本地优先的密码安全
KeePassXC 密码管理器:安全本地密码库指南
KeePassXC 适合希望密码安全且不将密码库托管给服务商的人。它将登录信息、通行密钥、笔记、TOTP 代码和 SSH 密钥存储在本地 KDBX 数据库中,仅用主密码解锁。
本指南说明 KeePassXC 何时适用,如何安全设置,如何同步且不失控,以及浏览器集成、移动应用、备份和硬件密钥可能出错的地方。
有用的简短版本
当你想完全掌控时,KeePassXC 非常出色。它不适合家庭、紧急恢复或团队共享。安全设置简单:一个强主密码、一套测试过的备份方案、自动锁定、谨慎的浏览器配对和离线存储的恢复说明。
目录
KeePassXC 适合的情况
当你愿意掌控安全流程时,KeePassXC 表现最佳。无服务商账户、无订阅、无服务器端密码库恢复、无强制云同步。这是重点,但也意味着备份流程至关重要。
所有权
本地密码库,无账户
你的密码数据库是你控制的文件。KeePassXC 不需要服务商登录、计费账户或托管同步服务。
透明度
开源桌面应用
KeePassXC 是开源跨平台应用,兼容其他 KeePass 风格应用使用的 KDBX 格式。
日常使用
浏览器、TOTP、通行密钥、SSH
桌面应用支持浏览器自动填充、基于时间的一次性代码、通过官方扩展使用通行密钥及 SSH 代理工作流程。
无锁定
兼容客户端支持
KDBX 密码库可通过 Android 上维护良好的应用如 KeePassDX 或 KeePass2Android 打开。
离线恢复能力
无网络也能使用
只要拥有文件和主密码,即使旅行、断网或网络受限,也能解锁数据库。
敏感工作流程
服务商影响小
无托管密码库服务可被传唤、入侵、暂停或悄然更改。你的设备安全成为信任核心。
KeePassXC 与云端密码管理器对比
不要仅因听起来更私密就选择 KeePassXC。选择时应考虑权衡是否适合你的生活。云密码管理器对某些人更安全,因为它处理同步、共享、设备丢失和恢复。若更重视本地控制和较小的服务商影响,KeePassXC 更安全。
| 需求 | 更合适 | 原因 |
|---|---|---|
| 你希望最大化本地控制 | KeePassXC | 密码库可保持离线,同步为可选,且无服务商账户绑定数据库。 |
| 你经常与家人共享密码 | 云端密码管理器 | 共享、恢复、邀请流程和设备入职通常在 Bitwarden、Proton Pass、1Password 或 iCloud 钥匙串中更顺畅。 |
| 你经常在网络不稳定的环境旅行 | KeePassXC | 即使服务商、浏览器同步或移动网络不可用,密码库仍可本地打开。 |
| 你可能会忘记主密码 | 云端密码管理器 | 部分云服务提供账户恢复或紧急访问。KeePassXC 无法恢复丢失的主密码。 |
| 你管理开发者密钥 | KeePassXC | SSH 代理支持、本地笔记、附件、自定义字段和离线导出控制对技术工作流程有用。 |
| 你需要泄露警报和完善的自动填充 | 云端密码管理器 | 云端管理器通常集成泄露检测、更流畅的移动端自动填充和更少的手动维护。 |
KeePassXC 安全设置清单
使用 KeePassXC 的第一个小时很关键。导入密码前先设置好默认选项,因为后期修复混乱的密码库更难。
使用长主密码
选择一个在压力下也能输入的易记密码短语。忘记后无法重置。
保持启用 Argon2id
使用带 Argon2id 的现代 KDBX 设置。内存和迭代次数只提升到所有设备仍能顺利解锁的程度。
导入前先创建备份
至少保留一个加密的离线备份和密钥文件的独立副本,测试备份能否打开。
开启自动锁定
屏幕锁定、系统休眠或 KeePassXC 空闲时锁定密码库,并快速清理剪贴板。
记录恢复方案
记录密码库、备份、密钥文件和备用硬件密钥的位置,离线保存该记录。
慢速导入
从浏览器或其他密码管理器导入后,清理重复项,更新弱密码,添加网址,再启用自动填充。
浏览器集成、自动输入与通行密钥
KeePassXC 可通过官方 KeePassXC-Browser 扩展为 Firefox 和基于 Chromium 的浏览器填充登录信息。方便但应视为通往密码库的桥梁:仅配对信任的浏览器,移除旧配对,保持不同浏览器配置文件分离。
使用浏览器集成时
- 你使用一个可信赖的日常浏览器配置文件,且希望快速填充登录信息。
- 你已确认官方 KeePassXC-Browser 扩展与正确的数据库配对。
- 你需要通行密钥支持,并能在迁移重要登录前测试账户恢复。
- 你愿意在配置文件或设备更换时移除旧的浏览器配对。
使用自动输入或手动复制时
- 你从临时、匿名、工作或共享的浏览器配置文件登录。
- 应用运行于浏览器外,如桌面应用、SSH 命令行或管理控制台。
- 你正在输入罕见且高价值的密码,想避免浏览器扩展的广泛访问。
- 页面 URL 异常,填充前需验证条目。
