KeePassXC 密码管理器:开源且无锁定
最后更新
2026/1/29
KeePassXC 是一款本地优先的开源密码管理器,所有凭证均存储在你完全控制的离线 KDBX 保管库中。
可在桌面上作为 Linux 密码管理器使用,然后通过 KeePassDX 或 KeePass2Android 等可信客户端在 Android 上解锁同一保管库。
目录
KeePassXC 始终是最安全的选择原因
便于审计的安全性
KeePassXC 完全开源,代码可审计,无隐藏遥测。
本地优先保管库
你的 KDBX 保管库默认离线,只有在你主动同步时才联网。
跨平台访问
一个便携的 KDBX 数据库支持 Linux、Windows、macOS 和 Android。
- 默认采用 Argon2id 和现代加密算法保障安全。
- 支持硬件令牌(YubiKey、Nitrokey)用于密钥文件或质询响应。
- 无订阅或付费墙,安全无额外收费。
KeePassXC 推荐的硬件密钥
一个便携保管库文件,随处可用
你的 KeePass 数据库是一个 .kdbx 文件。可存储在加密 USB 盘、私有 Git 仓库或自托管存储中。
在其他设备打开无需账户,只需主密码(及配置的密钥文件)。
使用支持版本控制的同步(如 Syncthing 或 Git)避免冲突,保持只读离线备份。所有解密均在本地完成,离线密码管理器不会向第三方服务器泄露信息。
官方应用及可信客户端
使用这些遵循开放 KeePass 标准的维护客户端。
| 平台 | 软件包或源码 | 备注 |
|---|---|---|
| Linux | 发行版仓库、Flatpak、AppImage | 推荐使用发行版包更新;Flatpak 提供沙箱隔离。 |
| Windows | 签名安装程序,便携版 | 启用恢复时自动锁定,仅将 Windows Hello 用作解锁便捷方式。 |
| Android | KeePassDX(F-Droid)或 KeePass2Android | 启用剪贴板清理,生物识别仅用于本地解锁。 |
| 浏览器 | KeePassXC-Browser(Firefox/Chromium) | 使用正在运行的桌面客户端,无需云桥接。 |
强化保管库设置清单
- 创建长且唯一的主密码,可选添加离线存储的密钥文件。
- 使用高内存(64–128 MB)和多次迭代的 Argon2id,减缓暴力破解。
- 分组条目,添加标签,存储 TOTP 秘钥,支持离线生成验证码。
- 启用闲置、系统休眠或屏幕锁定时自动锁定。
- 将 .kdbx 文件和密钥文件备份到加密的异地存储。
推荐使用流程
Linux 和 Windows 桌面
- 仅在受信任配置文件中启用浏览器集成运行 KeePassXC。
- 通过 KeePassXC 使用 SSH 代理转发访问 Git 或服务器,避免密钥存储在磁盘。
- 为基础设施(API 令牌、数据库登录)按项目分组存储秘密。
Android
- 从 F-Droid 安装,避免额外追踪,确保可复现构建。
- 将数据库保存在设备加密存储中,避免使用第三方云文件夹。
- 仅在应用每次会话已请求主密码后,启用生物识别快速解锁。
同步与备份策略
选择让你掌控 KDBX 文件的同步模式:
- Syncthing: 点对点端到端加密,适合家庭或团队共享。
- Git : 带签名提交的版本历史;避免公开远程仓库并定期更换凭证。
- 自托管存储: 在你拥有的服务器上使用 WebDAV 或 SFTP,仅用密钥认证。
- 离线轮换: 定期复制到异地加密硬盘,以防勒索软件恢复。
我不推荐的应用
这些服务增加使用障碍,核心功能设付费墙,或有安全事件记录:
- LastPass: 多次泄露,关键功能仅限专业版。
- Dashlane: 仅云端模式,无法完全控制保管库存储。
- 1Password: 闭源同步后端,仅限订阅访问。
- Bitwarden: 仅云端方案,方便但自托管或 KeePassXC 拥有更好掌控。
常见问题解答
关于 KeePassXC、KDBX 文件及安全同步的所有解答。
更多阅读与内部资源
通过以下指南持续强化你的隐私保护: