,那就更好了。
密钥文件与主密码:哪个更正确以及如何使用
密钥文件添加了第二个离线因素,攻击者无法通过字典猜测。 它比密码更强大,但它也伴随着风险:如果你丢失了它或者发生了一些变化,你就会被锁在你的保险库之外。
密钥文件的良好做法:将其保存在 单独的设备(U盘),创建加密副本,不要将其上传到与 .kdbx 相同的云,并避免使用明显的路径。在移动设备上,请将其保留在 存储 由系统内部加密,而不是在 SD 上。
密钥文件是唯一因素?这是可行的,但它会降低容错能力。 主密码+密钥文件组合 提供分层防御,并允许您在密钥文件的一个副本发生故障时继续使用。
关于大小:KeePass .key 文件设计得很小; 其有效熵不依赖于 KB 中的权重 而是随机位。你不需要“把它弄到 10 KB”来保证安全。
同步和备份:云、WebDAV/FTP、USB 和触发器
您可以将 .kdbx 保存到 Drive、Dropbox、OneDrive、iCloud 或 WebDAV/FTP 服务器. 该文件是端到端加密的,因此,如果没有复合密钥,访问您的云就不会显示内容。
风险与缓解措施:使用云 2FA,不要共享链接,并考虑 还使用不同的密钥加密 ZIP 如果您要携带多个底座/附件,请避免同时在两个设备上编辑同一个底座。
如果你不想依赖互联网, 便携版的U盘 而且底座非常实用。 KeePass 允许通过 URL 打开 以及像 KeeCloud/Sync for S3/Dropbox 这样的插件,但要小心配置。
使用“触发器”系统自动执行任务:保存时您可以 导出副本、触发同步或运行脚本。这对于保存历史记录或发送 备份 到安全的地方。
高级功能:安全桌面、内存、随机性和自动输入
激活主密钥箱 “安全桌面” (工具 → 选项 → 安全)以最大限度地降低解锁会话期间键盘记录器的风险;出于兼容性考虑已禁用。
为了生成可信凭证,KeePass 收集系统熵(时间、运动、GUID 等)并使用 基于 SHA-256/SHA-512 和 ChaCha20 的 CSPRNG. 如果认为合适,请添加手动熵。
在内存中,应用程序会加密敏感数据,并在不需要时清除它,依靠 DPAPI/受保护内存 在 Windows 中。但是,如果您在屏幕上显示密码或复制密码,操作系统可能会保留临时副本。
“自动输入”集成可节省输入和错误; 为每个服务定制序列,添加延迟({DELAY 1000}),并在适当时使用双通道混淆。您还可以使用模板触发 RDP/SSH 登录。
移动设备上的 KeePass 及其支持的版本
在 Android 上,Keepass2Android 和 KeePassDroid 使用 Argon2/AES-KDF 打开 .kdbx 文件,生成密码,集成自动完成功能,并且可以 与云同步在 iOS 上,Strongbox 和 KeePassium 支持 Face ID/Touch ID、TOTP 和 iCloud/Files 存储。
KeePassium 因其具有基本功能的免费模式和额外功能的高级选项而脱颖而出。 两个平台都允许集成 TOTP,这样您就可以暂时保存种子并生成代码,而无需依赖其他应用程序。
KeePass 1.x 和 2.x 之间的区别
1.x 分支比较轻量,但功能有所削减:没有完整的 Unicode, 无需打开 URL 或同步、有限的打印和较低的可扩展性。2.x 增加了自定义字段、插件、高级自动类型和改进的跨平台支持(通过 Mono/.NET)。
两者都是可移植的、开源的,并使用强加密。 如果你今天开始,就选择 2.x 除非你对 1.x 有非常具体的理由。
KeePassXC:跨平台本地替代方案
KeePassXC 采用 .kdbx 格式,并将其引入 Linux/macOS/Windows,具有浏览器集成(Chrome/Firefox/Edge)、TOTP 和更现代的界面。 默认离线工作,尽管您可以通过保存 .kdbx 使用常用云进行同步。
他们的典型流程很简单:创建基础,定义 强主密钥,启用浏览器集成,添加条目,如果需要,还可以将 TOTP 存储在同一个选项卡中以完成 2FA 登录。
生态系统的优点、缺点和替代方案
KeePass 的优点:可审计的安全性、可移植性、 通过插件实现灵活性,无需依赖中央服务器和先进的自动化和集成选项。
缺点:界面简朴, 没有本机同步 (尽管使用云很容易),并且更多的选择意味着比封闭的“一体化”解决方案更大的学习曲线。
热门替代方案: 1Password、Keeper、Enpass、Bitwarden 和 LastPass他们提供集成的云和完善的体验,以换取将存储外包给第三方或采用付费模式。
解决问题和良好做法
如果底座没有打开,请检查大写/小写字母, 正确的密钥文件 如果您使用的是 Windows 帐户,请确保您的 SID/密码没有更改。没有正确的身份验证,就无法恢复。
定期备份.kdbx和密钥文件; 关机前关闭 KeePass 并避免并发编辑。使用数据库的回收站,最大限度地减少意外删除造成的损害。
在打印时,它限制哪些字段是清晰的,并且需要主密钥才能打印。 切勿留下松散的导出 CSV;导入后安全地删除它们。
现实场景:我的云数据库会被黑客入侵吗?
假设有人从 WebDAV 或云端窃取了你的 .kdbx 文件。如果你使用 Argon2 的衍生时间约为 1 秒 以及长短语或 25+ 个随机字符主密钥,GPU/ASIC 攻击在今天是不切实际的。
弱点通常是较短或可预测的主密码。 “非常强”的密码 + 强化的 KDF +(可选)单独设备上的密钥文件使攻击时间从“可能”变为“不合理”。
如果您强制执行 2FA、不共享链接并保持较高的 KDF,则继续备份到云端是可以的。 谁害怕极端情况 您可以将它与额外的加密容器结合使用,或者仅使用加密的 USB 作为同步通道。
作为一种驱动理念如果你的短语/密钥不相关,那么字典就没什么用,而且 KDF 会减慢每次尝试的速度。破解一个配置良好的数据库所需的投资会飞速增长。
在开始之前,请花点时间定义您的复制策略(本地和异地)、您的 KDF 配置,以及是否要使用 密钥文件作为第二因素您的保险库的真正安全取决于这种组合。
KeePass 让您可以完全控制以安全、便携和按您的方式管理密码。 通过一些合理的调整(AES-256/ChaCha20、校准良好的 Argon2、长主密钥以及(如果适用)密钥文件),从 Excel/Chrome 导入而不留痕迹,激活自动输入并保管您的副本,您将在 PC 和移动设备上拥有一个耐用且舒适的保险库。
对字节世界和一般技术充满热情的作家。我喜欢通过写作分享我的知识,这就是我在这个博客中要做的,向您展示有关小工具、软件、硬件、技术趋势等的所有最有趣的事情。我的目标是帮助您以简单而有趣的方式畅游数字世界。