Bezpieczeństwo haseł z priorytetem lokalnym

KeePassXC menedżer haseł: bezpieczny lokalny sejf

KeePassXC jest dla osób, które chcą bezpieczeństwa haseł bez wysyłania sejfu do dostawcy. Przechowuje loginy, passkeys, notatki, kody TOTP i sekrety SSH w lokalnej bazie KDBX, otwieranej tylko za pomocą hasła głównego.

Ten przewodnik wyjaśnia, kiedy KeePassXC jest odpowiedni, jak go bezpiecznie skonfigurować, synchronizować bez utraty kontroli oraz gdzie mogą pojawić się problemy z integracją przeglądarki, aplikacjami mobilnymi, kopiami zapasowymi i kluczami sprzętowymi.

Zacznij od listy kontrolnej konfiguracji Pobierz KeePassXC

Przydatna krótka wersja

KeePassXC jest świetny, gdy chcesz mieć pełną kontrolę. Nie jest najprostszy dla rodzin, odzyskiwania awaryjnego czy współdzielenia zespołowego. Bezpieczna konfiguracja to jedno silne hasło główne, przetestowany plan kopii zapasowej, automatyczne blokowanie, ostrożne parowanie przeglądarek i notatka odzyskiwania offline.

Wybierz KeePassXC, jeśli Chcesz lokalnego sejfu KDBX i czujesz się komfortowo, zarządzając kopiami zapasowymi samodzielnie.
Wybierz menedżera w chmurze, jeśli Potrzebujesz prostego udostępniania, dostępu przez web, odzyskiwania awaryjnego lub mniejszej konserwacji.
Zrób najpierw Utwórz sejf, zapisz notatkę odzyskiwania, przetestuj kopię zapasową, a potem importuj stare hasła.
Spis treści

Kiedy KeePassXC to dobry wybór

KeePassXC sprawdza się najlepiej, gdy chcesz samodzielnie zarządzać bezpieczeństwem. Nie ma konta u dostawcy, subskrypcji, odzyskiwania sejfu po stronie serwera ani wymuszonej synchronizacji w chmurze. To zaleta, ale oznacza, że rutyna tworzenia kopii zapasowych jest kluczowa.

Własność

Lokalny sejf, bez konta

Twoja baza haseł to plik, którym zarządzasz. KeePassXC nie wymaga logowania do dostawcy, konta rozliczeniowego ani hostowanej usługi synchronizacji.

Przejrzystość

Open source, aplikacja desktopowa

KeePassXC jest open source, wieloplatformowy i kompatybilny z formatem KDBX używanym przez inne aplikacje w stylu KeePass.

Codzienne użycie

Przeglądarka, TOTP, passkeys, SSH

Aplikacja desktopowa obsługuje wypełnianie w przeglądarce, jednorazowe kody czasowe, passkeys przez oficjalne rozszerzenie oraz procesy agenta SSH.

Brak uzależnienia od dostawcy

Działa z kompatybilnymi klientami

Sejf KDBX można otworzyć w utrzymywanych aplikacjach, takich jak KeePassDX lub KeePass2Android na Androidzie.

Odporność offline

Działa bez internetu

Możesz odblokować bazę podczas podróży, awarii lub ograniczonych sieci, jeśli masz plik i hasło główne.

Wrażliwe procesy

Mały ślad dostawcy

Nie ma hostowanej usługi sejfu, którą można by wezwać do sądu, naruszyć, zawiesić lub zmienić bez wiedzy. Bezpieczeństwo opiera się na Twoim urządzeniu.

KeePassXC a menedżery haseł w chmurze

Nie wybieraj KeePassXC tylko dlatego, że brzmi bardziej prywatnie. Wybierz go, gdy kompromis pasuje do twojego stylu życia. Menedżer w chmurze może być bezpieczniejszy dla niektórych, bo obsługuje synchronizację, udostępnianie, utratę urządzenia i odzyskiwanie. KeePassXC jest bezpieczniejszy, gdy ważna jest lokalna kontrola i mniejszy ślad dostawcy.

