Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Menedżer haseł KeePassXC. Czym jest? Jak używać? Poradnik od sekuraka.

08 czerwca 2021, 15:01 | Teksty | komentarze 43

Jakiś czas temu na łamach sekuraka opublikowaliśmy obszerny poradnik dotyczący menedżera haseł Bitwarden. Oczywiście jest to rzetelny przegląd, jednak promuje on nieco ryzykowne podejście, w którym bezpieczeństwo naszych danych powierzamy firmie trzeciej, co w niektórych przypadkach może prowadzić do katastrofy:

Tym razem omówimy więc menedżer haseł oparty na zasadzie self-hosted – KeePassXC.

Czym jest KeePassXC?

KeePassXC to otwartoźródłowy menedżer haseł, umożliwiający bezpieczne przechowywanie naszych danych uwierzytelniających zarówno na systemach Windows, jak i na Linuxie czy macOS. Program współpracuje z najpopularniejszymi przeglądarkami internetowymi, takimi jak: Google Chrome, Mozilla Firefox, Microsoft Edge, Chromium, Vivaldi, Brave czy Tor, i umożliwia automatyczne wprowadzanie danych dostępowych.

KeePassXC – instalacja

Aby zainstalować KeePassXC, należy wejść na oficjalną stronę KeePassXC, po czym kliknąć w zakładkę “Download”:

Następnie musimy wybrać odpowiedni instalator KeePassa dla naszego systemu operacyjnego. W moim przypadku będzie to instalator (64-bit) na system Windows:

Po pobraniu instalatora należy go uruchomić:

Kolejna czynność to kliknięcie przycisku “Next”:

Następnie należy zapoznać się z licencją i zaakceptować zasady użytkowania, zaznaczając formułkę: “I accept the terms in the License Agreement”, po czym przejść do dalszych działań, klikając przycisk  “Next”:

Teraz musimy wybrać miejsce, w którym chcemy zainstalować naszego KeePassa, i  ponownie kliknąć widżet “Next”:

Po wykonaniu tych czynności wystarczy jedynie kliknąć “Install” i uzbroić się w cierpliwość:

Po zakończonej instalacji jedyna słuszna opcja to “Finish”:

I gotowe! Tak prezentuje się interfejs graficzny naszego nowego menedżera haseł:

Baza danych w kontekście KeePassXC pełni funkcję bezpiecznego „sejfu” na dane uwierzytelniające i jest ona przechowywana lokalnie na naszym urządzeniu. Stwórzmy więc swoją nową bazę danych:

Teraz możemy wpisać własną nazwę dla bazy danych lub skorzystać z domyślnej („Hasła”), a następnie klikamy opcję „Kontynuuj”:

Po wykonaniu tej czynności naszym oczom ukażą się ustawienia szyfrowania:

Dla większości użytkowników wystarczającą opcją będzie przesunięcie suwaka „Czas odszyfrowania” maksymalnie w prawo i kliknięcie przycisku „Kontynuuj”:

Warto jednak wiedzieć o tym, że – w przeciwieństwie chociażby do Bitwardena – możemy skorzystać z ustawień zaawansowanych, gdzie mamy możliwość wyboru między innymi preferowanego algorytmu szyfrowania czy liczby rund szyfrowania:

Godny uwagi algorytm to ChaCha20; jest on nieco lepszy od AES 256 pod względem wydajności, szczególnie jeśli chcemy korzystać z aplikacji KeePass na smartfony.

Teraz musimy podać odpowiednio długie i silne hasło:

Utworzenie wystarczająco silnego hasła zostawiamy Czytelnikowi. Na pewno interesującą metodą są łańcuchy Markowa, o których można dowiedzieć się więcej z naszego artykułu autorstwa Michała Bentkowskiego.

Sam KeePassXC po kliknięciu w ikonkę „kostki” umożliwia nam wygenerowanie silnego hasła:

W myśl zasady: „Nie można zjeść ciastka i mieć ciastka” – także w tym przypadku ciężko jest o tę najlepszą metodę, gdyż każda ma swoje wady i zalety.

