-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathKeePassXC.html
403 lines (399 loc) · 25.2 KB
/
KeePassXC.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
<!DOCTYPE html>
<html lang="zh-Hant">
<head>
<meta charset="UTF-8" />
<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
<link rel="shortcut icon" href="./picture/icon_purple_purple.png" />
<link rel="stylesheet" href="./style/otherPage.css" />
<title>數位防禦手冊</title>
</head>
<body>
<section class="backImage">
<a href="https://ocf.tw/"
><img class="logo" src="./picture/icon_purple_purple.png" alt=""
/></a>
<div class="typewriter">
<h1>一次保管所有的密碼:密碼管理器</h1>
</div>
</section>
<main>
<section class="start">
<section class="left">
<div class="top_tittle">
<a href="./index.html" style="width: fit-content">
<div class="button icon" role="button">
<img src="./img/icon_home_white.svg" alt="" />
</div>
</a>
<h2 id="案例_KeePassXC">案例</h2>
</div>
<hr />
<ul class="left">
<font size="4">小明在了解瀏覽器重要性和重新檢視自己的上網行為後,發現他的資安問題還是沒解決,隔壁的技術人員看了看,指著捲軸的第二頁,告知是因為他的「密碼被偷了」!你知道在個案故事裡,小明的哪些風險是因為密碼管理不當而造成的嗎?想好後,再往下對答案喔!</font><br>
<font size="4">答案:</font><br>
<ul>
<li>
小明用同樣的帳號與密碼申請各式各樣的服務,這代表只要任何一處外洩他的資訊,其他帳號的安全性也極有可能被攻破。
</li>
<li>
在〈風險評估〉章節,組織 A 發生員工怕忘記密碼,用便利貼寫下帳號密碼貼在桌上的狀況。
</li>
<li>
小明讓瀏覽器記憶自己的帳號密碼,把自己的密碼交給瀏覽器保管,如果瀏覽器外洩他的帳密,他的資料也會跟著曝光。
</li>
</ul>
<h2 id="概論_KeePassXC">概論</h2>
<hr />
<p>
又忘記密碼了?在社交平台、購物網站、遊戲使用同一個密碼?有重要資料放在不同雲端硬碟?在數位時代,密碼如同鑰匙,保障你的社交帳號、購物紀錄、遊戲資料, 它因此成為駭客覬覦目標,因為只要取得密碼,就能冒用身分、盜刷信用卡、竊取線上遊戲內的虛擬寶物,對受害者造成各種損害。
</p>
<p>
更進一步看,對捍衛人權的公民團體而言,電子郵件信箱、會議文件、捐款者資料,皆是組織的重要資產,如果帳號密碼為駭客所知,恐怕不只組織員工的個人生活遭殃,更有可能使組織名譽受損、重要的行動資訊洩露,甚至組織員工或合作對象被極權國家鎖定,有生命安全之虞。
</p>
<h2 id="密碼紀錄方式有哪些?_KeePassXC">密碼紀錄方式有哪些?</h2>
<hr />
<p>
你仍用紙本記錄密碼,壓在抽屜中,或用便條紙將帳密貼在電腦上嗎?紙本不失為記錄密碼的辦法,然而紙本容易暴露資訊,也容易遭竊、遺失,許多人開始改用網路瀏覽器自動記錄所有密碼 。但前面也提到用網路瀏覽器記錄帳密會產生的疑慮,那麼,除了紙本和瀏覽器,還有其他更好的方式嗎?
