KeePass官方网站 : https://keepass.info
KeePass下载地址:https://keepass.info/download.html
(1)中文语言包安装
- 安装并运行keepass(安装时默认英文,无中文可选);
- 点击主界面中的【View】→【Change Language】;
- 点击【Open Folder】打开keepass的语言安装文件夹;
- 解压下载的中文语言zip包,将解压后的文件复制并粘贴到步骤3打开的文件夹中;
- 重复步骤2,选择【Chinese_Simplified】,点击弹出框中的【是】重启keepass。
(2)插件安装
- 在keepaass主界面中点击【工具】→【插件管理器】→【打开文件夹】;
- 将下载的后缀为.plgx的文件复制并粘贴到步骤1打开的的文件夹中(zip包请先解压);
- 关闭然后重新打开keepass。
- (度盘下载的chromeIPass插件安装方法:点击chrome浏览器右上角的三个点→【更多工具】→【扩展程序】,在打开标签页的右上角启用开发者模式→将下载的crx文件拖动到此标签页)
3)数据库同步和加密方式
如果你在使用Windows10,建议将keepass数据库直接存储在OneDrive文件夹中。因为OneDrive已经集成到了Windows文件资源管理器中,而且OneDrive网页版可查看文件版本历史记录和回收站,即使操作失误或误删文件也有补救的余地。
在创建数据库时keepass提供了3种可任意组合的加密方式:【管理密码】【密钥文件/提供器】和【Windows 用户账户】,也就是说一共可以组合出8种不同的加密方式。追求更高安全性可以了解一下OtpKeyProv:每次打开数据库需要输入至少3个一次性的6位数安全码,但是必须要有一个YubiKey硬件或一台装有Google身份验证器的备用手机,而且这种加密方式的容错率和安全性有所冲突,本文篇幅所限不再赘述。所以综合安全性,易用性,跨平台等多方面因素,建议使用【管理密码】+【密钥文件/提供器】的加密方式。其中【密钥文件/提供器】可使用任意类型文件(图片,文档,音频,视频等),它的工作原理是使用SHA-256对密钥文件进行哈希处理并将生成的32个字节用作密钥,因此请妥善保存密钥文件,不要随意修改(重命名无影响)。你可以使用一张家人的照片,一首喜欢的歌或一段不可描述的视频作为密钥文件,谁又能猜得到呢?(使用100mb以上的文件作为密钥文件会明显影响解锁速度)
数据库配置的【安全】选项卡中有一个【迭代次数】,次数越高数据库越难被暴力破解,但每次打开数据库和保存记录的耗时也越长。默认值为60000,我将它设为500000,在Keepass2Android(安卓)上打开时间为5~6秒,可供参考。
为使你的主密码更安全,请在keepass的【选项】→【安全】中勾选【在安全桌面输入管理密码】,因为几乎没有键盘记录软件能在安全桌面工作。
(4)自动输入和双通道自动输入混淆
自动输入顾名思义就是用软件模拟按键以代替手动输入,需要注意的是如果目标应用程序使用管理员权限运行,那么keepass也必须使用管理员权限运行才能在此应用程序中使用自动输入。通俗点讲,当你打开一个程序弹出了【用户账户控制】警告(UAC),那么要在这个程序中使用自动输入必须右键点击桌面上的keepass图标,选择【以管理员身份运行】。自动输入全局热键默认为【Ctrl + Shift + A】。使用方法非常简单:点击输入框→按下自动输入全局热键;或点击输入框→切换到keepass主界面→右键单击记录→【执行自动输入】。
双通道自动输入混淆不仅逼格高(具体效果如上面动图所示),而且非常强大。它的工作原理简洁明了:将要输入的字符随机分为两部分,然后使用模拟按键和复制粘贴两种方式混合输入,输入完成后再还原输入前的剪切板内容。这样一来,单一的键盘记录软件或剪切板监听软件都无法窃取到输入的完整字段。由于某些软件的输入框没有移动光标或不支持粘贴操作,因此这个功能默认不启用。必须在添加或编辑记录时点击【自动输入】,勾选【双通道自动输入混淆】。这无疑增加了普通用户的使用成本:为一条记录启用双通道自动输入混淆需要额外点击3次,对于有上百条密码的用户来说绝对是一场灾难。下文将给出一劳永逸的解决方案。
自动输入匹配规则:当按下自动输入全局热键时,keepass会根据当前活动窗口的标题在数据库中搜索相匹配的记录;如果一条记录的标题或网址包含在活动窗口标题内那么这条记录将被匹配。举个例子:在chrome浏览器中打开淘宝网,当前活动窗口的标题就是“淘宝网 – 淘!我喜欢 – Google Chrome”。那么问题来了:标题为“Google”的记录也会被匹配到,而且在chrome中打开的任何标签页的标题都会包含“Google Chrome”字段。因此为防止误输密码,请务必在keepass的【工具】→【选项】→【高级】中勾选【总是显示全局自动输入记录选取对话框】。
最后一点是自动输入的键入规则,默认规则为{USERNAME}{TAB}{PASSWORD}{ENTER}。解释:输入用户名,Tab键(换行),输入密码,回车键。但这套规则明显不适合中文用户,因为使用自动输入时输入法必须是英文,否则会出现很尴尬的场面。本文推荐使用以下规则:+{DELAY 100}{CLEARFIELD}{USERNAME}{TAB}{PASSWORD}{ENTER}。解释:Shift键(Windows10输入法切换),等待100毫秒,清空输入框,输入用户名,Tab键(换行),输入密码,回车键。由于新建记录默认从群组继承输入规则,所以只需修改一次即可,一劳永逸,具体操作见下图。注:使用此规则自动输入时请确保输入法为中文。
(5)使用固定设置
这是一个很特殊的技巧,可以让你在每次打开keepass时使用固定的应用设置,类似于网吧电脑系统的重启还原。由于keepass密码锁定的是数据库而不是主程序,所以在电脑未锁定的情况下任何人都可以进入keepass主程序并更改设置。这个技巧主要用于应对以下两个场景:1.熊孩子乱改你的keepass设置;2.别有用心的人趁你不备在keepass选项中更改密码导出策略,在你下次打开数据库后忘记锁定或中途离开电脑时快速导出全部数据。但是这个技巧防小人不防高手,而且如果TA恰好也看过本文,那就只是多花一分钟的事了。所以还是建议养成随手锁定电脑的好习惯(Win键+L),不过拿来对付家里的熊孩子绰绰有余了。
配置方法:打开keepass的【工具】→【选项】,设定好你需要设置→【确定】;打开Windows文件资源管理器,点击选项卡【查看】,勾选【隐藏的项目】。打开文件夹C:\Users(用户)\User Name\AppData\Roaming\KeePass,将文件夹中的KeePass.config.xml重命名为KeePass.config.enforced.xml,然后将它剪切并粘贴到文件夹C:\Program Files (x86)\KeePass Password Safe 2即可。如需取消,请删除KeePass.config.enforced.xml文件。
6)其他概念
替代URL:使用指定的应用程序(浏览器)打开URL。
TAN (transaction authentication number):一次性验证码,通常在启用网站两步验证的同时会提供多个备用验证码(TAN)。keepass中每条TAN用过后会打上╳并注明失效日期,非常实用。
- 技巧:
- 由于TAN记录的标题不能自定义,因此建议为每个账户的TAN记录单独创建一个群组,这样不容易混淆;
- 在添加TAN时勾选【序号连续,开始于】,这样创建的每条TAN会有一个序号,以便识别和使用。
- 添加方法:创建一个新群组(推荐)→点击群组→【工具】→【TAN 向导】。
KeePass插件篇
①KPSourceForgeUpdateChecker
此插件的作用是检查从SourceForge上下载的插件的更新信息。SourceForge是一个类似于GitHub的网站,本文中所有插件均来自于这两个站点。遗憾的是keepass主程序目前只能检查来自GitHub的插件的更新,这个插件刚好弥补了此不足。需要注意的是此插件没有在keepass官网插件列表中列出,但是本文介绍的多个插件的开发者都建议使用此插件检查更新,而且此插件在SourceForge网站上keepass开发者参与的多个帖子中被人提及,keepass开发者并未指出此插件有风险。总而言之,请酌情下载和使用。
②KPEnhancedEntryView
增强记录视图:提供颜值更高的查看视图,支持一键查看/隐藏所有加密字段(F9),安装后可在keepass主界面直接添加备注和附件,显著提升用户体验,可以说是必备插件。
为达到最佳显示效果,请按以下说明配置:
- 在keepass主界面中点击【显示】→【窗口布局】→【平铺】;
- 在keepass主界面中点击【显示】→【列设置】,取消勾选除【标题】以外的所有选项→【确定】。
③KPEntryTemplates
更美观,更简洁,更高效,可全面定制的模板编辑器,说它是神器也不为过。当初我的一百多条账户密码全部是手动转移到keepass中的,顺便也把所有账户的密码都改成了随机强密码,要是没有这个插件可能要多花两到三倍的时间。没有对比就没有伤害,直接上图。
配置方法:
- 点击keepass主界面的【文件】→【数据库设置】→【高级】,在【模板记录组】中选择一个群组→【确定】;
- 返回主界面,点击步骤1中选择的群组,按Ctrl+I键(或点击上方工具栏的钥匙图标)添加记录;
- 点击【自动输入】,勾选【双通道自动输入混淆】(以后用模板添加记录时就不需要再勾选了,一劳永逸);
- 点击最左边的【Template】→【Init As Template】;
- 配置所需模板→【确定】。
- (排序和删除方法见下图)
创建好的模板在Keepass2Android(安卓)也可以使用,下文会给出6套现成的模板设定图,足以胜任日常使用,要是没有耐心或不熟悉英文请直接按图配置吧!
先将Template(模板)中的所有英文字段翻译一遍:
Title:标题 Field:字段 Field Name:字段名 Type:类型 Opt:选项 Custom:自定义 Username:用户名 Password:密码 Password Conformation:确认密码 URL:网址 Notes:备注 Override URL:替代URL Expiry Date:到期日 Inline:文本编辑框 Inline URL:文本网址 Popout:弹出式文本编辑窗口 Protected Inline: 加密文本编辑框 Protected Popout:加密弹出式文本编辑窗口 Date:日期 Time:时间 Date Time:日期时间 Checkbox:复选框 Divider:分割器 Listbox: 列表框 RichTexbox:富文本框
这么一大堆看上去容易头晕但需要记住的只有两个:Protected Inline和Listbox。Protected Inline用于存储支付密码等需要加密的字段;Listbox则省去了每次添加记录都要重复输入邮箱或手机号的烦恼,配置方法如下图。注意:分隔符是英文字符中的逗号。
那么设置好的模板要怎么用呢?
- 【添加记录】→【Template】→【Set Template Parent】;
- 见下图。