Warto również zapoznać się z funkcją „Dodaj dodatkową ochronę…”:

Jeśli chcemy, możemy zdecydować się na dwie dodatkowe opcje ochrony w postaci „Pliku klucza” oraz „Wyzwania-odpowiedzi YubiKey”:

Jeśli zdecydujemy się na pierwszą opcję, to oprócz naszego hasła będziemy musieli wybrać specjalny plik, zawierający losowe bajty. Aby go wygenerować, należy kliknąć „Dodaj Plik klucza”:

Następnie wybieramy opcję „Wygeneruj”:

Teraz musimy nadać nazwę dla naszego pliku, np. „klucz-keepass”, i zapisać go w wybranym przez nas miejscu:

Po wykonaniu tej czynności musimy pamiętać o przechowywaniu pliku klucza w bezpiecznym miejscu, gdyż jego strata będzie oznaczać utratę dostępu do naszych zapisanych haseł. Alternatywą wobec pliku klucza może być YubiKey, jeśli takowy posiadamy:

Gdy wybraliśmy już nasze hasło oraz dodatkowe opcje zabezpieczeń, klikamy przycisk „Zrobione”:

Teraz, podobnie jak w przypadku generowania klucza, musimy podać nazwę naszej nowo utworzonej bazy danych oraz miejsce, w którym chcemy ją zapisać:

KeePassXC – konfiguracja i użytkowanie

Po utworzeniu nowej bazy danych ujrzymy taki oto interfejs:

Aby zapisać dane uwierzytelniające w naszym menedżerze haseł, należy kliknąć ikonę „plusa”:

Teraz wystarczy wypełnić rubryki z hasłem, loginem, adresem URL oraz nazwą naszej strony:

Warto wiedzieć, że w razie tworzenia nowego konta w danym serwisie możemy skorzystać z opcji generowania hasła, którą już widzieliśmy w trakcie tworzenia hasła dla naszej bazy danych:

Nasze zapisane hasło prezentuje się następująco:

Aby skorzystać z funkcji autouzupełniania, musimy najpierw wejść na stronę logowania:

Teraz zaznaczamy pole logowania (w przypadku Albicli jest to pole „E-mail”), a następnie w naszym KeePassXC klikamy prawym przyciskiem myszy na nasze zapisane hasło i wybieramy opcję „Wykonaj autouzupełnianie”:

Teraz program wypełni login i hasło za nas:

Oczywiście możemy również skorzystać z funkcji „Skopiuj hasło” czy „Skopiuj nazwę użytkownika”:

KeePassXC – rozszerzenie do przeglądarki

Funkcja autouzupełniania z poziomu aplikacji nie zawsze działa tak, jak byśmy sobie tego życzyli. W takim przypadku warto pomyśleć nad instalacją wtyczki do przeglądarki. W tym celu klikamy w ikonę „koła zębatego”:

Teraz wybieramy opcję „Integracja z przeglądarką”:

Następnie zaznaczamy okienko przy poleceniu „Włącz integrację z przeglądarką”:

W kolejnym kroku wybieramy naszą przeglądarkę (w moim przypadku – “Firefox and Tor Browser”), a później klikamy w odnośnik z jej nazwą:

Po kliknięciu odnośnika będziemy musieli zainstalować wtyczkę KeePassa w naszej przeglądarce:

Gdy już dodaliśmy rozszerzenie, w aplikacji KeePass klikamy przycisk „OK”:

Teraz wracamy do naszej przeglądarki i klikamy lewym przyciskiem myszy na nasze nowe rozszerzenie, a następnie klikamy przycisk „Połącz”:

W kolejnym kroku musimy podać unikatową nazwę lub identyfikator:

Jeśli po drodze nie popełniliśmy błędu, nasza wtyczka jest skonfigurowana i gotowa do działania:

Jeśli chcemy skorzystać z naszego „podrasowanego” autouzupełniania, wystarczy przejść na stronę logowania:

W zależności od przeglądarki możemy otrzymać konkretny komunikat. Aby nasza wtyczka zadziałała, należy wybrać opcję „Zezwalaj wybranym”, a następnie kliknąć małą okrągłą ikonę KeePassa, znajdującą się w polu logowania:

KeePassXC – dodatkowe informacje

Jeśli nie potrzebujemy w danym momencie dostępu do naszych haseł, wystarczy kliknąć ikonkę „kłódki”:

