Wednesday, October 22, 2014

[How To] KeePass Password Safe:提供加密保護的帳號密碼管理員

現在大多數人都擁有相當多的帳號,假如這些帳號都共用相同的密碼,會造成資安上的風險。只要有其中一個帳號被盜,其他帳號也會因此不保,所以最好每個帳號都對應著不同的密碼。今天介紹的 KeePass Password Safe除了用加密的方式來儲存帳號密碼以外,也可以按照使用者設定的條件來隨機產生高強度的密碼,並在需要的時候自動填入帳號密碼。

基本資訊

使用說明

KeePass Password Safe除了安裝版之外,還有可攜版(Portable)可供選擇,個人推薦使用者下載可攜版,因為如果裝了安裝版,之後改用可攜版時若沒有砍除安裝版的設定,可攜版還是只會去讀取安裝版的設定。

第一次啟動KeePass Password Safe會跳出詢問是否啟用自動版本升級的視窗,這裡務必要選擇啟用。

切換語言

KeePass Password Safe僅內建英文語系,因此如果要將介面轉換成正體中文,首先必須要至此連結下載語系檔。下載好之後丟到KeePass Password Safe主程式所在的資料夾中。

接著打開主程式,工作列→View→Change Language...。這時候就會看到選項中多了Traditional Chinese的選項。

確定之後會跳出一個是否重新啟動的視窗,重新啟動完畢之後就會將介面更新成正體中文了。

創建新資料庫

首先打開 KeePass Password Safe 的主視窗:檔案→開新檔案。

接著會詢問使用者作為資料庫的Kdbx檔要儲存在何處

在確定儲存位置和檔名之後會跳出一個建立複合式金鑰的視窗,KeePass Password Safe目前提供主密碼、鑰匙檔案、Windows帳號等三種方式來加密資料庫。個人建議使用主密碼和鑰匙檔案這兩種方式來進行加密,如果使用Windows帳號加密就只能在同一台電腦的同一個帳號底下開啟。假如原本的Windows帳號被刪除了,就算是在同一台電腦建立一個相同帳號名稱的Windows帳戶也將無法開啟資料庫。

輸入好主密碼並確認密碼強度足夠之後就可以開始建立鑰匙檔案

同樣KeePass Password Safe會詢問使用者keyfile要儲存在何處

接下來要蒐集亂數,先在右欄的輸入框中亂按鍵盤,然後再用滑鼠在左欄的圖片隨意移動,直到底下產生的位元數達到256位元為止。

在確認主密碼與鑰匙檔案都建立好之後,就可以按下確定鍵進入下一個階段。

進入步驟二之後首先要指定一個資料庫名稱,名稱可以與之前的檔名不同。

安全這個分頁要注意Key Transformation,這裡建議點一下"延遲一秒的次數"就好,如果點太多次會增加載入與儲存資料庫的時間。

之後就直接跳到進階這個分頁,這裡可以設定資料庫的金鑰建議或強制更換的時間長度,譬如三十天或六十天就提醒使用者更換主密碼和鑰匙檔案,雖然有點麻煩,但在乎安全性的使用者建議勾選這兩個項目。

產生一個高強度的密碼

選擇想要儲存帳號密碼的根目錄或子目錄,然後在右側欄點右鍵,選擇新增。

出現新增項目的視窗之後,先把標題和登入名稱都輸入好,完成之後點選確認密碼那欄右邊的鑰匙圖案。

點下去會跳出一個選單,這裡我們選擇"開啟密碼產生器"這項

產生器預設只會勾選大小寫字母、數字這三項,我這裡建議使用者多加勾選底線,如果是Google的密碼則建議在底下那欄"也包含這些字元"中加入半形驚嘆號"!"。這裡要注意一點,那就是因為每個網站的密碼規則都不太一樣,有些網站密碼不能超過16個字元,有些網站只允許英數且不區分大小寫,所以在產生新密碼的時候要留意密碼的建立規則。