同步和备份,保持控制权
KDBX 文件是加密的,因此将副本存储在同步文件夹中并非自动不安全。风险通常来自操作层面:主密码弱、数据库冲突、缺少备份或密钥文件与密码库放在一起。
最低暴露风险
仅本地加离线备份
适合只用一台主设备且不需要即时移动同步的用户。
- 将活动数据库保存在设备上。
- 将备份复制到加密的 USB 盘或离线硬盘。
- 将密钥文件与 KDBX 文件分开存储。
良好的日常同步
Syncthing
适合希望在自有设备间点对点同步且不使用商业云盘的用户。
- 仅同步数据库文件,不同步包含导出秘密的文件夹。
- 启用文件版本控制,防止误删无法恢复。
- 避免同时在两台设备上编辑密码库。
方便但需谨慎
云盘
如果主密码强且备份独立于云账户,许多用户认为这是可接受的方案。
- 不要将密钥文件存储在与密码库相同的云文件夹中。
- 云账户启用多因素认证。
- 保留独立的离线副本,以防账户被锁定或删除。
技术工作流程
Git
对版本历史有用,但前提是理解私有远程且绝不误发布密码库。
- 尽可能使用私有仓库和签名提交。
- 切勿提交导出的 CSV 文件或临时明文笔记。
- 远程密码泄露后立即更换暴露密码。
Android 与移动端访问
KeePassXC 是桌面应用。Android 上使用维护良好的兼容 KeePass 客户端,如 KeePassDX 或 KeePass2Android。关键不在于应用名称,而是相关流程:数据库存储位置、解锁方式及剪贴板清理速度。
F-Droid
KeePassDX
一款注重隐私的 Android KDBX 文件客户端,适合偏好 F-Droid 和纯本地密码库流程的用户。
打开 KeePassDXGoogle Play
KeePass2Android
一款广泛使用的 Android 客户端,具备强大的云文件集成,适合已使用 Android 文档提供者同步流程的用户。
打开 KeePass2Android桌面端
KeePassXC
使用官方桌面应用进行密码库编辑、浏览器集成、通行密钥流程、SSH 代理设置及大规模清理。
打开 KeePassXC 下载页你应该添加硬件安全密钥吗?
KeePassXC 不需要硬件密钥。硬件密钥主要用于保护与密码库相关的账户,如邮箱、设备同步、云存储和恢复邮箱。高级用户也可以尝试挑战-响应设置,但必须仔细记录恢复流程。
降低 KeePassXC 安全性的错误
01
无测试备份
你复制了数据库,但从未验证能否打开。
解决方案:每次重大设置更改后测试恢复。02
密钥文件存储在密码库旁
攻击者若获得文件夹,即可同时获取两部分内容。
解决方案:单独存储密钥文件并记录存放位置。03
浏览器扩展全平台
每个浏览器配置文件都成为访问密码库的路径。
解决方案:仅配对你真正信任的配置文件。04
弱主密码
本地加密仅在暴力破解成本高时有效。
解决方案:使用长密码短语和现代 KDBX 设置。05
冲突的同步副本
两台设备同时编辑数据库,导致后续遗漏条目。
解决方案:使用版本控制,切换设备前关闭密码库。06
无紧急说明
你的家人或未来的自己找不到密码库、备份或备用密钥。
解决方案:编写简单的恢复地图,避免暴露主密码。研究
参考来源
本指南使用官方 KeePassXC 文档、版本说明和浏览器扩展信息。
常见问题
KeePassXC 比 Bitwarden 或 1Password 更安全吗?
本地控制更安全,因为密码库默认不存储在服务商账户中。若忽略备份、使用弱主密码,或需要云密码管理器更好支持的共享和恢复功能,则安全性降低。
我可以将 KeePassXC 数据库存储在 Dropbox、iCloud、Google Drive 或 OneDrive 吗?
是的,前提是主密码强且备份独立。KDBX 文件已加密,但不要将密钥文件与其放在一起,也不要仅依赖云账户作为唯一备份。
KeePassXC 支持通行密钥吗?
KeePassXC 可通过官方 KeePassXC-Browser 扩展存储和使用通行密钥。先用低风险账户测试流程,因为通行密钥恢复因网站、浏览器和设备而异。
如果我忘记主密码怎么办?
密码库无法由 KeePassXC 或支持团队重置。你需要主密码及任何配置的密钥文件或挑战-响应设备。请保留离线恢复方案。
有官方 KeePassXC 安卓应用吗?
不。KeePassXC 是桌面应用。Android 上使用兼容的 KeePass 客户端,如 KeePassDX 或 KeePass2Android,打开相同的 KDBX 数据库。
我应该为 KeePassXC 使用密钥文件吗?
密钥文件有帮助,但前提是单独存储并安全备份。若密钥文件丢失,密码库可能无法恢复;若与数据库放在一起,保护作用有限。
KeePassXC 能替代团队密码管理器吗?
通常不适合非技术团队。KeePassXC 适合个人控制和小规模谨慎流程,但专用团队密码管理器更便于管理共享、撤销、审计和恢复。