Menedżer haseł KeePassXC. Czym jest? Jak używać? Poradnik od sekuraka.

08 czerwca 2021, 15:01 | Teksty | komentarzy 31
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Jakiś czas temu na łamach sekuraka opublikowaliśmy obszerny poradnik dotyczący menedżera haseł Bitwarden. Oczywiście jest to rzetelny przegląd, jednak promuje on nieco ryzykowne podejście, w którym bezpieczeństwo naszych danych powierzamy firmie trzeciej, co w niektórych przypadkach może prowadzić do katastrofy:

Tym razem omówimy więc menedżer haseł oparty na zasadzie self-hosted – KeePassXC.

Czym jest KeePassXC?

KeePassXC to otwartoźródłowy menedżer haseł, umożliwiający bezpieczne przechowywanie naszych danych uwierzytelniających zarówno na systemach Windows, jak i na Linuxie czy macOS. Program współpracuje z najpopularniejszymi przeglądarkami internetowymi, takimi jak: Google Chrome, Mozilla Firefox, Microsoft Edge, Chromium, Vivaldi, Brave czy Tor, i umożliwia automatyczne wprowadzanie danych dostępowych.

KeePassXC – instalacja

Aby zainstalować KeePassXC, należy wejść na oficjalną stronę KeePassXC, po czym kliknąć w zakładkę “Download”:

Następnie musimy wybrać odpowiedni instalator KeePassa dla naszego systemu operacyjnego. W moim przypadku będzie to instalator (64-bit) na system Windows:

Po pobraniu instalatora należy go uruchomić:

Kolejna czynność to kliknięcie przycisku “Next”:

Następnie należy zapoznać się z licencją i zaakceptować zasady użytkowania, zaznaczając formułkę: “I accept the terms in the License Agreement”, po czym przejść do dalszych działań, klikając przycisk  “Next”:

Teraz musimy wybrać miejsce, w którym chcemy zainstalować naszego KeePassa, i  ponownie kliknąć widżet “Next”:

Po wykonaniu tych czynności wystarczy jedynie kliknąć “Install” i uzbroić się w cierpliwość:

Po zakończonej instalacji jedyna słuszna opcja to “Finish”:

I gotowe! Tak prezentuje się interfejs graficzny naszego nowego menedżera haseł:

Baza danych w kontekście KeePassXC pełni funkcję bezpiecznego „sejfu” na dane uwierzytelniające i jest ona przechowywana lokalnie na naszym urządzeniu. Stwórzmy więc swoją nową bazę danych:

Teraz możemy wpisać własną nazwę dla bazy danych lub skorzystać z domyślnej („Hasła”), a następnie klikamy opcję „Kontynuuj”:

Po wykonaniu tej czynności naszym oczom ukażą się ustawienia szyfrowania:

Dla większości użytkowników wystarczającą opcją będzie przesunięcie suwaka „Czas odszyfrowania” maksymalnie w prawo i kliknięcie przycisku „Kontynuuj”:

Warto jednak wiedzieć o tym, że – w przeciwieństwie chociażby do Bitwardena – możemy skorzystać z ustawień zaawansowanych, gdzie mamy możliwość wyboru między innymi preferowanego algorytmu szyfrowania czy liczby rund szyfrowania:

Godny uwagi algorytm to ChaCha20; jest on nieco lepszy od AES 256 pod względem wydajności, szczególnie jeśli chcemy korzystać z aplikacji KeePass na smartfony.

Teraz musimy podać odpowiednio długie i silne hasło:

Utworzenie wystarczająco silnego hasła zostawiamy Czytelnikowi. Na pewno interesującą metodą są łańcuchy Markowa, o których można dowiedzieć się więcej z naszego artykułu autorstwa Michała Bentkowskiego.

Sam KeePassXC po kliknięciu w ikonkę „kostki” umożliwia nam wygenerowanie silnego hasła:

W myśl zasady: „Nie można zjeść ciastka i mieć ciastka” – także w tym przypadku ciężko jest o tę najlepszą metodę, gdyż każda ma swoje wady i zalety.

Warto również zapoznać się z funkcją „Dodaj dodatkową ochronę…”:

Jeśli chcemy, możemy zdecydować się na dwie dodatkowe opcje ochrony w postaci „Pliku klucza” oraz „Wyzwania-odpowiedzi YubiKey”:

Jeśli zdecydujemy się na pierwszą opcję, to oprócz naszego hasła będziemy musieli wybrać specjalny plik, zawierający losowe bajty. Aby go wygenerować, należy kliknąć „Dodaj Plik klucza”:

Następnie wybieramy opcję „Wygeneruj”:

Teraz musimy nadać nazwę dla naszego pliku, np. „klucz-keepass”, i zapisać go w wybranym przez nas miejscu:

Po wykonaniu tej czynności musimy pamiętać o przechowywaniu pliku klucza w bezpiecznym miejscu, gdyż jego strata będzie oznaczać utratę dostępu do naszych zapisanych haseł. Alternatywą wobec pliku klucza może być YubiKey, jeśli takowy posiadamy:

Gdy wybraliśmy już nasze hasło oraz dodatkowe opcje zabezpieczeń, klikamy przycisk „Zrobione”:

Teraz, podobnie jak w przypadku generowania klucza, musimy podać nazwę naszej nowo utworzonej bazy danych oraz miejsce, w którym chcemy ją zapisać:

KeePassXC – konfiguracja i użytkowanie

Po utworzeniu nowej bazy danych ujrzymy taki oto interfejs:

Aby zapisać dane uwierzytelniające w naszym menedżerze haseł, należy kliknąć ikonę „plusa”:

Teraz wystarczy wypełnić rubryki z hasłem, loginem, adresem URL oraz nazwą naszej strony:

Warto wiedzieć, że w razie tworzenia nowego konta w danym serwisie możemy skorzystać z opcji generowania hasła, którą już widzieliśmy w trakcie tworzenia hasła dla naszej bazy danych:

Nasze zapisane hasło prezentuje się następująco:

Aby skorzystać z funkcji autouzupełniania, musimy najpierw wejść na stronę logowania:

Teraz zaznaczamy pole logowania (w przypadku Albicli jest to pole „E-mail”), a następnie w naszym KeePassXC klikamy prawym przyciskiem myszy na nasze zapisane hasło i wybieramy opcję „Wykonaj autouzupełnianie”:

Teraz program wypełni login i hasło za nas:

Oczywiście możemy również skorzystać z funkcji „Skopiuj hasło” czy „Skopiuj nazwę użytkownika”:

KeePassXC – rozszerzenie do przeglądarki

Funkcja autouzupełniania z poziomu aplikacji nie zawsze działa tak, jak byśmy sobie tego życzyli. W takim przypadku warto pomyśleć nad instalacją wtyczki do przeglądarki. W tym celu klikamy w ikonę „koła zębatego”:

Teraz wybieramy opcję „Integracja z przeglądarką”:

Następnie zaznaczamy okienko przy poleceniu „Włącz integrację z przeglądarką”:

W kolejnym kroku wybieramy naszą przeglądarkę (w moim przypadku – “Firefox and Tor Browser”), a później klikamy w odnośnik z jej nazwą:

Po kliknięciu odnośnika będziemy musieli zainstalować wtyczkę KeePassa w naszej przeglądarce:

Gdy już dodaliśmy rozszerzenie, w aplikacji KeePass klikamy przycisk „OK”:

Teraz wracamy do naszej przeglądarki i klikamy lewym przyciskiem myszy na nasze nowe rozszerzenie, a następnie klikamy przycisk „Połącz”:

W kolejnym kroku musimy podać unikatową nazwę lub identyfikator:

Jeśli po drodze nie popełniliśmy błędu, nasza wtyczka jest skonfigurowana i gotowa do działania:

Jeśli chcemy skorzystać z naszego „podrasowanego” autouzupełniania, wystarczy przejść na stronę logowania:

W zależności od przeglądarki możemy otrzymać konkretny komunikat. Aby nasza wtyczka zadziałała, należy wybrać opcję „Zezwalaj wybranym”, a następnie kliknąć małą okrągłą ikonę KeePassa, znajdującą się w polu logowania:

KeePassXC – dodatkowe informacje

Jeśli nie potrzebujemy w danym momencie dostępu do naszych haseł, wystarczy kliknąć ikonkę „kłódki”:

Aby odblokować naszą bazę danych, wystarczy podać hasło oraz wybrać nasz wcześniej wygenerowany „Plik klucza”:

Jeśli chcemy otworzyć inną bazę danych, należy kliknąć przycisk „Anuluj”, a następnie „Otwórz istniejącą bazę danych”:

Teraz wybieramy interesującą nas bazę danych:

Warto zapoznać się również z ustawieniami bezpieczeństwa KeePassa:

KeePassXC – synchronizacja między urządzeniami i aplikacja mobilna

Tu pojawiają się pierwsze „schody”. W przypadku menedżera haseł Bitwarden istnieje jedna oficjalna aplikacja, a nasze dane są automatycznie synchronizowane po zalogowaniu. Jeśli natomiast chodzi o KeePassXC, istnieje wiele różnych aplikacji, choć w przypadku Google Play ulubioną aplikacją użytkowników jest Keepass2Android:

Aby aplikacja mobilna miała dostęp do naszych haseł, musimy najpierw wybrać plik z bazą danych oraz klucz, co zazwyczaj wiąże się z koniecznością wgrywania naszej bazy danych (oraz klucza, jeśli taką opcję wybraliśmy), np. na Dropboxa, a następnie pobrać plik i wskazać go w aplikacji mobilnej:

W przypadku systemu iOS możemy skorzystać chociażby z aplikacji KeePassium:

Podsumowanie

KeePassXC nie bez powodu jest ulubionym wyborem wśród zaawansowanych użytkowników – oferuje wsparcie zarówno na Windows, jak i na macOS czy Linux, zawiera mnogość opcji i podejście self-hosted zapewniające prywatność oraz bezpieczeństwo naszych danych. Natomiast każde rozwiązanie ma swoje wady, a jedną z wad KeePassa jest „toporna” synchronizacja i spora liczba aplikacji mobilnych, z których użytkownik samodzielnie musi wybrać tę odpowiednią dla siebie.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Bardzo dobry poradnik! Korzystam z tej wersji, ale z bazą od KeePassa i wszystko elegancko działa. Na iOS’ie stosuję aplikację Strongbox, która również posiada wersję bezpłatną jak i płatną (logowanie przez TouchID, FaceID) i wolę samemu wszystko kopiować, chociaż wiem, że jest to mniej wygodne rozwiązanie. ;)

    Odpowiedz
  2. chester

    + za Firefoksa
    – za Albiclę
    No i pytanie: czemu KeePassXC a nie KeePassX czy inna wersja na komputer?
    Wartoby też opisać synchronizację bez użycia 'chmury', np. przez kabel USB.

    Odpowiedz
    • Karol

      Czemu nie KeePassX:
      Ostatnie wydanie KeePassX pochodzi z 2016. W wypadku tak wrażliwego softu nie jest to chyba dobra wiadomość. Autorzy XC piszą na swojej stronie w FAQ, że KeePassX był OK _na tamtą chwilę_, ale „original project is missing some features which users can expect from a modern password manager” i dlatego zaczęli na jego bazie swój projekt. Przez 5 lat poszli sporo do przodu. Nie jestem nawet pewien, czy KeePassX otwiera w formacie v4.

      Czemu nie KeePass („oryginalny”):
      np. dlatego, że jest napisany w C# (wymaga .NET) i działa tylko na Win, ew. na Linuksie/Macu (topornie) przez mono. KeePassXC jest aktywnie rozwijaną aplikacją natywną na wszystkie wspierane platformy.

      Odpowiedz
  3. Adi

    Wielki artykuł, ale nie ma w nim wzmianki czemu akurat ten fork oryginalnego KeePassa warto użyć. Brakuje porównania i wskazania zalet.