Potrzeba Lepsze dopasowanie Dlaczego
Chcesz maksymalnej lokalnej kontroli KeePassXC Sejf może pozostać offline, synchronizacja jest opcjonalna, a baza nie jest powiązana z kontem dostawcy.
Regularnie udostępniasz hasła rodzinie Menedżer haseł w chmurze Udostępnianie, odzyskiwanie, zaproszenia i konfiguracja urządzeń są zwykle łatwiejsze w Bitwarden, Proton Pass, 1Password lub iCloud Keychain.
Podróżujesz z niestabilnym internetem KeePassXC Sejf otwiera się lokalnie, nawet gdy dostawca, synchronizacja przeglądarki lub połączenie mobilne są niedostępne.
Możesz zapomnieć hasła głównego Menedżer haseł w chmurze Niektóre usługi w chmurze oferują odzyskiwanie konta lub dostęp awaryjny. KeePassXC nie może odzyskać utraconego hasła głównego.
Zarządzasz sekretami deweloperskimi KeePassXC Wsparcie agenta SSH, notatki lokalne, załączniki, pola niestandardowe i kontrola eksportu offline są przydatne w technicznych procesach.
Chcesz powiadomień o naruszeniach i dopracowanego autouzupełniania Menedżer haseł w chmurze Menedżery w chmurze często oferują wbudowane sprawdzanie naruszeń, lepsze autouzupełnianie na urządzeniach mobilnych i mniej ręcznej obsługi.

Lista kontrolna bezpiecznej konfiguracji KeePassXC

Pierwsza godzina z KeePassXC jest ważna. Ustaw nudne domyślne opcje przed importem haseł, bo później trudniej naprawić bałagan w sejfie.

Używaj długiego hasła głównego

Wybierz zapadające w pamięć hasło, które wpiszesz pod presją. Jeśli je zapomnisz, nie ma opcji resetu.

Zachowaj włączony Argon2id

Używaj nowoczesnych ustawień KDBX z Argon2id. Zwiększaj pamięć i iteracje tylko do poziomu, który każde urządzenie może wygodnie obsłużyć.

Twórz kopie zapasowe przed importem

Przechowuj co najmniej jedną zaszyfrowaną kopię offline i osobną kopię pliku klucza. Sprawdź, czy kopia się otwiera.

Włącz automatyczne blokowanie

Blokuj sejf, gdy ekran się blokuje, system przechodzi w uśpienie lub KeePassXC jest bezczynny. Szybko czyść schowek.

Dokumentuj odzyskiwanie

Zapisz, gdzie są sejf, kopia zapasowa, plik klucza i zapasowy klucz sprzętowy. Przechowuj tę notatkę offline.

Importuj powoli

Po imporcie z przeglądarki lub innego menedżera haseł usuń duplikaty, zaktualizuj słabe hasła i dodaj adresy URL przed włączeniem autouzupełniania.

Integracja z przeglądarką, Auto-Type i passkeys

KeePassXC może wypełniać loginy w przeglądarce przez oficjalne rozszerzenie KeePassXC-Browser dla Firefox i przeglądarek opartych na Chromium. To wygodne, ale traktuj to jak most do sejfu: paruj tylko zaufane przeglądarki, usuwaj stare parowania i oddzielaj profile przeglądarek.

Korzystaj z integracji z przeglądarką, gdy

  • Korzystasz z jednego zaufanego codziennego profilu przeglądarki i chcesz szybkiego wypełniania logowań.
  • Sprawdziłeś, że oficjalne rozszerzenie KeePassXC-Browser jest sparowane z właściwą bazą danych.
  • Chcesz obsługi passkeys i możesz przetestować odzyskiwanie konta przed przeniesieniem ważnych logowań.
  • Jesteś gotów usuwać stare parowania przeglądarek, gdy zmieniają się profile lub urządzenia.

Używaj Auto-Type lub ręcznego kopiowania, gdy

  • Logujesz się z tymczasowego, anonimowego, służbowego lub współdzielonego profilu przeglądarki.
  • Aplikacja działa poza przeglądarką, np. jako aplikacja desktopowa, konsola SSH lub panel administracyjny.
  • Wpisujesz rzadkie, cenne hasło i chcesz uniknąć szerokiego dostępu rozszerzeń przeglądarki.
  • Adres URL strony wygląda nietypowo i chcesz zweryfikować wpis przed wypełnieniem czegokolwiek.
Notatka o passkey: KeePassXC może przechowywać i używać passkeys przez oficjalne rozszerzenie przeglądarki, ale przed przeniesieniem ważnych kont przetestuj odzyskiwanie. Niektóre strony działają inaczej na różnych przeglądarkach i systemach.

Synchronizuj i twórz kopie bez utraty kontroli

Plik KDBX jest zaszyfrowany, więc przechowywanie kopii w folderze synchronizacji nie jest automatycznie ryzykowne. Zagrożenia to zwykle błędy operacyjne: słabe hasło główne, konflikty bazy, brak kopii zapasowych lub trzymanie pliku klucza obok sejfu.

Najmniejsze narażenie

Tylko lokalnie plus kopia zapasowa offline

Najlepsze, gdy korzystasz z jednego głównego urządzenia i nie potrzebujesz natychmiastowej synchronizacji mobilnej.