Aby odblokować naszą bazę danych, wystarczy podać hasło oraz wybrać nasz wcześniej wygenerowany „Plik klucza”:

Jeśli chcemy otworzyć inną bazę danych, należy kliknąć przycisk „Anuluj”, a następnie „Otwórz istniejącą bazę danych”:

Teraz wybieramy interesującą nas bazę danych:

Warto zapoznać się również z ustawieniami bezpieczeństwa KeePassa:

KeePassXC – synchronizacja między urządzeniami i aplikacja mobilna

Tu pojawiają się pierwsze „schody”. W przypadku menedżera haseł Bitwarden istnieje jedna oficjalna aplikacja, a nasze dane są automatycznie synchronizowane po zalogowaniu. Jeśli natomiast chodzi o KeePassXC, istnieje wiele różnych aplikacji, choć w przypadku Google Play ulubioną aplikacją użytkowników jest Keepass2Android:

Aby aplikacja mobilna miała dostęp do naszych haseł, musimy najpierw wybrać plik z bazą danych oraz klucz, co zazwyczaj wiąże się z koniecznością wgrywania naszej bazy danych (oraz klucza, jeśli taką opcję wybraliśmy), np. na Dropboxa, a następnie pobrać plik i wskazać go w aplikacji mobilnej:

W przypadku systemu iOS możemy skorzystać chociażby z aplikacji KeePassium:

Podsumowanie

KeePassXC nie bez powodu jest ulubionym wyborem wśród zaawansowanych użytkowników – oferuje wsparcie zarówno na Windows, jak i na macOS czy Linux, zawiera mnogość opcji i podejście self-hosted zapewniające prywatność oraz bezpieczeństwo naszych danych. Natomiast każde rozwiązanie ma swoje wady, a jedną z wad KeePassa jest „toporna” synchronizacja i spora liczba aplikacji mobilnych, z których użytkownik samodzielnie musi wybrać tę odpowiednią dla siebie.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Bardzo dobry poradnik! Korzystam z tej wersji, ale z bazą od KeePassa i wszystko elegancko działa. Na iOS’ie stosuję aplikację Strongbox, która również posiada wersję bezpłatną jak i płatną (logowanie przez TouchID, FaceID) i wolę samemu wszystko kopiować, chociaż wiem, że jest to mniej wygodne rozwiązanie. ;)

    Odpowiedz
  2. chester

    + za Firefoksa
    – za Albiclę
    No i pytanie: czemu KeePassXC a nie KeePassX czy inna wersja na komputer?
    Wartoby też opisać synchronizację bez użycia 'chmury’, np. przez kabel USB.

    Odpowiedz
    • Karol

      Czemu nie KeePassX:
      Ostatnie wydanie KeePassX pochodzi z 2016. W wypadku tak wrażliwego softu nie jest to chyba dobra wiadomość. Autorzy XC piszą na swojej stronie w FAQ, że KeePassX był OK _na tamtą chwilę_, ale „original project is missing some features which users can expect from a modern password manager” i dlatego zaczęli na jego bazie swój projekt. Przez 5 lat poszli sporo do przodu. Nie jestem nawet pewien, czy KeePassX otwiera w formacie v4.

      Czemu nie KeePass („oryginalny”):
      np. dlatego, że jest napisany w C# (wymaga .NET) i działa tylko na Win, ew. na Linuksie/Macu (topornie) przez mono. KeePassXC jest aktywnie rozwijaną aplikacją natywną na wszystkie wspierane platformy.

      Odpowiedz
  3. Adi

    Wielki artykuł, ale nie ma w nim wzmianki czemu akurat ten fork oryginalnego KeePassa warto użyć. Brakuje porównania i wskazania zalet.

    Od lat korzystam z oryginału i dopóki chodzi o Windowsa – nie widzę zalet wersji XC.

    Odpowiedz
    • Filip

      +1

      Odpowiedz
    • Loki

      Chociażby dlatego, że wersja XC jest wieloplatformowa (linux, mac os) i lepiej wygląda. Za to nie obsługuje wtyczek (nie licząc dodatków do przeglądarki). Jeżeli nie przeszkadza Ci wygląd i używasz na windows to nie masz po co zmieniać. Generalnie sama aplikacja nie ma większego znaczenia, bo działa niemal identycznie, a pliki (nowsze) z bazami haseł są kompatybilne z nimi wszystkimi.