剛才的視窗底下還有一個選項是"蒐集額外亂數",如果勾選這個選項會跳出和加密資料庫時一樣的搜尋亂數視窗,因為太耗時所以個人習慣並不勾選這項。

設定好條件之後可以到預覽分頁看已先預覽一下密碼可能的樣子

設定自動輸入

KeePass Password Safe的功能不只是儲存密碼和產生新密碼而已,他還可以替使用者填入帳號密碼,省去使用者輸入密碼的功夫。這裡我們以登入Yahoo帳號為例。

對要自動登入的該組帳號密碼點選右鍵,選擇編輯/檢視。

選擇自動登入這個分頁,然後選擇覆蓋預設格式,KeePass Password Safe預設用{Enter}結尾,但現在越來越多網站會同時要求使用者在輸入完帳號密碼之後再輸入驗證碼,因此使用{Enter}結尾會造成很多的不便,這裡建議使用者將結尾的{Enter}改成{Tab},唯一的缺點就是使用者要自己按登入很不方便。

在剛才的視窗中點選"新增"這個按鈕之後就會出現編輯自動輸入項目的視窗,在我們這個例子目標視窗要選擇:登入─Yahoo奇摩。

選擇好之後,目標視窗"登入-Yahoo奇摩"就會成為自動填入帳號密碼的視窗。要使用這個功能時先用滑鼠點選輸入帳號的欄位,再按下Ctrl+alt+a(預設),接下來KeePass Password Safe就會自動填入帳號密碼。

最後再介紹KeePass Password Safe一個很重要的功能,那就是雙通道自動輸入混淆。這個功能是針對鍵盤側錄而設計的。舉例來說,假如我有一組密碼叫做abcdefg,在開啟雙通道自動輸入混淆之後,雖然伺服器收到的密碼實際上依然是abcdefg,但是鍵盤側錄的結果卻會是degfcba。

軟體設定

接下來的部分是在工作列→工具→選項進行設定。

最先看到的是安全這個分頁,我修改的選項有兩個:

  • 在Keepass閒置多久後鎖定:10秒
  • 剪貼簿自動清除時間:10秒

然後底下要額外勾選的選項有:

  • 在主視窗最小化時鎖定
  • 在鎖定電腦時或切換使用者時鎖定
  • 在電腦進入待命/睡眠狀態前鎖定
  • 在遠端控制模式變更時鎖定
  • 在安全桌面輸入主鑰匙 (這個選項可以避免主密碼遭到鍵盤側錄)

原則這個分頁則是可以限制keepass的行為,譬如說取消勾選複製,那就不能從Keepass中複製任何資訊;又或者取消勾選直接顯示密碼,keepass就不會將密碼顯示為明碼。

介面這個分頁我有額外勾選的選項為:

  • 關閉按鈕[X]將主視窗最小化,而不結束程式。
  • 最小化後不在工具列顯示
  • 資料庫沒有變更時,讓「儲存」指令失效(變灰色)

整合這個分頁則是可以修改剛才介紹過的自動輸入的快捷鍵還有是否在開機時自動啟動Keepass

最後進階這個分頁我額外勾選的選項如下:

  • 啟動時最小化並鎖定
  • 在關閉/鎖定時自動儲存資料庫
其他設定

Q:如何變更主密碼與鑰匙檔案?

A:工具列→檔案→變更資料庫金鑰。

Q:如何讓Keepass最上層顯示?

A:工具列→檢視→最上層顯示。

Q:要如何像上圖那樣在右側顯示該組帳號密碼的相關資訊?

A:工具列→檢視→視窗配置→左右。另外建議到工具列→檢視→設定欄位,將主視窗顯示的欄位縮減為標題、登入名稱、密碼等三項,其餘取消勾選。

Q:可攜版要如何更新版本?

A:只要將舊版主程式資料夾中的KeePass.config.xml複製到新版的主程式資料夾中即可。

本著作依據Creative Commons 姓名標示-非商業性-相同方式分享授權條款釋出

內容如有錯誤 煩請不吝指教

1 comment :

said...

最近因為想要在跨裝置之間使用密碼管理工具,所以把目標放在 KPS 上,只是我覺得他跟 lastpass 對比中不足的當屬用原則來限制事件,而不是像 lastpass 一樣可以透過重新輸入主密碼的方式來限制事件。