  • Przechowuj aktywną bazę danych na urządzeniu.
  • Kopiuj kopie zapasowe na zaszyfrowany dysk USB lub offline.
  • Przechowuj plik klucza osobno od pliku KDBX.

Dobra codzienna synchronizacja

Syncthing

Dobre, gdy chcesz synchronizację peer-to-peer między własnymi urządzeniami bez komercyjnego folderu w chmurze.

  • Synchronizuj tylko plik bazy danych, nie folder pełen wyeksportowanych sekretów.
  • Włącz wersjonowanie plików, aby można było odzyskać przypadkowo usunięte dane.
  • Unikaj edytowania sejfu na dwóch urządzeniach jednocześnie.

Wygodne, ale ostrożne

Dysk w chmurze

Dla wielu użytkowników akceptowalne, jeśli hasło główne jest silne, a kopie zapasowe niezależne od konta w chmurze.

  • Nie przechowuj pliku klucza w tym samym folderze chmury co sejf.
  • Używaj uwierzytelniania wieloskładnikowego na koncie w chmurze.
  • Przechowuj osobną kopię offline na wypadek zablokowania lub usunięcia konta.

Techniczny przepływ pracy

Git

Przydatne do historii wersji, ale tylko jeśli rozumiesz prywatne repozytoria i nigdy nie publikujesz sejfu przez pomyłkę.

  • Korzystaj z prywatnego repozytorium i podpisanych commitów, gdy to możliwe.
  • Nigdy nie dodawaj do repozytorium wyeksportowanych plików CSV ani tymczasowych notatek w postaci zwykłego tekstu.
  • Natychmiast zmieniaj ujawnione hasła, jeśli zdalne konto stanie się publiczne.

Dostęp na Android i urządzenia mobilne

KeePassXC to aplikacja desktopowa. Na Androidzie używaj utrzymanego klienta kompatybilnego z KeePass, np. KeePassDX lub KeePass2Android. Ważny jest nie sam program, lecz sposób pracy: gdzie przechowywana jest baza, jak się odblokowuje i jak szybko czyści się schowek.

F-Droid

KeePassDX

Prywatnościowy klient Android do plików KDBX. Dobry wybór, gdy preferujesz F-Droid i prosty lokalny przepływ pracy z sejfem.

Otwórz KeePassDX

Google Play

KeePass2Android

Popularny klient Android z mocną integracją plików w chmurze. Dobry, gdy synchronizacja opiera się na dostawcach dokumentów Androida.

Otwórz KeePass2Android

Komputer stacjonarny

KeePassXC

Używaj oficjalnej aplikacji desktopowej do edycji sejfu, integracji z przeglądarką, obsługi passkeys, konfiguracji agenta SSH i większych porządków.

Otwórz pobieranie KeePassXC

Czy warto dodać sprzętowy klucz bezpieczeństwa?

Klucz sprzętowy nie jest wymagany w KeePassXC. Najbardziej przydaje się do ochrony kont powiązanych z sejfem: e-mail, synchronizacja urządzeń, chmura i skrzynki odzyskiwania. Zaawansowani użytkownicy mogą też korzystać z mechanizmu challenge-response, ale muszą dokładnie dokumentować proces odzyskiwania.

Klucz bezpieczeństwa USB do ochrony sejfu haseł
Opcjonalna aktualizacja

Sprzętowy klucz bezpieczeństwa do kont odzyskiwania sejfu

Użyj klucza bezpieczeństwa FIDO2 dla kont e-mail i synchronizacji chroniących sejf haseł. Kup dwa, zarejestruj oba i przechowuj zapasowy osobno.

Zobacz klucze bezpieczeństwa na Amazon
Jako partner Amazon zarabiam na kwalifikowanych zakupach.

Błędy obniżające bezpieczeństwo KeePassXC

01

Brak przetestowanej kopii zapasowej

Kopiujesz bazę gdzieś, ale nigdy nie sprawdzasz, czy się otwiera.

Naprawa: testuj przywracanie po każdej większej zmianie konfiguracji.

02

Plik klucza przechowywany obok sejfu

Atakujący, który zdobędzie folder, ma dostęp do obu elementów.

Naprawa: przechowuj plik klucza osobno i zanotuj jego lokalizację.

03

Rozszerzenie przeglądarki wszędzie

Każdy profil przeglądarki staje się ścieżką do sejfu.

Naprawa: paruj tylko z profilami, którym naprawdę ufasz.

04

Słabe hasło główne

Szyfrowanie lokalne pomaga tylko, jeśli atak brute force jest kosztowny.

Naprawa: używaj długiego hasła i nowoczesnych ustawień KDBX.

05

Konflikty kopii synchronizacji

Dwa urządzenia edytują bazę jednocześnie, przez co później brakuje wpisów.

Naprawa: korzystaj z wersjonowania i zamykaj sejf przed zmianą urządzenia.

06

Brak notatki awaryjnej

Twoja rodzina lub przyszłe ja nie może znaleźć sejfu, kopii zapasowej ani zapasowego klucza.

Naprawa: sporządź prostą mapę odzyskiwania bez ujawniania hasła głównego.

Badania

Sprawdzone źródła

Oficjalna dokumentacja KeePassXC, notatki wydania i informacje o rozszerzeniu przeglądarki wykorzystane w tym przewodniku.

01 Oficjalna strona KeePassXC keepassxc.org 02 Pobieranie KeePassXC keepassxc.org 03 Przewodnik startowy KeePassXC keepassxc.org 04 Instrukcja użytkownika KeePassXC keepassxc.org 05 Notatki wydania KeePassXC 2.7.12 keepassxc.org 06 Repozytorium źródłowe KeePassXC github.com 07 Repozytorium rozszerzenia KeePassXC-Browser github.com

Najczęstsze pytania

Czy KeePassXC jest bezpieczniejszy niż Bitwarden lub 1Password?

Może być bezpieczniejszy pod względem lokalnej kontroli, bo sejf nie jest domyślnie powiązany z kontem dostawcy. Może być mniej bezpieczny, jeśli pomijasz kopie zapasowe, wybierasz słabe hasło główne lub potrzebujesz funkcji udostępniania i odzyskiwania, które lepiej obsługuje menedżer w chmurze.

Czy mogę przechowywać bazę KeePassXC w Dropbox, iCloud, Google Drive lub OneDrive?

Tak, jeśli hasło główne jest silne i masz niezależne kopie zapasowe. Plik KDBX jest zaszyfrowany, ale nie przechowuj pliku klucza obok niego i nie polegaj na koncie w chmurze jako jedynej kopii.

Czy KeePassXC obsługuje passkeys?

KeePassXC może przechowywać i używać passkeys przez oficjalne rozszerzenie KeePassXC-Browser. Najpierw przetestuj proces na kontach o niskim ryzyku, bo odzyskiwanie passkeys może się różnić w zależności od strony, przeglądarki i urządzenia.

Co się stanie, jeśli zgubię hasło główne?

Sejf nie może być zresetowany przez KeePassXC ani zespół wsparcia. Potrzebujesz hasła głównego oraz pliku klucza lub urządzenia challenge-response. Zachowaj plan odzyskiwania offline.

Czy istnieje oficjalna aplikacja KeePassXC na Androida?

Nie. KeePassXC to aplikacja desktopowa. Na Androidzie użyj kompatybilnego klienta KeePass, np. KeePassDX lub KeePass2Android, i otwórz tę samą bazę KDBX.

Czy powinienem używać pliku klucza z KeePassXC?

Plik klucza może pomóc, ale tylko jeśli przechowujesz go osobno i bezpiecznie tworzysz kopię zapasową. Jeśli plik klucza zginie, sejf może być nie do odzyskania; jeśli leży obok bazy, daje niewielką ochronę.

Czy KeePassXC może zastąpić menedżera haseł zespołu?

Zwykle nie dla zespołów nietechnicznych. KeePassXC jest silny w indywidualnej kontroli i małych, ostrożnych procesach, ale zarządzane udostępnianie, cofanie dostępu, audyt i odzyskiwanie są łatwiejsze w dedykowanym menedżerze zespołowym.

Kolejne kroki dla bezpieczniejszych kont

01 Prywatność konta

Poradnik anonimowej tożsamości

Oddziel konta, metody odzyskiwania, stan przeglądarki i nawyki, gdy profil nie może być powiązany z codziennym życiem.

Otwórz przewodnik 02 Prywatność sieci

Czym jest VPN?

Zrozum, kiedy VPN pomaga w bezpieczeństwie haseł, a kiedy nie chroni przed przejęciem konta.

Otwórz przewodnik 03 Ryzyko przeglądarki

Poradnik o śledzeniu przeglądarki

Dowiedz się, dlaczego silny sejf haseł nie powstrzymuje śledzenia przeglądarki ani identyfikacji urządzenia.

Otwórz przewodnik 04 Konta finansowe

Zestaw narzędzi do bezpiecznego bankowości online

Wzmocnij najważniejsze loginy dbając o higienę haseł, klucze sprzętowe i bezpieczne nawyki korzystania z urządzeń.

Otwórz przewodnik