      Odpowiedz
    • bnbvnbvn

      z zalet KeepassXC jeżeli używasz tylko win i nie potrzebujesz wieloplatformowości – chociażby obsługa TOTP, HMAC bez dodatkowych wtyczek. Wszystko działa od razu od pierwszego uruchomienia i nie ma zagrożeń wynikających z używania dodatków.

      Odpowiedz
  4. Marek

    Wiem że o XC się mówi, że lepszy od oryginalnego KeePassa i cross-platformowy, ale prawilnie przypominam, że to oryginalny KeePass przechodzi audyty bezpieczeństwa i jest na niego bug bounty sponsorowane przez komisję europejską.

    A co do wtyczki do przeglądarki, to ostatnio Tavis Ormandy odniósł się do tego typu wtyczek: https://lock.cmpxchg8b.com/passmgrs.html

    Odpowiedz
    • Janusz

      Nie, Tavis Ormandy nie opisywal problemow z wtyczkami do menadzerow hasel, ale do menadzerow hasel w chmurze (np. Bitwarden, Lastpass, 1password).

      Odpowiedz
      • Blasse

        Nie wczytałeś się zbyt dokładnie – Tavis opisuje problem związany z każdym managerem haseł korzystającym z wtyczki, starającej się automatycznie wykryć pole do podania hasła i stosujący mechanizmy automatycznego dopasowania hasła do adresu strony. To, czy baza danych jest w chmurze, czy lokalna – nie ma znaczenia dla opisywanego problemu…

        Odpowiedz
    • Majk

      Wtyczka do przeglądarki jest zbędna. Wystarczy doinstalować do przeglądarki jeden z dodatków dodający do tytułu karty URL (jest tego co najmniej kilka do każdej przeglądarki) i korzystać z ustawień auto-type (za pomocą skrótu klawiszowego „global auto-type”, a nie jak to jest w artykule, tj. wyszukiwania za każdym razem odpowiedniego wpisu w bazie i klikania opcji auto-type).
      Po prostu wchodzimy na stronę, klikamy w miejsce loginu, wciskamy na klawiaturze swoją kombinację klawiszy i jesteśmy zalogowani.

      Odpowiedz
  5. Natan

    Hej, ciekawą alternatywą dla Keepass2Android jest KeePassDX ;)

    Odpowiedz
    • Janusz

      całkiem spoko jest ten DX, z fajnych rzeczy to na androidzie przy jego pomocy da się ładnie ogarnąć synchronizację między urządzeniami (bo do plików dobiera się przez SAFa).

      Odpowiedz
  6. Karol
    Odpowiedz
  7. Marek

    Poza interfejsem w czym jest ta wersja lepsza od „normalnego” KeePassa?

    Odpowiedz
    • Paweł

      Też się nad tym zastanawiałem i chyba właśnie o interfejs chodzi.
      Jeżeli podeślesz linka do tego artykułu komuś mniej technicznemu to jest większa szansa że nie odrzuci go wygląd wersji KeePassXC.
      Mimo że sam wolę korzystać z oryginalnego KeePassa to chyba też bym wolał polecać coś co wygląda na nowsze stworzone w roku 95.

      Odpowiedz
      • chester

        No właśnie to jest problem – oczy kupują, a nie rozum. Komu przeszkadza wygląd jeśli funkcji jest ledwie parę na krzyż i działają dobrze/bezpiecznie?
        Ja nawet nie zauważyłem by się coś zmieniło w interfejsach tych różnych keepassów bo tylko robię copy/paste/zapisz/wygeneruj.
        Po kiego grzyba mi nowy interfejs?

        Odpowiedz
  8. Tomasz21

    Witam; Panowie, zastanawiam się czy wszyscy mają po kolei w głowie???
    Proszę bez urazy, chodzi o sens, Przechowywania swoich kluczy od domu u możliwego złodzieja.??? W myśl zasady, nie ma pośrednika, nie ma wpadki.
    Gdy, Jest pośrednik, jest zawsze możliwość kradzieży. Pytam? Gdzie tutaj jest logika? / chłopska /. Bo jak powyżej widzę, to bywają różne logiki???
    Pozdrawiam.