</p>
<p>
目前常見的密碼記錄方式包括:紙本紀錄、瀏覽器自動儲存、密碼管理器、Security token 等,下表介紹其優缺點:
</p>
<img src="./picture/password_manager.png" alt="" />
<p>
使用密碼管理器是一項重要、卻常遭輕忽的基礎工作。除了 KeePassXC 與 Bitwarden 之外,市面上還有其他開源、商業的密碼管理器,可依照自己的使用習慣來做選擇,Privacy Guides 網站所挑選出的幾款密碼管理器,亦可作為挑選時的參考。
</p>
<p>
如果你希望在主要密碼之外再加一道保護措施,確保即使整台電腦被盜走,對手也無法開啟密碼資料庫,那麼可以考慮使用 YubiKey 這樣的物理保護措施當作第二層鎖(也就是「二階段驗證」的概念),它如同實體鑰匙,外觀像 USB 隨身碟,只能在實體插入、手動接上電腦時解鎖打開 KeePassXC 密碼庫。但是,使用者須負擔購買此裝置的費用,且若裝置遺失,就沒有任何機會可打開密碼庫了。
</p>
<p>
整體而言,我們推薦「一加一大於二」的作法,密碼管理器搭配亂數密碼作為主要工具,並以 Security token 實體金鑰做二階段認證為輔助,更完善地保護密碼。
</p>
<h2 id="密碼管理器的原理是什麼?_KeePassXC">密碼管理器的原理是什麼?</h2>
<hr />
<p>
人的記憶力有限,對於複雜的密碼更有限。如果你的密碼很多,也許你曾考慮將所有密碼都寫在同一張紙上,鎖進櫃子裡,但因為使用上很不方便,而且要是紙張遺失,後果不堪設想,因此作罷。
</p>
<p>
密碼管理器可說是為此而生,將複雜的思考與記憶工作交給軟體,「人」只要記住一組最關鍵的主要密碼(也可以再加上雙重驗證),就可以完成儲存、記憶眾多密碼的艱巨任務。
</p>
<img src="./picture/key.svg" alt="" />
<p>
圖上: 人腦記住所有密碼
</p>
<img src="./picture/key2.svg" alt="" />
<p>
圖下: 由密碼管理器管理密碼
</p>
<p>
具體而言,密碼管理器可以協助你從圖左一個大腦記憶不同帳密的情形,改善到僅須記得管理器入口密碼,再由管理器告訴你哪些帳號分別對應哪些密碼。每當你要輸入、登入時,只要五個步驟:
</p>
<ol class="left">
<li>
打開管理器並輸入密碼,解鎖資料庫。
</li>
<li>
點選你要登入的帳號。
</li>
<li>
複製密碼。
</li>
<li>
在欲登入的頁面貼上密碼。
</li>
<li>
關閉管理器。
</li>
</ol>
<p>
你只須在第一個步驟動腦解鎖,不必費心從記憶深處召喚複雜的密碼。 在本手冊撰寫過程中,我們多次與資安專家及數位科技愛好者討論,最終大家認為最好上手、最推薦的,是兩套以開源技術為基底的密碼管理器:KeePassXC 與 Bitwarden。以下將介紹這兩個好用的密碼管理工具:
</p>
<h3 id="KeePassXC_KeePassXC">KeePassXC</h3>
<p>
KeePassXC 是開放原始碼軟體 KeePass 家族的一員,它的程式碼透明、為任何人所知且可供檢驗,由網路社群的志願工程師集體開發與維護,降低了它隱藏惡意功能以竊取資料的可能性。
</p>
<p>
與市面上商業密碼管理器不同的是,KeePassXC 不僅免費提供所有人使用,保護功能更不會因營利考量而打折,其密碼儲存與管理的位置並非在商業公司經營的伺服器裡,而是在你所擁有的電腦裝置中,大大降低潛在的密碼洩露、或是因網路斷線而無法同步下載使用的風險。
</p>
<p>
KeePassXC 功能多樣,可跨裝置在手機、平板共用,網路上有相關教學,例如:<a href="https://ithelp.ithome.com.tw/articles/10226300">開源密碼管理軟體:KeePass/</a> 或 <a href="https://www.playpcesor.com/2020/07/keepassxc.html">KeePassXC 免費密碼管理軟體圖解教學,信用卡、瀏覽器、手機都能快速輸入</a> ,於此不再贅述。不過,跨裝置使用意謂你要四處搬遷密碼資料庫,甚至將資料庫上傳到雲端硬碟,如果擔心搬遷過程遺失、出現無法預料的問題,或是存放密碼資料庫的網路空間遭竊,請慎選跨平台的功能。
</p>
<p>
想知道如何第一次安裝 KeePassXC 就上手嗎? 請見下方附錄:KeePassXC 使用方式〉。
</p>
<h3 id="Bitwarden_KeePassXC">Bitwarden</h3>
<p>
Bitwarden 是一款自由且開源的密碼管理服務,它的程式碼公開且可供檢驗,提供多種跨平台應用程式,包含網頁與命令列介面、桌面應用、瀏覽器擴充套件、行動裝置應用程式。Bitwarden 有提供雲端代管服務,如有資安考量或資料保存規範,亦可自己架設密碼儲存伺服器,支援自行部署解決方案,自己管理密碼又可保有不同裝置同步密碼的便利性。
</p>
<p>
