隐私保护之密码管理工具 KeePassXC

背景现状

①你有多少个密码?

应用程序:QQ,微信,支付宝,迅雷,购物类的软件,百度云盘,阿里云盘,腾讯视频,优酷,爱奇艺,浏览器….

邮箱账号:公司/个人邮件…..

网站/论坛:学习购物网站,交流论坛…….

加密货币钱包:种子,密码,key….

银行卡: 卡号,密码,手机号,身份证号……….

我的密码至少是有400多个,主要是各类网站的,基本每个密码都是12位以上,全是特殊字符数字字母大小写随机组合的,很显然我是记不住的.

②你是如何记密码的?

这里只是随便列举一些常见的涉及到密码之类记住的东西,一个上网的人涉及到几十个密码的是不成问题的,
这里有一个矛盾:
要想记住几十个密码那就得要求密码简单方便记忆,或者是用重复的一个密码,那密码就不安全!
要想密码安全那就得设置随机的,复杂的,位数多没有规律的字符,且密码不能共用,那么密码就记不住!

有没有一种简单的方法来帮助人记忆呢?

好记性不如烂笔头! ~ 既然我脑子记不下来,那我就把它写下来!

③你把密码保存在哪里?

• 有明文保存在txt/excel里面的
• 有明文备份在网盘里面的
• 有保存在收藏夹里面的
• 有建一个小号用来当记事本的
• 有放在云笔记本的
• 有放在自己搭建的服务器上的
• 有写在纸上的
• 有放在U盘里天天挂在身上的
• 有存储在浏览器里面的

总体来说,大多数人都是在明文存储密码,且放在自己电脑上某个地方,以为那个地方只有自己能找到,别人就算是把我的电脑拿去也不一定找得到存放密码的文件位置在哪里.

④隐患在哪里?

如果你是明文存储,放在txt里面,那么攻击者在控制你电脑后是很容易找到你的密码的,近期一段时间打开的文档里面就可能会有.

win+r打开 运行窗口输入 recent 就可以看到你近期访问的一些文件,或者直接打开文件夹(C:\Users\用户名\Recent)即可查看到.

而很多人是不可能清理这些痕迹的,毕竟每时每刻清理是很烦的.

浏览器存储的密码可以很轻松的被导出来:很多人觉得比如用Google浏览器登陆后存储密码很方便,以后重装什么的登陆上Google账号所有密码都同步过来了,不管是在手机还是电脑上都十分方便,但是却不知浏览器存储密码是十分危险的操作,现在的渗透测试后利用工具,随便拉一个出来都可以把浏览器密码导出来,且无需输入什么pin或者windows登陆密码之类的东西.

比如使用工具 webbrowserpassview ,只需双击一下,浏览器密码就全部出来了,
下载地址:http://www.nirsoft.net/utils/web_browser_password.html

软件只需读取浏览器存储的密码文件进行解密即可:

chrome浏览器的默认密码存储文件:

C:\Users\用户名\AppData\Local\Google\Chrome\User Data\Default\Login Data

⑤那些看起来安全的”密码存储”的方法

我见过的一些相对来说安全的存储密码的方法

[1] 放在excel里面然后设置密码

隐患:

• 如果电脑已经被黑客控制,相关的键盘记录器可能记录到你的密码最终解开你的excel
• 老旧的excel密码可以绕过或直接删除
• excel密码可进行爆破操作
• …….

[2] 压缩成winrar/zip….文件

把密码压缩然后设置一个密码看起来确实安全了,但是也免不了要去访问这个文件,要去复制密码,要去解压输入字符,一般性的压缩密码还会被轻易破解出来.

[3]通过加密后存储在本地电脑上

一些人会使用简单的base64去编码存储,当然,足够防御那些对于不懂编码的人了,但是别忘了,我们的对手是黑客,我们要面对的威胁不是普通人,那些简单的编码没用;有的人使用RSA加密来存储密码,但是你的私钥总得找个地方存储吧,很多人私钥都是明文放在电脑上某个自以为安全的地方.

密码安全存储的要求是什么

①避免使用同一个密码.