    Odpowiedz
    • asdsad

      Więc… „zeszycik z hasłami” czy coś innego?

      Odpowiedz
    • Eryk

      Jeżeli dobrze zrozumiałem, to sam siebie uważasz za potencjalnego złodzieja? Przecież KeePass tworzy bazę haseł na Twoim dysku. Sam decydujesz ile kopii pliku chcesz sporządzić i na jakich dyskach, chmurach, itp. je przechowywać.

      Odpowiedz
    • Autor

      Po to zrobiliśmy poradnik do KeePassXC, gdyż promuje on podejście w którym bazę z hasłami przechowujesz na własnym urządzeniu.

      Odpowiedz
  9. midway

    Jak działa KeePass z YubiKey? Można dodać kilka kluczy?

    Odpowiedz
  10. Artur

    Podpinam się do poprzedników jakie są +/- w stosunku do „oryginalnego” KeePassa?

    Odpowiedz
    • Observator

      KeePassXC w tej samej wersji działa na Win/Linux. Oryginał jest na Win, a wersje linuksowe to różne porty, które nie zawsze nadążają z aktualizacjami funkcjonalności. Tak samo dodatek do przeglądarki – jeden i to oficjalny.

      Odpowiedz
    • bvcbvcnb

      +wsparcie TOTP
      +wsparcie HMAC z kluczami Yubikey
      +więcej opcji konfiguracji i synchronizacji
      +stary keepass trochę leży ze wsparciem ostatnio
      +multiplatformowość – plik config możesz przenieść na inny system (rodzinę systemów) i na każdym masz identyczne, ulubione ustawienia

      zaraz po uruchomieniu, bez dodatkowych wtyczek

      Odpowiedz
      • Majk

        Z tymi opcjami synchronizacji to nawet nie jest strzał w płot… To po prostu nieprawda. Twórcy keepassxc wprost mówią, że mają wywalone na synchronizację i nic w tym temacie nie będą robić bo można sobie podmapować jakiś chmurowy dysk (GDrive, OneDrive, Dropbox itp.) w systemie i sami dostawcy zapewniają odpowiednie oprogramowanie do tego. W rzeczywistości nie zawsze jest to takie proste (np. na slużbowych komputerach). To keepass.info daje dużo więcej opcji synchronizacji poprzez wtyczki (których „instalacja” tak naprawdę polega jedynie na wrzuceniu ściągniętego pliku do odpowiedniego katalogu).

        Odpowiedz
  11. Piotr
    Odpowiedz
    • Autor

      W poradniku do Bitwarden mówiliśmy o możliwości instalacji na własnym serwerze. Domyślnie jednak Bitwarden nie promuje takiego podejścia.
      Co do Albicli, jest to przekaz podprogowy, dlaczego warto korzystać z menedżerów haseł…

      Odpowiedz
  12. lukk

    Jaka jest różnica co do zwykłego KeePassa jakiego używam (oprócz innego UI)? Czy w tej wersji jest możliwość automatycznego uzupełniania haseł maskowanych(nie wiem czy tak to się nazywa, chodzi o to, że wpisujemy tylko jakieś poszczególne cyfry i litery z naszego hasła) jak w niektórych bankach?

    Odpowiedz
  13. Mietek Fretek

    Hej, Mordeczki dające minusy za Albicla! Przecież autor poradnika polewa z tej Albikli. Kto by z guwnwa chciał korzystać?

    Odpowiedz
    • wreszcie ktoś się zorientował o co chodziło autorowi z Albiclą :)

      Odpowiedz
    • Ferdek Kiepski

      To wspólna cecha współczesnych Polaków z prawa, z lewa i z centrum. Kompletna tresura intelektualna. Tylko taki zobaczy coś czego kazano mu nienawidzić i od razu rzuca się jak chart za zającem. Kompletnie zanika zdolność rozpoznania i zrozumienia takich środków stylistycznych jak ironia, sarkazm, przenośnia, eufemizm, parafraza, itp.

