今天要跟大家聊一个很久以来就打算安利的工具,而且是第一次安利此类工具,所以这次推荐特别慎重,经过多方对比,我选了一个现阶段可能是最佳的一个选择。
这个话题就是密码管理器。
原因是最近我看到了很多关于密码管理器的利空消息:
LastPass 先是爆出从这个月的 16 号开始不再免费,即将对跨平台使用的这项服务进行收费,然后又被一份报告爆出 LastPass 的 Android 版本内置有 7 种不同的追踪器。
这其中包括来自谷歌的 4 个追踪器,目的是进行分析和崩溃报告。这些追踪器收集到的信息包括正在使用的设备、移动运营商、账户类型、谷歌广告 ID 等。
这份报告还提到了其它的密码管理器,1Password 和 KeePass 中没有追踪器。开源的 Bitwarden 有两个,用于谷歌的 Firebase 分析和微软 Visual Studio 崩溃报告。
报告被披露出来之后,LastPass 回应内置的所有追踪器都是为了改善用户体验,但这种事瓜田李下,你要说一点都没操坏心思,我是不信的,毕竟互联网时代最值钱的就是咱们的用户习惯数据了。
所以到底咱们的密码该怎么管理才省心?
我还记得最早在互联网上冲浪的时候,无论哪个平台,无论哪个账号,密码都是一致的,如果不是有些网站的密码有硬性要求(长度、大小写、特殊符号等),我恨不得都把密码都设成一小串数字,就是为了好记。
结果后来了解到一串数字的密码极容易被暴力破解,黑客那边还有种叫做拖库撞库的操作,简单的说就是如果黑客攻陷了某一后台,找到了任何一个密码,就会去 N 多平台用同一账号登录这个密码。
哪怕你密码设置的有多复杂,有多巧妙,只要有一个环节沦陷,可能你全网账号都将沦陷,毕竟功夫再高也怕菜刀。
后来,我只能老老实实的把每个账号的密码给改了个遍,但又有一个很现实的问题跳出来了,这么多密码我记不住,也不方便。
可能有小伙伴会说,可把密码分成两部分,一部分是我们能记住的固定密码,另一部分换成当前平台的拼音或首字母。
其实我不是没有试过,但总觉得这样的内含规律的密码仍不安全,后面随着注册的账户越来越多,我都记不清楚哪个网站是否注册过,本来还想着直接把密码存在文档里然后上传到网盘,谁能想后来发现网盘并不安全。
再然后就是密码管理器了,市面上倒是很多,不过同质化严重,就好比现在很多压缩软件不过是给开源的 7Zip 套了壳一样,这些二次开发的密码管理器同样是套了个壳,其核心是一款名为 KeePass 的开源工具。
OK,所以今天的主角就是 KeePass。
当然,之所以推荐 KeePass,也是经过和图片中的同类产品进行过比较的,综合考虑安全、免费、功能等多方面因素。
KeePass 值得被推荐的理由有很多,我大致罗列了一下,如有不同意见,欢迎大家补充或讨论:
- 全平台支持(主要还是 Windows、Linux、macOS,手机端用的大多是二次开发的版本)
- 全免费(这一点是真的良心,不分什么免费版和高级版或家庭版变着花的收费)
- 存储密码数不限量且没有设备限制
- 更安全(加密使用的是当前最佳也最安全的加密算法)
- 支持扩展(高阶玩法,却给你带来更多的享受)
- 会把加密后的密码数据保存在本地(云端保存到对方服务器还是有一定风险的)
- 开源(众人拾柴火焰高,开源的好处就不多说了)
关于开源这一点还有个值得一说的,就是我在 KeePass 官网首页最后发现了一行小字,估计在手机上看文的你看不清,总结一句话,开源对于安全来说是必需品。
这是开发者本人的话,也是他践行时的原则,KeePass 从诞生至今,确实没有被爆出来过一次安全漏洞,所以安全这一点上 KeePass 走在前沿。
这么看来 KeePass 的良心是毋庸置疑的,但为啥现在 KeePass 一直没能在国内流行起来,我觉得一方面是大家对密码管理这一方面不太重视(更多的是手机短信或扫码这种动态验证),另一方面则是强大的 KeePass 需要手动汉化(虽然很简单)不说,而且官方缺少中文教程。
所以这一次黑哥帮没用过 KeePass 的小伙伴入个门(Windows 系统的哈),可能写的有点啰嗦,但绝对详细,耐心往下看一定会有收获。
下载永远是搞定一个软件的第一步,我建议大家还是去 KeePass 官网上下载应用、汉化包和各种扩展,如果嫌麻烦的小伙伴还是走老流程获取 KeePass(我也都是从官网上下的)。
这是 KeePass 的官网,我们直接下载开头最新的两个安装包之一就行,2.x 版本和 1.x 版本其实一样,只是 2.x 版本是基于 .net 实现的,环境要求不一样而已,无伤大雅。
然后 KeePass 官方会让你选择安装包的类型,是正常的可执行文件安装包,还是无需安装、方便移植的便携式压缩文件,按需选择即可,没啥区别,不用头疼。
这次我们还是用正常的安装包为例介绍,当你下好安装包,双击运行,你会发现简体中文并不是 KeePass 的内置语言,这就需要我们后面下载语言包解压就行,一路继续静等它把 KeePass 安装成功即可。
等你安装好,运行应用,你看到的是一个默认全英的 KeePass,在顶部菜单中找到「View」,然后选择第一个「Change Language」。
然后得到一个选择语言窗口,点击左下角的「Get More」,自动跳转到 KeePass 下载语言包的界面。
我们这时就要下载跟之前 1.x 版本或 2.x 版本对应的语言包,可别下错了。
下好的语言包是一个压缩文件,重复前面几步的流程,在弹出的选择语言窗口处点击「Open Folder」,把解压好的语言包粘贴到里面就行,其实你也可以直接去找 KeePass 的安装目录,里面有个「Language」的文件夹,将语言包粘贴到里面效果一样。
当你设置好这些,你就做好了一切准备工作,得到了一个汉化过的 KeePass。
第一次使用 KeePass 的小伙伴需要新建一个保存密码的数据库,点击顶部菜单栏的「文件-新建」,然后点「ok」,这个新建的 .kbdx 文件就是本地保存你密码的地方。
我们建好数据库后会得到一个窗口,是用来创建你 KeePass 密码,如果要给这个密码添加一个密钥(给我们的 KeePass 密码再上一次保险),你就得勾选「显示高级选项」这一项。
这个密钥文件可以是一个自己创建的一个加密文件,也可以是随便一个文本,一张图片,甚至是一段视频,上了密钥之后每次登录就需要你提供对应的密钥文件,还是以方便换安全。
如果小伙伴用不到这么高等级的防护不勾它就是了(勾了密钥文件一定要保存好,要不然会有血的教训)。
还有一个是「Windows用户账号」的选项,这个坑太大了,连 KeePass 自己也不推荐你启用,所以咱们直接略过去就行。
密码和密钥设置好后,就该我们配置这个数据库了。
第一步是给你的数据库起个名,像黑哥这种直男就直接俩字密码,有想法的小伙伴起个「核弹钥匙」这样的名都成,这个不重要。
然后是重要的第二栏「安全」,其实也没啥多介绍的,关于上面的每个选项 KeePass 都有具体的文字介绍,看不懂的算法和函数一律默认,迭代次数倒是可以调一调,数值越大,密码被破解的难度就越大,不过会影响密码保存加载的时长。
其实窗口下方有你配置算法、函数以及迭代次数导致的延迟,默认的配置也就延迟 1 秒,黑哥试了个 21 位的迭代次数,最后等了两分钟也没测试好,所以我们还是别搞什么骚操作了。
其他没啥好说的了,点「ok」到下一步,KeePass 会问你要不要弄个数据库应急表单,我们直接跳过,要是你担心以后数据库会被自己折腾没,你也可以去建一个,黑哥这就不多说了。
为了更舒服的使用 KeePass 的扩展和享受更多优质的功能,先别急着存密码,我们得做一些配置工作(不一定适用每一个人,则需选择)。
在顶部菜单「工具」处选择「选项」,里面能配置的东西实在太多,具体的需要小伙伴们自行探索,我只是说几个应该勾选的。
在高级那栏里也有几个可以勾选的功能(都在图中)。
有些时候我们懒得再去想一个密码,这个生成密码的工作其实可以交给 KeePass,在顶部菜单「工具」中选择「生成密码表」,未来如果你需要自动生成密码就会按照这个规则去设置。