②密码设置没有规律可循

③密码长度大于12

④密码组成中应该有:数字+大小写字母+特殊符号 随机组合

⑤避开键盘上的一些规律,比如qazwsx!@#

⑥密码不存储在浏览器中

⑦密码不明文存储在电脑上

⑧密码不放在收藏夹/网盘/云笔记中

⑨避免手动输入密码(避开键盘记录器)

⑩密码复制粘贴后剪切板应立即得到清空

………

显然人做不到这些,这就需要借助工具了
使用的工具就应该首选具备如下条件的:

• 工具开源
• 工具无任何账号进行同步,不将密码存储在云端服务器.
• 工具加密方法足够强(AES256)
• 工具可生成随机强密码
• 工具可自动输入,无需复制粘贴
• 复制粘贴后工具可立即清空剪切板
• 工具简单易用.
• 工具跨平台可用
• 工具免费
• 工具可存储无限多的账号密码
• 工具可批量导入导出密码
• ………

而KeePassXC正好可以满足这些条件.

KeePassXC简介

KeePassXC 是一款现代、安全且开源的密码管理器，可存储和管理您最敏感的信息。您可以在 Windows、macOS 和 Linux 系统上运行 KeePassXC。

KeePassXC 适用于对安全个人数据管理有极高要求的人。它将许多不同类型的信息（例如用户名、密码、URL、附件和注释）保存在可以存储在任何位置的离线加密文件中，包括私有云和公共云解决方案。为了便于识别和管理，可以为条目指定用户定义的标题和图标。此外，条目按可自定义的组进行排序。集成的搜索功能允许您使用高级模式轻松查找数据库中的任何条目。可定制、快速且易于使用的密码生成器实用程序允许您使用任意字符组合或易于记忆的密码短语创建密码。

您可以在 KeePassXC 数据库中存储无限数量的密码和信息。您存储在数据库中的每条信息都始终在kdbx文件中加密。当您从 KeePassXC 中访问您的数据库时，您的信息将被解密并存储在您的计算机内存中。KeePassXC 控制对这些数据的访问，因此其他应用程序无法读取它（除非它们具有管理权限）。该界面旨在让您快速访问您的密码、搜索正确的条目、执行自动输入或复制/粘贴操作、进行和保存更改，然后让您的工作顺利进行。

KeePassXC 附带了专为满足可访问性标准而设计的浅色和深色主题。在大多数情况下，系统会自动确定合适的主题，但您始终可以在应用程序设置中设置特定主题。

KeePassXC特色

• 基本功能
  • 以 KDBX 格式创建、打开和保存数据库（与 KeePass 兼容）
  • 将敏感信息存储在按组组织的条目中
  • 可搜索条目
  • 自带密码生成器
  • 在应用程序中自动输入密码
  • 与 Google Chrome、Mozilla Firefox、Microsoft Edge、Chromium、Vivaldi、Brave 和 Tor-Browser 的浏览器集成
  • 入口图标下载
  • 从 CSV、1Password 和 KeePass1 格式导入数据库
• 高级功能
  • 数据库报告（密码运行状况、HIBP 和统计信息）
  • 数据库导出为 CSV 和 HTML 格式
  • TOTP 存储和生成
  • 条目之间的字段引用
  • 文件附件和自定义属性
  • 进入历史和数据恢复
  • YubiKey/OnlyKey 挑战-响应支持
  • 命令行界面 (keepassxc-cli)
  • 自动打开数据库
  • KeeShare 共享数据库（导入、导出和同步）
  • SSH 代理
  • FreeDesktop.org 秘密服务（替换 Gnome 密钥环等）
  • 其他加密选择：Twofish 和 ChaCha20

KeePassXC下载地址

KeePassXC 可用于以下操作系统和平台的下载：

• 微软Windows
  • 便携式和 MSI 安装程序（64 位和 32 位）
• Linux – 官方交叉分发包
  • AppImage 和 Snap 包
• Linux – 特定于发行版的软件包
  • Ubuntu、Debian、Arch Linux、Gentoo、Fedora、CentOS 和 OpenSUSE
• macOS
  • DMG 安装程序，Homebrew Cask

要为所需平台下载 KeePassXC 安装程序，请访问https://keepassxc.org/download或直接从我们的GitHub Releases下载。

KeePassXC 是开源软件，可能在与 Team KeePassXC 无关的其他网站上可用。我们强烈反对从第三方网站下载 KeePassXC。

在安装 KeePassXC 之前，建议您验证下载的安装程序是否与签名匹配，该签名与发布包一起发布。通过验证 KeePassXC 版本的签名，您可以验证下载的安装文件的真实性和完整性。这保证了您下载的文件最初是由 KeePassXC 团队创建的，并且其内容没有被篡改。