    Od lat korzystam z oryginału i dopóki chodzi o Windowsa – nie widzę zalet wersji XC.

    Odpowiedz
    • Filip

      +1

      Odpowiedz
    • Loki

      Chociażby dlatego, że wersja XC jest wieloplatformowa (linux, mac os) i lepiej wygląda. Za to nie obsługuje wtyczek (nie licząc dodatków do przeglądarki). Jeżeli nie przeszkadza Ci wygląd i używasz na windows to nie masz po co zmieniać. Generalnie sama aplikacja nie ma większego znaczenia, bo działa niemal identycznie, a pliki (nowsze) z bazami haseł są kompatybilne z nimi wszystkimi.

      Odpowiedz
  4. Marek

    Wiem że o XC się mówi, że lepszy od oryginalnego KeePassa i cross-platformowy, ale prawilnie przypominam, że to oryginalny KeePass przechodzi audyty bezpieczeństwa i jest na niego bug bounty sponsorowane przez komisję europejską.

    A co do wtyczki do przeglądarki, to ostatnio Tavis Ormandy odniósł się do tego typu wtyczek: https://lock.cmpxchg8b.com/passmgrs.html

    Odpowiedz
    • Janusz

      Nie, Tavis Ormandy nie opisywal problemow z wtyczkami do menadzerow hasel, ale do menadzerow hasel w chmurze (np. Bitwarden, Lastpass, 1password).

      Odpowiedz
  5. Natan

    Hej, ciekawą alternatywą dla Keepass2Android jest KeePassDX ;)

    Odpowiedz
    • Janusz

      całkiem spoko jest ten DX, z fajnych rzeczy to na androidzie przy jego pomocy da się ładnie ogarnąć synchronizację między urządzeniami (bo do plików dobiera się przez SAFa).

      Odpowiedz
  6. Karol
    Odpowiedz
  7. Marek

    Poza interfejsem w czym jest ta wersja lepsza od „normalnego” KeePassa?

    Odpowiedz
    • Paweł

      Też się nad tym zastanawiałem i chyba właśnie o interfejs chodzi.
      Jeżeli podeślesz linka do tego artykułu komuś mniej technicznemu to jest większa szansa że nie odrzuci go wygląd wersji KeePassXC.
      Mimo że sam wolę korzystać z oryginalnego KeePassa to chyba też bym wolał polecać coś co wygląda na nowsze stworzone w roku 95.

      Odpowiedz
  8. Tomasz21

    Witam; Panowie, zastanawiam się czy wszyscy mają po kolei w głowie???
    Proszę bez urazy, chodzi o sens, Przechowywania swoich kluczy od domu u możliwego złodzieja.??? W myśl zasady, nie ma pośrednika, nie ma wpadki.
    Gdy, Jest pośrednik, jest zawsze możliwość kradzieży. Pytam? Gdzie tutaj jest logika? / chłopska /. Bo jak powyżej widzę, to bywają różne logiki???
    Pozdrawiam.

    Odpowiedz
    • asdsad

      Więc… „zeszycik z hasłami” czy coś innego?

      Odpowiedz
    • Eryk

      Jeżeli dobrze zrozumiałem, to sam siebie uważasz za potencjalnego złodzieja? Przecież KeePass tworzy bazę haseł na Twoim dysku. Sam decydujesz ile kopii pliku chcesz sporządzić i na jakich dyskach, chmurach, itp. je przechowywać.

      Odpowiedz
    • Autor

      Po to zrobiliśmy poradnik do KeePassXC, gdyż promuje on podejście w którym bazę z hasłami przechowujesz na własnym urządzeniu.

      Odpowiedz
  9. midway

    Jak działa KeePass z YubiKey? Można dodać kilka kluczy?

    Odpowiedz
  10. Artur

    Podpinam się do poprzedników jakie są +/- w stosunku do „oryginalnego” KeePassa?

    Odpowiedz
    • Observator

      KeePassXC w tej samej wersji działa na Win/Linux. Oryginał jest na Win, a wersje linuksowe to różne porty, które nie zawsze nadążają z aktualizacjami funkcjonalności. Tak samo dodatek do przeglądarki – jeden i to oficjalny.