这里配置的目的其实是为了针对有些网站对于密码是有限制的,像最开始说的长度、特殊字符等等,所以我们在这里有选择的勾选一些比如下划线这样的字符,在自动生成密码时能有效增加密码复杂度。
打开 KeePass,左侧栏相当于你的分类,单机右键可以添加新的分类(添加群组),右侧是你保存的账号密码,单机右键可以添加新的账号密码(添加记录)。
添加分类这个我们就不说了,来看看添加新的用户、密码。
标题是这条记录的名称,直接和对应的网站起同样的名字就好,用户名指的是用户账号,密码是随机生成的密码,如果你是想添加已有的密码,删了重输就行,网址是那个网站的域名,除此之外你还能设置密码有效时间(最后那个过期)。
把你所有的账号密码挨个搞上去,这个密码管理库就算初步整好了,本来写到这就该结束了,但是 KeePass 中还有很多有用的高阶玩法,比如更高级的自动输入功能就需要配合扩展去使用了,所以我再多啰嗦几句。
多亏了 KeePass 的开源特性,它有很多好用的插件,找到插件的方式是在顶部菜单的「工具」中的「插件管理器」,然后找到「获取更多插件」的选项。
和之前汉化时的一样,会跳出官网提供的插件库页面,因为没有站内搜索功能,我们在筛选插件的时候不妨用浏览器自带的网页搜索功能(Ctrl+F)。
下载好的插件和当初的语言包一样,解压后放到安装目录下的「Plugins」文件夹即可,真心没什么难度。
我这里推荐几个必备的插件,但限于篇幅就不一一详细介绍了。
AutoTypeSearch:用在匹配失败时能够快速检索你的密码数据库,当你安装好,KeePass 的工具-选项处就会多了一栏,记得在这里设置一个热键,这样也方便我们快速查询密码。
KPEnhancedEntryView:优化拓展界面,简化操作,比如可以在主界面直接修改用户名或密码(如下图),而不用一个一个点进去,默认快捷键 F9 还能查看加密字段,方便的很。
KeePassHttp:这个插件像是一个快递员,将 KeePass 的密码传递给浏览器,也可以实现快速保存网站账号密码的功能,不过得配合浏览器扩展 KeePassHttp-Connector 实现,放心这个插件不会存储任何记录。
KeePassHttp-Connector:之前有个叫 ChromeIPass 的,不知道是不是合并了,现在只剩它了,各大扩展商店都有,而且在 Edge 上还实现了汉化。
等你安装好扩展并点击扩展的小图标(这时应确保 KeePass 已启动),KeePass 那边会弹出一个对话,让你为此命名,这个随意,并不妨碍后续使用。
这样你的 KeePass 就和扩展成功对接,每次在浏览器上输入密码时,右键单击密码框,选择扩展最后的「Save credentials」就能将当前账号密码存储在 KeePass 中。
然后右上角的扩展图标就会疯狂的闪动,点它一下它就不跳了,你的账号密码也就存储成功了。
自动输入的流程是这样的,在某一保存过密码的网站登录页面按快捷键「Ctrl+Alt+A」就能实现自动登录。
不过自动登录需要点击一下账号栏,要不然可能会输入到别的输入框去,为了解决这个问题,我们还有最后一个插件,CheckPasswordBox。
CheckPasswordBox:功能就一个自动输入时防止误输到别处。
这一篇将近 5000 字的长文主要的目的还是将这款密码管理神器介绍给大家,所以关于移动端的 KeePass 和不同端同步(建议用坚果云同步)的地方没有介绍。
看了这篇文章的小伙伴仅仅是向着密码管理大师迈出了第一步,捯饬密码是个很重要的问题,在这个隐私岌岌可危的时代,密码的重要性不言而喻,如果你有耐心喜欢探索,KeePass 无疑是最佳之选。
下载地址
安装包:KeePass-2.49-Setup.exe
中文语言包:KeePass-2.46-Chinese_Simplified.zip
最新评论
这篇文章写得深入浅出,让我这个小白也看懂了!
谢谢分享
域名CDN加速类型选择的什么类型?
好像很不错的材料
这招也不好使咋办啊
刚好公司要做培训,需要参考一下如何写,谢谢分享
可以可以
哪里下载呢