要了解有关验证下载包的真实性和完整性的步骤的更多信息，请访问https://keepassxc.org/verifying-signatures。

微软Windows

Windows MSI 安装程序由 DroidMonkey Apps, LLC 拥有的安全证书签名。如果您在安装应用程序时没有看到此对话框，请单击“否”并从https://keepassxc.org下载安装程序。

安装 KeePassXC 是一个简单的过程。在以下示例中，描述了在 Microsoft Windows 上安装 KeePassXC 的步骤。在其他操作系统上安装 KeePassXC 也是一个简单的过程，您可以使用本机安装程序来完成。要了解更多关于其他操作系统的安装说明，请参阅 KeePassXC 用户手册。

要在 Microsoft Windows 上安装 KeePassXC，请执行以下步骤：

1. 双击 KeePassXC-YYY-WinZZ.msi 文件。这里，YYY 代表软件的版本，ZZ 代表 Microsoft Windows 操作系统的 32 位/64 位版本。

2,单击下一步并按照 KeepPassXC 安装向导上的简单说明完成安装。您可以选择安装位置、添加桌面快捷方式并在启动时启动。

在无人值守安装中运行 MSI 时可以设置以下选项：

• LAUNCHAPPONEXIT – 安装后启动 KeePassXC（默认开启）
• AUTOSTARTPROGRAM – KeePassXC 将在登录时自动启动（默认开启）
• INSTALLDESKTOPSHORTCUT – 将安装桌面图标（默认关闭）

例子：

msiexec.exe /q /i KeePassXC-Y.Y.Y-WinZZ.msi AUTOSTARTPROGRAM=0

Linux

您可以轻松下载适用于 Linux 的 KeePassXC 安装程序。当您搜索 KeePassXC 时，会显示多个选项，如以下屏幕所示：

Snap 和 Flatpak 选项是沙盒应用程序（更安全）。Native 选项与操作系统文件一起安装。在此处阅读有关这些选项的限制的更多信息：KeePassXC Snap 常见问题解答

KeePassXC 存储一个配置文件~/.cache以记住窗口位置、最近的文件和其他本地设置。如果您将此文件夹挂载到 tmpdisk，您将在重新启动后丢失设置。

苹果系统

要在 macOS 上安装 KeePassXC 应用程序，请双击下载的 DMG 文件并使用单击并拖动选项，如图所示：

KeePassXC使用方法

安装后打开是这样的:

创建您的第一个数据库

要开始使用 KeePassXC，您需要首先创建一个用于存储密码和其他详细信息的数据库。

要创建数据库，请执行以下步骤：

点击新建数据库,然后给数据库起个名称,比如是www.ddosi.org:

然后把解密时间拖到3秒的位置(也可以使用默认的1秒)

接下来输入你的主密码(设置一个主密码用于解锁此数据库)

点击添加额外保护(添加一个密钥文件)

选择所有文件进行选择

选择一个文件作为解密的密钥(可以是随便一个txt文件,一张图片之类的文件)

选择好之后生成的数据库会让你选择一个保存位置,比如我把数据库保存在桌面上

接下来数据库建好了,以后你的密码什么的文件都加密存放在这个”密码.kdbx“文件中了

新建密码条目

在这个位置右键新建条目:

比如我要设置nessus的登陆页面账号密码:

填写如下信息进行

填好后是这个样子的:

我们可以右键复制账号或者密码

设置全局自动输入快捷键:

自动输入账号密码

接下来我们切换到要登陆的页面,按下Ctrl+B 工具会根据网址自动跳出对应的列表条目:

我们双击这个条目就会自动输入账号密码并回车登陆网页:

密码生成器

KeePassXC还自带了密码生成器,用于生成随机的强密码:

也可以在高级里面增添要加入的字符:

生成的密码熵的比特位越高,密码越复杂,越不容易被破解.