Bitwarden 主要分為「Personal」跟「Business」兩個方案。個人方案內又區分為「Free」、「Premium」和「Families」三種方案,如果需要讓多人存取相同密碼庫,必須選擇「Families」才有多用戶功能,單人使用選「Free」即可。免費、付費在功能上差異不大,主要差別為一些進階功能,對一般用戶而言,免費方案其實足以勝任大部分工作,包括無限制的密碼儲存數量、在所有裝置同步密碼、密碼產生器等等。
</p>
<p>
KeePassXC 跟 Bitwarden 在使用上與其他密碼管理器相同,卻更加安全。它可以幫助你輕鬆保管多組帳號密碼,或使用亂數自動產生更難破解的密碼,讓你再也無須為創造新密碼想破頭。
</p>
<h2 id="小撇步_KeePassXC">小撇步</h2>
<hr />
<ol>
<li>
使用獨立運作的密碼管理器,而非讓瀏覽器記憶你的密碼
</li>
<p>
瀏覽器本身承載了很多使用者的網路瀏覽紀錄、使用習慣,已經是相當容易被駭客盯上的目標,因此,建議密碼只交給獨立運作的密碼管理器,避免與瀏覽器有直接關聯。如同將不同功能事務交由不同瀏覽器處理的分隔原則,減少雞蛋集中在同一個籃子裡的風險,密碼只交給獨立運作的密碼管理器雖然沒那麼便利,但是密碼管理器大多已提供直接複製帳號名稱、密碼的功能,仍可省下使用者輸入帳密的時間,且密碼管理器還可以在市面上絕大多數的電腦作業系統 Windows、蘋果作業系統 MacOS,或開源作業系統 Linux 跨平台使用,甚至也適用 Android 、 iOS 手機或平板,協助你做到跨裝置的密碼管理。
</p>
<li>
使用不同帳號及密碼,更妥善保護重要資訊
</li>
<p>
大多數的人會在不同的網路服務、帳號使用同樣或相似的密碼,以確保自己不會忘記。然而,使用相同密碼,意謂一旦某一個網路服務商被竊取資料,惡意人士可以僅靠取得其中一次外洩事件中的密碼,就盜取你所有不同服務的帳號。例如,檢測個資是否遭外洩的線上服務 Have I Been Pwned 或 Firefox Monitor 每隔一段時間發布某些知名服務外洩事故,範圍包含雲端硬碟 Dropbox、健身服務、線上設計軟體 Canva 的帳號密碼。只要你使用過的服務其中一種遭駭,其他帳號也可能會遭殃,導致損害範圍擴大。
</p>
<p>
為了保障基本的帳號使用安全,大多數人都知道要設定複雜密碼、經常更換密碼、不要四處使用同一組密碼,但實際執行極其困難。畢竟,每想一套複雜的密碼,都要需要花時間與心力去記憶,而且也不見得能夠及時更換所有帳號的密碼。密碼管理的成本會隨著工作內容的敏感程度而增加,這也是本章節特別要介紹密碼管理器的原因,讓一套系統為你記得這些分散的帳號密碼,既不怕忘記,更可降低帳號外洩的可能性。
</p>
<li>
別偷懶讓全組織共用一組密碼
</li>
<p>
全組織共用一組密碼不是好作法,因為無法完全掌握組織裡每個人保護密碼的程度,所以若密碼外洩,無法有效找出外洩原因,也難以提出修正或提升安全防護的對策。組織不僅不該共用同一組帳號,也應針對業務需求給組織成員不同程度的權限帳號,以提升整體的安全等級。
</p>
<li>
設定「好密碼」
</li>
<ul>
<li>
長度足夠:通常建議至少包含 12 個字符以上。
</li>
<li>
複雜性:密碼應包含不同類型的字符,如大寫字母、小寫字母、數字和特殊符號,或選擇一個容易記住但不容易猜測的句子,或結合多個句子來建立更長的密碼。避免使用易於猜測的常用單詞或簡單的數字序列。
</li>
<li>
不易猜測與被社交工程攻擊:密碼應該避免使用與個人資訊相關的單詞、日期或其他易於猜測的模式,因為這樣的密碼遭社交工程攻擊、破解的風險較高。最好採用隨機生成的密碼。
</li>
<li>
不重複使用:每個帳戶都應該使用獨特的密碼,避免多個帳戶共用同一個密碼。
</li>
<li>
定期更新:密碼應該定期更改,以降低被破解的風險。建議每 3~6 個月更換一次密碼。
</li>
</ul>
</ol>
<p>
如果對本文的介紹有任何疑義,可以閱讀我們以前寫過的 <a href="https://ocftw.github.io/ssd.eff.org/zh_TW/module/how-use-keepassx.html">如何:使用 KeePassXC | 監控自我防衛</a>,或是聯繫 [email protected] 開放文化基金會詢問。
</p>
<h2 id="附錄:KeePassXC 使用方式_KeePassXC">附錄:KeePassXC 使用方式</h2>
<hr />
<ul>
<li><a href="#下載/安裝流程_KeePassXC">下載/安裝流程</a></li>
<li><a href="#開始使用">開始使用</a></li>
<li>
<a href="#在新電腦或是其他裝置上設定_KeePassXC"
>在新電腦或是其他裝置上設定</a
>
</li>
<li>
<a href="#技術支援/求救方法_KeePassXC">技術支援/求救方法</a>
</li>
<li><a href="#結語">結語</a></li>
</ul>
</li>
</ul>
</section>
</section>
<section class="start">
<section class="left">
