OSSFcollection

KeePassX - 簡單易用的密碼管理軟體

作者:林雪凡,2013 年 9 月投稿。

想密碼是件苦差事,記密碼當然也是。

簡單的密碼不安全,亂數密碼又記不起來;就算好不容易記起來,卻每個網站都要記一個。之後回頭再用時就全忘光。網站共用相同密碼又不安全,到底該怎麼辦才好呢?

最簡單的做法,當然就是把密碼全寫在筆記本上。然後再給筆記本加個牢靠大鎖了。

簡介

KeePassX 是一款簡單易用的本地密碼管理軟體。

網路上有好些密碼管理軟體,可以幫大家收集密碼長期保存。本回介紹的軟體是 KeePassX,因為有著類似名字的軟體還有好幾套,所以請別搞錯了。

為什麼是 KeePassX?其他密碼管理軟體又有什麼不好?嗯,其實也沒啥特別原因,不過這是我確實有在用的軟體,用了許久也沒發覺它有哪裡礙手,實用性一流,故 就拿來介紹一下。實話實說,原本還想等到 KeePassX 2.0 推出後再和大家聊它;不過看來 2.0 還要開發很久……還是趕快介紹一下好了!這種東西早用早好啊。

KeePassX 是一款本機端密碼管理軟體,他會將密碼存在本機的一個檔案上。並用一個中控密碼加以保存。要使用它,您需要,也只需要記住一個夠強的中央密碼作為存取之用,剩下來的問題,KeePassX 會幫您搞定。

KeePassX 也支援自動產生亂數密碼。您甚至可以控制亂數密碼是否能發音、是否使用特定符號、是否同時運用大小寫、長度為何等等。

安裝

KeePassX 有 Linux、Windows 與 MAC OSX 版本,直接從這邊下載就裝吧。非常簡單。

目前最新版本是 0.4.3 版,而且已經保持這個版本很長時間了(讓我想提交翻譯都沒辦法)。如果您用 Linux,也可查查看您的套件庫從裡面裝,我玩過的所有發行版都有內建,算還蠻普遍的。

安裝後將其啟動,畫面如下所示。

keepassx 01_main_screen

▲ 圖1:空白的主畫面。

建立密碼檔

使使用 KeePassX,第一步就是要建立屬於您自己的密碼檔案,用來儲放您那數以百計的密碼。此檔案很小,就幾 KB 而已。

那就立刻新建吧。請點左上角的按鈕,會彈出新建密碼檔的小視窗。

keepassx 02_new_database

▲ 圖2:新建密碼檔視窗。

小視窗中提供了兩個選項,您至少要選其中一個才能新建密碼檔。但也可以兩個都選。

兩個欄位中,第一欄位是讓您輸入「主密碼」用的,如果您有設定這個,則日後開啟本檔案時都得輸入主密碼才能將檔案打開,防止別人偷看。

而下方的第二欄位,則可選用一把鑰匙(密鑰)作為開檔使用。

此處所謂的鑰匙,其實也就是一個普通的檔案;這個檔案可以是任何類型、任何長度的檔案,不管 jpg、png、pdf 通通都可接受。唯一的要求是這個檔案日後不能被改變,因此最好別用 doc 或 odt 檔來用,不小心改到一點鑰匙就會完全失去作用。

如果您無意自己指定檔案,也可以按下方的 Create File 來產生一個最小所需的隨機檔案(大約 64 bytes)。如果您有用密鑰檔,則資料庫被暴力攻破的可能性會很小,但您當然也就得好好保管您的密鑰才行,如果沒有把密鑰檔帶著跑,密碼檔是打不開的。 要是弄丟密鑰檔,也就等於您再也打不開密碼檔,故請特別小心。

推荐同時設定「檔案密鑰」+「簡單的密碼」,如此用起來比較方便,也兼顧了安全性。

預設的密碼檔案副檔名是 .kdb,但是這樣一來目標太顯眼了,有心人可能會對它進行針對性攻擊,因此建議換個副檔名或索性不要副檔名,就把它偽裝成 exe 或 dll 之類的,KeePassX 一樣可以正確開啟……沒錯!不被攻擊就是最強大的防禦!

keepassx 03_files

▲ 圖3:重新把檔案命名一下,這樣就很難看出這些檔案是密碼檔或密鑰檔了。就算對方把所有可能的檔案組合都試過一次,也還有手動輸入密碼這道防禦攔阻。

加入記錄項目

keepassx 04_main_screen_with_new_db

▲ 圖4:密碼檔案建好後的主畫面。

主檔案建立好後,那就在其中加入密碼吧。

請選 Add New Entry 或熱鍵 Ctrl + Y 叫出新建密碼視窗。

keepassx 05_empty_entry

▲ 圖5:新建一個密碼項目。

比方說我申請了一個 twitter 帳號叫 ossf,密碼為 !@#$%^&* ,為防忘記那就這樣紀錄下去:

keepassx 06_twitter_entry

▲ 圖6:輸入密碼與相關內容。

其中 Comment 可用來輸入任意文字。我常常用來簡述這個密碼網站是幹嘛的,或是記錄一些重要的輔助訊息,比方說本來故意亂打卻被當作驗證訊息,三不五時就會要您重新輸入 的生日號碼(巴哈先生,對,就是在說你!)。至於 Attachment 欄位則可放入任意檔案如金鑰檔等,隨您塞。

如此這般就輸入好了。

自動產生密碼

如果您想要新建一個密碼,又對自己想出來的密碼沒啥自信,那麼您也可以試著使用自動密碼產生功能。就按先前畫面中的 gen 按鈕……

keepassx 07_password_generator

▲ 圖7:自動密碼

您可以控制密碼的字數、使用字元集、發音可否、是否所有字元集都有用到等項目。

因為是隨機產生的,密碼強度都很高。不過也很難記憶很難打,因此最好搭配以下策略使用。

運用密碼的方法

密碼庫設定好後大約會變成這樣。

keepassx 08_main_screen_full

▲ 圖8:填滿內容的密碼庫

左邊是密碼群組,右邊是個別密碼項目。如何組成群組本文不論,有興趣請自己試吧;個人認為沒群組也無所謂,反正 KeePassX 的搜尋欄也相當好用,想找出特定密碼還是很簡單的。

您可以在選定個別項目後,按熱鍵使用各種功能。常用功能包括:

  1. 複製使用者名 ( Ctrl + B )
  2. 複製密碼 ( Ctrl + C )
  3. 打開網址 ( Ctrl + U )
  4. 雙擊打開密碼編輯視窗:可以察看或重新修改內容。

如此一來就能輕易複製貼上了(註一)。熱鍵不用強記,右鍵選單裡都有寫。

Auto Type

如果您使用 Linux 系統,KeePassX 還支援 AutoType 功能。具體用法是:

  1. 先將游標放到某個登入視窗的 user 欄位,然後……
  2. 打開 KeePassX,選中正確的密碼項目
  3. 再按 Ctrl + V

這樣就能自動填入用戶名稱與密碼,輕鬆完成登入手續。用起來非常方便。

其他零散功能

考慮到安全與方便之間每人平衡點不同,KeePassX 在設定頁面中有許多選項可以用,建議去翻翻。以下則要介紹……

  • 您可以不關閉程式但鎖定資料庫。設定頁中有「閒置多少秒後自動鎖定」的選項。
  • 是否要記憶密碼檔存放位置?是否每次啟動 KeePassX 時都自動讀檔?這些選項會讓使用更方便,但也會讓同電腦的其他使用者知道您的密碼檔是哪一個。當然,他們想偷看時還是得輸入密碼。
  • 複製到剪貼簿時,設定多少秒之後剪貼簿會自動清空,以求儘量降低安全風險。

如此一來,密碼管理就可以省很多心思了。


註 1:注意,複製貼上時,您的帳號密碼可能會被「剪貼簿監控木馬」偷走;但是如果您用鍵盤手動敲打,密碼同樣可能被「鍵盤側錄木馬」偷走……總之只要電腦上有病毒,怎樣都無法安心,還請注意。