密码熵科普

多年前，安全专家意识到用户不会选择强密码注册登陆设备。人们需要更好地保护他们的帐户。这或多或少就是为什么我们现在几乎每个注册表都有密码强度计 。问题是，密码强度计需要根据某种合理可靠的因素进行评估，而不仅仅是根据任意判断。一个这样的因素是密码的熵。

什么是密码熵？

传统上与热力学相关，“熵”一词来自希腊语“entropia”，意思是“转向”。在密码的上下文中，它用于衡量密码的随机性。密码的熵越高， 暴力破解就越难。它以位为单位进行测量，并且有一个计算它的数学公式。

E = log₂(R^L)

• R-我们构建密码的唯一字符池的大小;
• L–密码长度，即密码中的字符数。

利用对数的性质，我们可以将上述公式改写为：

E =L*log2(R)

也就是说，我们可以通过首先找到字符集中一个字符的熵，R等于，然后 将其乘以密码中的字符数，即 ，来计算密码熵。log2RL

我们可以立即从密码熵公式中推断出增加L或增加R会增大密码熵。因此，要获得更强的密码，您必须扩大字符池或使密码更长。特别是，来自较小池的较长密码与较短但更复杂的密码一样有效！

密码池可以是如下字符:

1234567890
~!@#$%^&*()_+{}|:"<>?`-=[]\;',./
abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ
其他字符

池	元素	密码池大小
数字	0-9	10
小写字母	a-z	26
大写字母	A-Z	26
字母大小写	a-z, A-Z	52
字母数字	a-z, 0-9	36
字母数字和大写字母	a-z, A-Z, 0-9	62
特殊符号（典型的美式键盘)	~!@#$%^&*()_+{}|:”<>?`-=[]\;’,./	32
数字+大小写字母+特殊字符	a-z, A-Z, 0-9, ~!@#$%^&*()_+{}|:”<>?`-=[]\;’,./	94

要确定密码的池大小，请查看上表。如果您的密码包含来自给定类别的至少一个字符，请标记此类别。
然后添加您已标记的类别的大小。例如：

• 密码incorrect有一个26字符池（全是小写字母）；
• 将密码更改为Incorrect会将池增加到52字符（小写+大写字母）；
• 将其进一步更改为IncoRRect77会增加62字符池（小写+大写字母+数字）;
• 最后，IncoRRect77$%&具有26 + 26 + 10 + 32 = 94字符池（小写+大写字母+数字+特殊符号）。

计算密码熵需要知道的另一个量是密码长度。这里没有什么复杂的，你只需要数一下长度。继续我们的示例，incorrect 和Incorrect 都有9字符，IncoRRect77有11字符，而Incorrect77$%&有14字符。

知道池大小R和密码长度L后，确定密码熵的最后一步是应用公式， 无论您更喜欢哪个。我们将使用后者。
E = log2(RL)

或

E = L * log2(R)

在我们的示例中：

• 对于incorrect，我们有R = 26and L = 9，所以E = 9 * log2(26) ≈ 9 * 4.700 ≈ 42.3 bits;
• 对于Incorrect，我们有R = 52and L = 9，所以E = 9 * log2(52) ≈ 9 * 5.700 ≈ 51.3 bits;
• 对于IncoRRect77，我们有R = 62and L = 11，所以E = 11 * log2(62) ≈ 11 * 5.954 ≈ 65.5 bits;
• 对于IncoRRect77$%&，我们有R = 94and L = 14，所以E = 14 * log2(94) ≈ 14 * 6.5545 ≈ 91.76 bits.

log₂ 可以用下面的计算机计算

https://www.logcalculator.net/log-2

总之一句话:密码熵越大越好

下次打开KeePassXC的方法

有的人会遇到如下的情况,明明输入了密码缺失登不上去.根本原因是设置了密钥文件,但是没选择上去 .

把密码和密钥文件位置填上去即可登陆

接下来电脑设置了pin的还会要求你进行pin验证:

如何导出浏览器密码并导入KeePassXC

导出浏览器密码:

以chrome为例:

到这个网站下载工具webbrowserpassview

下载地址:http://www.nirsoft.net/utils/web_browser_password.html

双击工具即可看到所有浏览器密码:

CTRL+A全选,点击file>save selected items导出密码

选择保存类型为 keepass csv file(*.csv)

导出来的csv是需要处理一下的,不然导进去KeePassXC格式会乱

导出的原始的csv是这样的:

我们需要把第一行删除,然后在最前面加上两列空表,再把所有的文字加上边框(不然csv无法保存空的列表)

接下来打开KeePassXC导入csv密码文件

导入的账号密码是这样的:

导出的话也是在这个位置.

转载请注明出处及链接