      Odpowiedz
  11. Piotr
    Odpowiedz
    • Autor

      W poradniku do Bitwarden mówiliśmy o możliwości instalacji na własnym serwerze. Domyślnie jednak Bitwarden nie promuje takiego podejścia.
      Co do Albicli, jest to przekaz podprogowy, dlaczego warto korzystać z menedżerów haseł…

      Odpowiedz
  12. lukk

    Jaka jest różnica co do zwykłego KeePassa jakiego używam (oprócz innego UI)? Czy w tej wersji jest możliwość automatycznego uzupełniania haseł maskowanych(nie wiem czy tak to się nazywa, chodzi o to, że wpisujemy tylko jakieś poszczególne cyfry i litery z naszego hasła) jak w niektórych bankach?

    Odpowiedz
  13. Mietek Fretek

    Hej, Mordeczki dające minusy za Albicla! Przecież autor poradnika polewa z tej Albikli. Kto by z guwnwa chciał korzystać?

    Odpowiedz
    • wreszcie ktoś się zorientował o co chodziło autorowi z Albiclą :)

      Odpowiedz
    • Ferdek Kiepski

      To wspólna cecha współczesnych Polaków z prawa, z lewa i z centrum. Kompletna tresura intelektualna. Tylko taki zobaczy coś czego kazano mu nienawidzić i od razu rzuca się jak chart za zającem. Kompletnie zanika zdolność rozpoznania i zrozumienia takich środków stylistycznych jak ironia, sarkazm, przenośnia, eufemizm, parafraza, itp.

      Myślę, że można za to winić głównie szalejącą poprawność polityczną i związaną z nią (auto)cenzurę jakichkolwiek niejednoznacznych wypowiedzi. Twitter bodajże cenzurował za „rasizm” lewicowych aktywistów cytujących krytycznie wypowiedzi antyimigracyjnych polityków.

      Odpowiedz
    • Autor

      To był taki przekaz podprogowy, dlaczego warto korzystać z menedżerów haseł, mając na uwagę burzliwą historię tego serwisu. I nie odpowiadamy się ani za jedną, ani za drugą stroną – to portal o cyberbezpieczeństwie, a nie polityce.

      Odpowiedz
  14. Oficjalna strona?

    „Aby zainstalować KeePassXC, należy wejść na oficjalną stronę KeePassXC, po czym kliknąć w zakładkę “Download””

    – tzn. na którą stronę, konkretnie? Tej informacji brak w artykule.

    Przypuszczam, że udałoby mi się wygooglować, ale w przypadku programu tak bardzo wpływającego na bezpieczeństwo danych warto podać adres. Ryzyko nie jest wydumane. Były już sytuacje, że sztucznie „wypromowywano” podstawione strony.

    A ponieważ tu jest dodatkowe zamieszanie (KeePass, KeePassX, KeePassXC i co tam jeszcze), to i zwiększone ryzyko manipulacji wyszukiwania.

    Odpowiedz
    • Autor

      W fragmencie „na oficjalną stronę” miał być odnośnik, chodziło oczywiście o https://keepassxc.org/, postaramy się poprawić to jak najszybciej!

      Odpowiedz
  15. Dawid

    Ciekawy jest fakt że zastosowanie YubiKey nie podnosi poziomu bezpieczeństwa bazy danych w przypadku keyloggerów. Baza danych jest zaszyfrowana za pomocą algorytmu symetrycznego składającego się z dwuczęściowego hasła. Hasło składa się z wartości wprowadzonej przez użytkownika (stała wartość) oraz hash’u zwracanego z YubiKey (wartość stała). YubiKey instalowany jest w systemie jako zewnetrzna klawiatura i w ten sposób przekazywane jest hasło. W przypadku infekcji maszyny istnieje możliwość przejęcia całej bazy danych i jej odszyfrowania (emulacja YubiKey). Opcja emulacji jest dostępna w aplikacji Strongbox.

    Odpowiedz

Odpowiedz