      Myślę, że można za to winić głównie szalejącą poprawność polityczną i związaną z nią (auto)cenzurę jakichkolwiek niejednoznacznych wypowiedzi. Twitter bodajże cenzurował za „rasizm” lewicowych aktywistów cytujących krytycznie wypowiedzi antyimigracyjnych polityków.

      Odpowiedz
    • Autor

      To był taki przekaz podprogowy, dlaczego warto korzystać z menedżerów haseł, mając na uwagę burzliwą historię tego serwisu. I nie odpowiadamy się ani za jedną, ani za drugą stroną – to portal o cyberbezpieczeństwie, a nie polityce.

      Odpowiedz
  14. Oficjalna strona?

    „Aby zainstalować KeePassXC, należy wejść na oficjalną stronę KeePassXC, po czym kliknąć w zakładkę “Download””

    – tzn. na którą stronę, konkretnie? Tej informacji brak w artykule.

    Przypuszczam, że udałoby mi się wygooglować, ale w przypadku programu tak bardzo wpływającego na bezpieczeństwo danych warto podać adres. Ryzyko nie jest wydumane. Były już sytuacje, że sztucznie „wypromowywano” podstawione strony.

    A ponieważ tu jest dodatkowe zamieszanie (KeePass, KeePassX, KeePassXC i co tam jeszcze), to i zwiększone ryzyko manipulacji wyszukiwania.

    Odpowiedz
    • Autor

      W fragmencie „na oficjalną stronę” miał być odnośnik, chodziło oczywiście o https://keepassxc.org/, postaramy się poprawić to jak najszybciej!

      Odpowiedz
  15. Dawid

    Ciekawy jest fakt że zastosowanie YubiKey nie podnosi poziomu bezpieczeństwa bazy danych w przypadku keyloggerów. Baza danych jest zaszyfrowana za pomocą algorytmu symetrycznego składającego się z dwuczęściowego hasła. Hasło składa się z wartości wprowadzonej przez użytkownika (stała wartość) oraz hash’u zwracanego z YubiKey (wartość stała). YubiKey instalowany jest w systemie jako zewnetrzna klawiatura i w ten sposób przekazywane jest hasło. W przypadku infekcji maszyny istnieje możliwość przejęcia całej bazy danych i jej odszyfrowania (emulacja YubiKey). Opcja emulacji jest dostępna w aplikacji Strongbox.

    Odpowiedz
  16. Rozwedu

    Witam,
    w kontekście managerów haseł i dzielenia się nimi np. w firmie.
    Czy możecie polecić jakieś rozwiązanie?

    Kwestia tego by względnie prosty sposób zarządzać nimi.
    Dajmy na to w takim KeePass trzyma się wszystko, wiele różnego typu dostępów, lecz tu „udostępnić” należałoby tylko pewną grupę haseł, a nie całość.
    Oczywiście wszystko można robić ręcznie (filtrować), lecz nie taki jest cel. Wówczas przy dużych bazach haseł, w tym scenariuszu, nie praktyczne.

    Z góry dzięki za wszelkie propozycje/sugestie. Pozdrawiam

    Odpowiedz
    • Azg
      Odpowiedz
      • Azg

        aa 10 userów w wersji enterprise, czyli masz możliwość integracja z ldapem, community wersja jest free

        Odpowiedz
  17. Szymon

    Jak chciwielibyście synchronizować bazę keepassXC między innymi komputerami / telefonami ? . przecież nie obsługuje sftp/webdava itp ?

    Odpowiedz
  18. imie

    Wspomniany w artykule program co jakiś czas molestuje o dokonanie jego aktualizacji. Czy po aktualizacji wszystko będzie nadal działać? Mam obawy o dostęp do zapisanych haseł i przez to wstrzymuję się z aktualizacją.

    Odpowiedz
  19. Ari

    Warto zaznaczyć opcję zaawansowaną o tworzeniu kopii przy zapisie/update bazy. Raz miałem niejasny przypadek uszkodzenia bazy. Kopię zapasową na szczęście miałem, choć nieco starszą. Kepassxc był w wersji release, dysk ssd bez błędów, system się nie wysypał.

    Odpowiedz

Odpowiedz na Filip