KeePass下载和使用图解

KeePass是符合我们前面谈到的密码管理思想的一款软件，它是完全免费并且是非常安全的，在LastPass等著名密码软件爆出漏洞的时，KeePass至今保持金身。在下载和使用KeePass之前，可以先了解一下为什么要使用KeePass。

• 密码太多记不住？多密码管理方案
• 多密码管理具体实践方案
• 如何得到容易记住又安全的主密码?

介绍和下载

今天，你需要记住很多密码。你需要为Windows网络登录密码，电子邮件帐户，您的网站的FTP密码，密码在网上（如网站会员帐户）等等不胜枚举。此外，你应该使用不同的密码为每个帐户。因为如果你处处只使用一个密码，有人得到这个密码你有问题……一个严重的问题。小偷将有机会获得您的电子邮件帐户，网站等难以想象的。

KeePass密码库主界面

KeePass的是一款免费开源的密码管理器，以最安全的方式管理你的所有密码，这些密码以最安全的加密算法（AES和Twofish的）加密保存。此时，你只需要记住一个单一的KeePass主密码或密钥文件就可以管理整个密码数据库了。

下载：KeePass（Windows）| KeePass2Android (for Android)

主要特性

• 完全免费！像Lastpass之类是收费的，而KeePass则是完全免费
• 全自动输入密码
• 迭代更新，因为是开源软件，因此功能强大
  

  自动输入密码

• 密码信息本地存储，至今未出现任何安全漏洞。Lastpass等密码软件可是都暴过安全漏洞的。

使用图解

切换中文语言包

1、下载安装完成（按Next就行）后，打开KeePass

2、拷贝中文语言包到语言包文件夹里「C:\Program Files (x86)\KeePass Password Safe 2\Languages」。

3、 选择「View」菜单，点击「Change Language」，在弹出的对话框中选择「Simplified Chinese」，然后重新启动 KeePass 即可

新建一个密码数据库

1、点击「文件」->「新建」。弹出提示你新数据库。点击OK。

2、在选择好保存位置后出现「创建管理密码」的选项，这个管理密码即管理这个数据库的主密码。

管理密码可以使用「拼音密码生成器」来生成。

注：用上面生成的密码已经足够安全了，其它高级选项中的「密钥文件」和「Windows用户账户」基本用不到吧，或者你愿意加一层保险也行。

可以看到生成的密码质量超高，还好记！

3、管理密码设置完成后，点击确定，弹出「数据库配置」的选项。

在「常规」里，数据库名称填写一下，我写「database1」

切换到「安全」面板里，在KeePassr的密码库参数里可以使用“1秒延迟”按钮快速得到一个在你自己的机器上要计算约1秒才能登录的参数。

好的加密算法可以使得破解密码时没有捷径可走。换句话说，设置了花1秒时间验证一次的参数，攻击者没有办法用同样的算力花更少的时间完成一次验证。Argon2算法除了需要算力，还需要并行计算和内存空间，这样攻击者如果不能堆出来同样倍数的内存空间和线程，光CPU运算速度快是没用的。

攻击者的算力

攻击方也是要算成本和收益的，不可能拥有无穷的算力。就按预算￥5000万RMB的攻击成本吧（如果破解密码之后拿不到这么多的钱，就亏本了），如果这些钱全部投资CPU，淘宝上4代i5CPU约￥500RMB，也就是说攻击者拥有我10万倍的计算能力，换句话说一秒钟可以尝试10万次。拿这个算力穷举一个52bit熵的密码，需要1428年。

即使我为了自己用得舒适一点，把加密算法的参数调整为0.2秒尝试一次，攻击者也要计算284年。按1%的置信区间计算，每3年换一次密码，足够安全了。当然，这个结果建立在这样的基础上的：加密算法先进、加密参数合理、密码质量好。「安全」面板的的配置如下：

然后点击「确定」。

自动输入

Keepass模拟按键以代替手动输入，需要注意的是如果目标应用程序是以「管理员权限」身份运行，那么keepass也必须使用管理员权限运行才能在此应用程序中使用自动输入。在左侧数据库右键「Edit Group」，切换到「自动输入 」，勾选「替代默认规则为」：

+{DELAY 100}{CLEARFIELD}{USERNAME}{TAB}{PasswordBox}{PASSWORD}{ENTER}

{USERNAME}和{PASSWORD}是占位符，分别表示用户名和密码；{TAB}和{ENTER}是特殊键代码，分别表示换行和回车。

双通道自动输入混淆

在刚才「自动输入」面板左下方有双通道自动输入混淆的选项，其效果如上图登录京东所示，就是打乱了密码输入顺序，安全性更高，但是同时兼容性也比较差，某些网页密码登录框可能不支持。除了在网页浏览器，还可以在具有标准文本输入框的Windows应用程序中使用。而基于控制台的应用程序（交互式终端，…），游戏中是无法使用的。

在电脑安装了杀毒软件，很难有键盘记录器生存的空间了。杀毒软件建议使用「卡巴斯基安全软件」或者「ESET Internet Security」。

关于自动输入的补充

1、有时你会在网站上找到复选框（例如，“在这台计算机上保持登录”）。您可以在自动输入时通过发送空格字符来切换这些复选框。例如：{USERNAME}{TAB}{PASSWORD}{TAB} {TAB}{ENTER}

2、可以通过在代码中附加一个数字来重复键和特殊键（不包括占位符和命令）。例如，{TAB 5}按Tab键5次

• 全局自动输入匹配条件

记录的标题是当前活动窗口标题的子字符串。

记录具有窗口/序列关联，其窗口说明符与当前活动的窗口标题相匹配。

• 【自动输入→添加→目标窗口】匹配规则

STRING 匹配名为“STRING”的所有窗口标题

STRING* 匹配以“STRING”开头的所有窗口标题

*STRING 匹配以“STRING”结尾的所有窗口标题

*STRING* 匹配窗口标题中包含“STRING”的所有窗口标题

• 特殊命令

{DELAY X} 延迟X毫秒

{DELAY=X} 将所有后续按键的默认延迟设置为X毫秒

{CLEARFIELD} 清除当前具有焦点的编辑控件的内容（仅限单行编辑控件）

{VKEY X} 发送值为X的虚拟键

{APPACTIVATE WindowTitle} 激活窗口“WindowTitle”

{BEEP X Y} 以频率为X赫兹，持续时间为Y毫秒发出蜂鸣声

{VKEY-NX X} 发送值为X的非扩展虚拟键。如果成功，使用{VKEY X}替代

{VKEY-EX X} 发送值为X的扩展虚拟键。如果成功，使用{VKEY X}替代

转载需保留链接来源：VCBeta.CN » KeePass下载和使用图解