KeePassXC 密碼管理器:開源且無綁定限制
最後更新
2026/1/29
KeePassXC 密碼管理器採用本地優先且開源設計,將所有憑證儲存在您完全掌控的離線 KDBX 保險庫中。
可在 Linux 桌面使用 KeePassXC 管理密碼,並透過 KeePassDX 或 KeePass2Android 等信賴應用於 Android 解鎖相同保險庫。
目錄
KeePassXC 為何仍是最安全的選擇
易於審核的安全性
KeePassXC 完全開源,讓您能審核程式碼,避免隱藏的遙測行為。
本地優先保險庫
您的 KDBX 保險庫保持離線,除非您主動依照需求同步。
跨平台存取
一個可攜式 KDBX 資料庫可在 Linux、Windows、macOS 與 Android 上使用。
- 預設採用 Argon2id 與現代加密演算法,確保強大加密安全。
- 支援硬體安全憑證(YubiKey、Nitrokey)用於金鑰檔或挑戰回應。
- 無訂閱或付費牆,提供純粹安全無額外銷售。
KeePassXC 推薦的硬體金鑰
一個可攜式保險庫檔案,隨處使用
您的 KeePass 資料庫為單一 .kdbx 檔案。可將 KDBX 保險庫存放於加密 USB 隨身碟、私人 Git 倉庫或自架儲存空間。
在其他裝置開啟時無需帳號,只需主密碼(及設定的金鑰檔)。
使用支援版本控制的同步工具(如 Syncthing 或 Git)避免衝突,並保留離線唯讀備份。所有解密均在本地完成,離線密碼管理器不會與第三方伺服器分享秘密。
官方應用與信賴夥伴
使用這些遵循開放 KeePass 標準的維護客戶端。
| 平台 | 套件或原始碼 | 備註 |
|---|---|---|
| Linux | 發行版倉庫、Flatpak、AppImage | 建議使用發行版套件更新;Flatpak 提供沙盒隔離。 |
| Windows | 簽名安裝程式與可攜版 | 啟用恢復時自動鎖定,Windows Hello 僅作為解鎖便利功能。 |
| Android | KeePassDX(F-Droid)或 KeePass2Android | 啟用剪貼簿清除,生物辨識僅用於本地解鎖。 |
| 瀏覽器 | KeePassXC-Browser(Firefox/Chromium) | 使用正在執行的桌面客戶端,無需雲端橋接。 |
強化保險庫設定清單
- 建立長且獨特的主密碼,並可選擇加入離線存放的金鑰檔。
- 使用高記憶體(64–128 MB)與多次迭代的 Argon2id,減緩暴力破解。
- 分組條目、加入標籤,並儲存 TOTP 秘密以離線產生驗證碼。
- 啟用閒置、系統休眠或螢幕鎖定時自動鎖定。
- 將 .kdbx 檔案與金鑰檔備份至加密且異地的位置。
推薦使用流程
Linux 與 Windows 桌面
- 僅在受信任的使用者設定中啟用 KeePassXC 瀏覽器整合。
- 透過 KeePassXC 使用 SSH 代理轉發存取 Git 或伺服器,避免在磁碟存放金鑰。
- 為基礎架構(API 令牌、資料庫登入)分專案分組儲存秘密。
Android
- 從 F-Droid 安裝以避免額外追蹤器並確保可重現的建置。
- 將資料庫保存在裝置加密儲存中,避免使用第三方雲端資料夾。
- 僅在應用程式每次啟動後輸入過主密碼,才啟用生物辨識快速解鎖。
同步與備份策略
選擇讓您掌控 KDBX 檔案的同步模式:
- Syncthing: 點對點、端對端加密,適合家庭或團隊共享。
- Git : 具簽名提交的版本歷史;避免公開遠端並定期更換憑證。
- 自架儲存: 您擁有的伺服器上的 WebDAV 或 SFTP,僅使用金鑰認證。
- 離線輪替: 定期複製至加密硬碟並異地保存,以防勒索軟體。
我不推薦的應用程式
這些服務增加使用障礙,將核心功能鎖在付費牆後,或有安全事件紀錄:
- LastPass: 多次資安漏洞,且關鍵功能鎖在專業版。
- Dashlane: 僅雲端模式,對保險庫儲存控制有限。
- 1Password: 封閉原始碼同步後端,僅限訂閱使用。
- Bitwarden: 僅雲端方案,方便但自架或 KeePassXC 擁有更佳掌控權。
常見問題
關於 KeePassXC、KDBX 檔案與安全同步的所有解答。
進階閱讀與內部資源
透過以下指南持續強化您的隱私防護: