以本地為先的密碼安全
KeePassXC 密碼管理器:安全本地保險庫指南
KeePassXC 適合不想將保險庫交給服務商的人。它將登入資訊、通行碼、筆記、TOTP 代碼及 SSH 秘密存於本地 KDBX 資料庫,僅能用主密碼解鎖。
本指南說明 KeePassXC 適用時機、安全設定方法、如何同步且不失控,以及瀏覽器整合、行動應用、備份與硬體金鑰可能出錯的地方。
實用簡短版本
當您想完全掌控時,KeePassXC 是極佳選擇。但對家庭、緊急恢復或團隊共享並非最簡便。安全設定包括:強主密碼、測試過的備份計畫、自動鎖定、謹慎瀏覽器配對及離線存放的恢復備忘。
目錄
KeePassXC 適合的情況
當您願意掌控安全流程時,KeePassXC 表現最佳。無服務商帳戶、無訂閱、無伺服器端保險庫恢復,且不強制雲端同步。這是重點,但也代表備份習慣很重要。
擁有權
本地保險庫,無帳戶需求
您的密碼資料庫是您掌控的檔案。KeePassXC 不需服務商登入、帳單帳戶或託管同步服務。
透明度
開源桌面應用程式
KeePassXC 是開源、跨平台,且相容其他 KeePass 類應用使用的 KDBX 格式。
日常使用
瀏覽器、TOTP、通行碼、SSH
桌面應用可處理瀏覽器自動填充、基於時間的一次性密碼、官方擴充套件的通行碼及 SSH 代理工作流程。
無綁定
與相容客戶端合作
KDBX 保險庫可由 Android 上持續維護的應用程式如 KeePassDX 或 KeePass2Android 開啟。
離線韌性
無網路也能使用
只要擁有檔案與主密碼,您在旅途中、斷線或受限網路下都能解鎖資料庫。
敏感工作流程
服務商足跡小
無託管保險庫服務可被傳喚、入侵、暫停或暗中更改。您的裝置安全成為信任核心。
KeePassXC 與雲端密碼管理器比較
不要僅因為聽起來較私密就選擇 KeePassXC。當權衡符合您的需求時再選擇。雲端密碼管理器對某些人更安全,因為它處理同步、分享、裝置遺失與恢復。當您重視本地控制與較小的服務商足跡時,KeePassXC 更安全。
| 需求 | 更合適 | 原因 |
|---|---|---|
| 您想要最大化本地控制 | KeePassXC | 保險庫可保持離線,同步為選項,且資料庫不綁定任何服務商帳戶。 |
| 您經常與家人分享密碼 | 雲端密碼管理器 | 分享、恢復、邀請流程及裝置啟用通常在 Bitwarden、Proton Pass、1Password 或 iCloud 鑰匙圈更順暢。 |
| 您經常在網路不穩定的環境旅行 | KeePassXC | 即使服務商、瀏覽器同步或行動連線不可用,保險庫仍可本地開啟。 |
| 您可能會忘記主密碼 | 雲端密碼管理器 | 部分雲端服務提供帳戶恢復或緊急存取。KeePassXC 無法恢復遺失的主密碼。 |
| 您管理開發者秘密 | KeePassXC | SSH 代理支援、本地筆記、附件、自訂欄位及離線匯出控制對技術工作流程有用。 |
| 您想要違規警示與優化的自動填充 | 雲端密碼管理器 | 雲端管理器通常包含整合的違規檢查、更順暢的行動自動填充及較少的手動維護。 |
KeePassXC 安全設定檢查清單
使用 KeePassXC 的第一小時很重要。匯入每個密碼前先設定基本預設,因為之後修正混亂的保險庫更困難。
使用長主密碼
選擇一組在壓力下也能輸入的易記密語。若忘記,無法重設。
保持啟用 Argon2id
使用搭配 Argon2id 的現代 KDBX 設定。記憶體與迭代次數僅提升至所有裝置仍能順利解鎖的程度。
匯入前先建立備份
至少保留一份加密離線備份及金鑰檔案的獨立副本,並測試備份能否開啟。
啟用自動鎖定
螢幕鎖定、系統休眠或 KeePassXC 閒置時鎖定保險庫,並快速清除剪貼簿。
記錄恢復流程
記錄保險庫、備份、金鑰檔案及備用硬體金鑰的位置,並將該備忘離線保存。
慢速匯入
從瀏覽器或其他密碼管理器匯入後,請先清理重複項目、更新弱密碼並新增網址,再啟用自動填充。
瀏覽器整合、自動輸入與通行碼
KeePassXC 可透過官方 KeePassXC-Browser 擴充套件為 Firefox 及 Chromium 瀏覽器填寫登入資訊。此功能方便,但應視為通往保險庫的橋樑:僅配對信任的瀏覽器,移除舊配對,並分開不同瀏覽器設定檔。
使用瀏覽器整合時
- 您使用一個可信賴的日常瀏覽器設定檔,並希望快速填寫登入資訊。
- 您已確認官方 KeePassXC-Browser 擴充套件與正確的資料庫配對。
- 您需要通行碼支援,且能在移轉重要帳戶前測試恢復。
- 您願意在設定檔或裝置變更時移除舊的瀏覽器配對。
使用自動輸入或手動複製時
- 您從臨時、匿名、工作或共用的瀏覽器設定檔登入。
- 應用程式位於瀏覽器外,如桌面應用、SSH 提示字元或管理主控台。
- 您正在輸入罕見且高價值的密碼,想避免廣泛的瀏覽器擴充套件存取。
- 頁面 URL 看起來異常,您想在填寫前確認條目。
同步與備份,掌握主控權
KDBX 檔案是加密的,因此將副本存放在同步資料夾並非一定不安全。風險通常來自操作層面:主密碼過弱、資料庫衝突、缺少備份,或將金鑰檔案與保險庫放在同一資料夾。
最低風險暴露
僅本地加離線備份
適合只用一台主要裝置且不需即時行動同步的用戶。
- 將活動資料庫保留在裝置上。
- 將備份複製到加密 USB 隨身碟或離線硬碟。
- 將金鑰檔案與 KDBX 檔案分開存放。
良好的日常同步
Syncthing
適合想在自有裝置間進行點對點同步,且不使用商業雲端資料夾的用戶。
- 僅同步資料庫檔案,不同步滿是匯出密碼的資料夾。
- 啟用檔案版本控制,以便意外刪除時能恢復。
- 避免同時在兩台裝置上編輯保險庫。
方便但需謹慎
雲端硬碟
若主密碼強且備份獨立於雲端帳戶,對多數用戶而言是可接受的方案。
- 請勿將金鑰檔案與保險庫存放於同一雲端資料夾。
- 對雲端帳戶啟用多重身份驗證。
- 保留獨立離線副本,以防帳戶被鎖定或刪除。
技術工作流程
Git
對版本歷史有用,但前提是您了解私人遠端並且不會誤發布保險庫。
- 盡可能使用私人原始碼庫與簽署提交。
- 切勿提交匯出的 CSV 檔案或臨時純文字筆記。
- 若遠端密碼外洩,請立即更換。
Android 與行動裝置存取
KeePassXC 是桌面應用程式。Android 上請使用持續維護的 KeePass 相容客戶端,如 KeePassDX 或 KeePass2Android。重點不在應用名稱,而是整體流程:資料庫存放位置、解鎖方式及剪貼簿清除速度。
F-Droid
KeePassDX
一款注重隱私的 Android KDBX 檔案客戶端,適合偏好 F-Droid 及純淨本地保險庫流程的用戶。
開啟 KeePassDXGoogle Play
KeePass2Android
廣泛使用的 Android 客戶端,具備強大的雲端檔案整合,適合已使用 Android 文件提供者同步流程的用戶。
開啟 KeePass2Android桌面端
KeePassXC
使用官方桌面應用進行保險庫編輯、瀏覽器整合、通行碼流程、SSH 代理設定及大型清理作業。
開啟 KeePassXC 下載頁面您應該新增硬體安全金鑰嗎?
KeePassXC 不需要硬體安全金鑰。硬體金鑰主要用於保護與您的保險庫相關的帳戶,如電子郵件、裝置同步、雲端儲存和恢復信箱。進階用戶也可嘗試挑戰回應設定,但必須謹慎記錄恢復流程。
降低 KeePassXC 安全性的錯誤
01
無測試備份
您將資料庫複製到某處,但從未確認能否開啟。
修正:每次重大設定變更後測試還原。02
金鑰檔案存放於保險庫旁
攻擊者若取得該資料夾,將同時獲得兩個關鍵資料。
修正:將金鑰檔案獨立存放並記錄位置。03
瀏覽器擴充套件普及
每個瀏覽器設定檔都成為通往保險庫的路徑。
修正:僅配對您真正信任的設定檔。04
主密碼過弱
本地加密僅在暴力破解成本高昂時有效。
修正:使用長密語與現代 KDBX 設定。05
同步衝突副本
兩台裝置同時編輯資料庫,導致後續遺漏條目。
修正:使用版本控制並在切換裝置前關閉保險庫。06
無緊急備忘
您的家人或未來的自己找不到保險庫、備份或備用金鑰。
修正:撰寫不暴露主密碼的純文字恢復地圖。研究
已檢查來源
本指南使用官方 KeePassXC 文件、版本說明及瀏覽器擴充資訊。
KeePassXC 密碼管理器常見問題
KeePassXC 比 Bitwarden 或 1Password 更安全嗎?
因為保險庫預設不存於服務商帳戶,KeePassXC 在本地控制上較安全。但若忽略備份、主密碼過弱,或需要雲端密碼管理器較佳的分享與恢復功能,則安全性較低。
我可以將 KeePassXC 資料庫存放在 Dropbox、iCloud、Google Drive 或 OneDrive 嗎?
是的,前提是主密碼強且您保有獨立備份。KDBX 檔案已加密,但請勿將金鑰檔案與之放在一起,也不要只依賴雲端帳戶作為唯一備份。
KeePassXC 支援通行碼嗎?
KeePassXC 可透過官方 KeePassXC-Browser 擴充套件儲存並使用通行碼。請先用低風險帳戶測試流程,因通行碼恢復因網站、瀏覽器及裝置而異。
如果我忘記主密碼會怎樣?
保險庫無法由 KeePassXC 或客服團隊重設。您需要主密碼及任何設定的金鑰檔案或挑戰回應裝置。請保留離線恢復方案。
有官方 KeePassXC Android 應用程式嗎?
沒有。KeePassXC 是桌面應用程式。Android 上請使用相容的 KeePass 客戶端,如 KeePassDX 或 KeePass2Android,並開啟相同的 KDBX 資料庫。
我應該在 KeePassXC 使用金鑰檔案嗎?
金鑰檔案有助於安全,但必須獨立存放並妥善備份。若金鑰檔案遺失,保險庫可能無法恢復;若與資料庫放在一起,保護效果有限。
KeePassXC 能取代團隊密碼管理器嗎?
通常不適合非技術團隊。KeePassXC 適合個人掌控與小型謹慎流程,但專用團隊密碼管理器在管理分享、撤銷、稽核與恢復上更簡便。