<h3 id="下載/安裝流程_KeePassXC">下載/安裝流程</h3>
<hr />
<ul class="left">
<li>
在電腦安裝
<p>
切記,下載工具程式務必要從官方網站下載,以避免下載到來路不明、被暗藏後門的軟體。KeePassXC
的官方網站是
<a href="https://keepassxc.org/">https://keepassxc.org/</a>
,在首頁就可以看見下載的連結,選擇你的電腦作業系統下載即可。記得,KeePassXC
與其它商業密碼管理器不同,是免費提供下載的,如果你發現要註冊、付費,那就肯定搞錯軟體了。
</p>
<img src="./picture/keypass.svg" alt="" />
</li>
<li>
在手機或平板安裝
<p>
如果你想安裝 Android 或 iOS
(蘋果)的版本,它們跟電腦版本的名稱不一樣。官方網站的指引
<a href="https://keepassxc.org/docs/"
>https://keepassxc.org/docs/</a
>建議在 Android 使用
<a
href="https://play.google.com/store/apps/details?id=com.kunzisoft.keepass.free"
>KeePassDX</a
>and
<a
href="https://play.google.com/store/apps/details?id=keepass2android.keepass2android"
>
KeePass2Android</a
>,在 iOS 則是
<a
href="https://itunes.apple.com/us/app/strongbox-password-safe/id897283731"
>Strongbox</a
>and
<a
href="https://apps.apple.com/us/app/keepassium-keepass-passwords/id1435127111"
>KeePassium</a
>。他們都是 KeePass
家族的成員,所以可以互通使用,管理密碼的方式也相近。但是本文後續以介紹電腦裝置上面的
KeePassXC 為主。
</p>
</li>
</ul>
<h3>首次設定</h3>
<hr />
<ol class="left">
<li>為新的密碼資料庫命名,可以加上描述,以免自己遺忘內容</li>
<img src="./picture/set_keyword.svg" alt="" />
<li>
為這個資料庫提高加密層級,這可以阻礙有人將資料庫檔案盜走後的解密工作,提高他們需要解鎖的時間成本
</li>
<img src="./picture/set_keyword2.svg" alt="" />
<li>
為這個資料庫設定<strong style="font-size: 1.2rem">主要密碼</strong
>,可以說是最重要的事情,如果遺忘主要密碼,裡面的東西就再也無法取出
</li>
<img src="./picture/set_keyword3.svg" alt="" />
</ol>
<h3 id="開始使用">開始使用</h3>
<hr />
<ol class="left">
<li>
首頁裏頭條列各個帳號的管理項目,點擊要尋找密碼的帳號,就可以觀看或準備複製貼上密碼
</li>
<img src="./picture/copy_keyword.svg" alt="" />
<li>
如果要新增某個網站或服務的帳號密碼,就要到工具列「新建項目」:
<br />
<br />
<img src="./picture/add_keyword.svg" alt="" />
<ol class="en">
<li>輸入標題(例如某購物網站)</li>
<li>使用者名稱(也就是你在該服務註冊的帳號)之後,</li>
<li>產生新的密碼。可以自行輸入,也可以隨機產生</li>
<img src="./picture/randomkey.svg" alt="" />
</ol>
</li>
<li>
也是在工具列「編輯項目」:更改項目的標題、使用者名稱、修改密碼
</li>
<li>最後則是工具列的「刪除項目」:可以將所選的項目刪去</li>
<li>
如果需要修改 KeePassXC
的設定,可以到工具列的最後一個「設定」進行:
<ol class="en">
<li>例如在「通用」的地方可以設定開機後可以啟動管理器</li>
<li>
或是在「安全」的地方設定複製密碼之後自動消除的時間,可以避免使用者不小心在公開的聊天訊息貼上自己的密碼。
</li>
<li>
想在瀏覽器裡面直接連結密碼管理器,可以到「瀏覽器整合」為
Firefox, Google Chrome, Brave, Edge
等等主流的瀏覽器下載並安裝外掛。這可以讓你直接在瀏覽器裡面複製貼上密碼。
</li>
</ol>
</li>
</ol>
<h3 id="在新電腦或是其他裝置上設定_KeePassXC">
在新電腦或是其他裝置上設定
</h3>
<hr />
<ol class="left">
<li>
換了新的電腦,要繼續用
KeePassXC,就要記得搬遷資料庫到新電腦裡面,也就是那個副檔名為
.kdbx 的檔案。
</li>
<li>
在新的電腦安裝 KeePassXC
之後,在初次開啟時選擇「開啟現有資料庫」。
</li>
<li>
輸入你原先為這個資料庫設定的<strong style="font-size: 1.2rem"
>主要密碼</strong
>,即可開啟使用。
</li>
</ol>
<h3 id="技術支援/求救方法_KeePassXC">技術支援/求救方法</h3>
<hr />
<p>
如果你希望再加一道主要密碼以外的保護措施,確保即使你的整台電腦被盜走,也沒有機會開啟密碼資料庫。那麼可以考慮使用
<a href="https://zh.wikipedia.org/zh-tw/YubiKey"> YubiKey </a
>這樣的物理保護措施當作第二層鎖(也就是「二階段驗證」的概念),它就如同實體的鑰匙一樣,外型跟一個
USB 隨身碟長得很像,只能在實體插入、手動接上電腦時候解鎖打開
KeepassXC 密碼庫。<strong style="font-size: 1.2rem; color: red"
>但使用者必須自行負擔另外購買這個裝置的價格,而且遺失裝置的話,就會沒有任何機會打開密碼庫了。</strong
>
</p>
<p>
KeePassXC
有相當多樣的功能,甚至可以跨裝置到手機、平板共用,網路上已經有相關的教學,例如
<a href="https://ithelp.ithome.com.tw/articles/10226300"
>開源密碼管理軟體:KeePass</a
>
或
<a href="https://www.playpcesor.com/2020/07/keepassxc.html"
>KeePassXC
免費密碼管理軟體圖解教學,信用卡、瀏覽器、手機都能快速輸入</a
>
,於此不再贅述。不過,跨裝置使用代表你要四處搬遷密碼資料庫,甚至將資料庫上傳到雲端硬碟空間。如果你會擔心搬遷過程遺失、出現無法預料的問題,或是存放的網路空間遭竊,請慎選跨平台的功能。
</p>
<p>
如果對本文的介紹有任何疑義,可以閱讀我們以前寫過的
<a
href="https://ocftw.github.io/ssd.eff.org/zh_TW/module/how-use-keepassx.html"
>如何使用 KeePassXC | 監控自我防衛</a
>
,或是聯繫
<a href="mailto:[email protected]">[email protected]</a> 開放文化基金會詢問。
</p>
<h3 id="結語">結語</h3>
<hr />
<p>
在數位時代生活,密碼就如同鑰匙,保障每個人的各項資料。但也同時是駭客覬覦的重要目標,只要取得密碼,就能夠冒用身份、盜刷財務、竊取遊戲內的虛擬寶物,對生活造成大大小小的損害。
何況是身為捍衛人權的公民團體,如果帳號密碼為駭客所知,那恐怕就不只有一個人的生活遭殃,有可能導致組織名譽受損、重要的行動資訊洩露,甚至被極權國家鎖定人身資訊,有生命威脅之虞。
</p>
<p>
本文所介紹的KeePassXC源自開放原始碼軟體改良而成,KeePassXC
與市面上販售的商業密碼管理器不同,是由網路社群的志願工程師集體開發與維護,它不僅免費提供所有人使用,也更不會因為營利考量而對保護功能打折。其預設只在你所擁有的電腦裝置裡面進行密碼管理,完全由你掌握位置。更可以確保密碼檔案不會因為保管在商業公司經營伺服器上面,而導致潛在的洩露,或是因為網路斷線而無法同步下載使用的危險。
</p>
</section>
<section class="right"></section>
</section>
<a id="myBtn" class="goback" href="#">
<div>
<img src="./img/arrow_up.svg" alt="" />
</div>
</a>
</main>
<footer>
<p>
Contributed By
<img
style="width: 25px; height: 25px; margin: 2px"
src="./picture/icon_purple_purple.png"
alt=""
/>
開放文化基金會 Azazel
</p>
</footer>
</body>
<script src="./app.js"></script>
<script
async
src="https://www.googletagmanager.com/gtag/js?id=G-X3DG2E5E3W"
></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag() {
dataLayer.push(arguments);
}
gtag("js", new Date());
gtag("config", "G-X3DG2E5E3W");
gtag("event", "page_view", { send_to: "G-X3DG2E5E3W" });
</script>
</html>