【白嫖纪元】开源强大的密码管理器，是你没发现它的好 | KeePass 全平台上手指南

tsubang @tsuBench

谈到密码管理器，几乎所有人都会想到红底白星号，或者蓝底白锁孔的那些图标。它们是目前最流行的密码管理器，但要使用它们，得每月缴纳“保护费”。这让很多愿意尝试密码管理器的人望而却步。

但越来越多的人还是愿意交这笔保护费。在这个数据泄露是家常便饭，社会工程是基本素质的年代，要保护网络世界上的安全，只能被迫更换越来越复杂，难以记忆的密码。这导致密码逐渐进入人类无法理解的形态，因此密码管理器几乎成了刚需。

可用了密码管理服务就能高枕无忧了？佛说：不行。

那个红底白星号的密码管理器，曾两度被黑客盗取数据库，运营方甚至要求用户主动更换密码。这让商业公司运营的密码管理服务的安全性受到了极大的质疑，别忘了，密码管理服务本身也有被泄露数据的风险。

聪明的小朋友这时就会说：那我自己保管不就没事了吗？

理论上，为了同步数据库，你还是要把它放在云上。不过将数据库放在一般的网盘上，除非被精准打击，相比托管给专门的密码管理服务，安全性会高一些。然而不幸的是，上述那些密码管理器不可能让你选择用你自己的网盘来保存。

这时候就该 KeePass 登场了。

很多人久闻其名，但却闻风丧胆。也许是因其界面简陋，交互复杂，上手困难。但众人拾柴火焰高，经过数年改进，它终于涅槃重生，让上述印象成为过去式。以下就要介绍它在全平台的部署方案，和它激动人心的强大之处。

注：以下不涉及密码学原理，无任何学习成本，请放心食用。

从 Windows 入门

由于 KeePass 官方提供的客户端只支持 Windows 平台，所以从 Windows 开始体验，能较为完整地体验 KeePass 的全部特性，同时也能避免第三方客户端（如 KeeWeb）魔改数据库导致数据库损坏的情况。

你可以前往 https://keepass.info/download.html 下载 Windows 客户端。

安装完成后，就该新建数据库了。

为了真正做到“全平台”，我们选择将数据库保存在 OneDrive 中，因为 OneDrive 在 Windows 10 中集成度高，所以采用它作为同步方式是最简单的。当然云服务的选择不是唯一的，你也可以选择坚果云等 WebDAV 作为同步方案。

下一步是创建密钥，这里推荐启用“密钥文件”选项，它可以为你的数据库提供双重保障。

点击“创建”，选择保存在本机上，接着按照提示晃晃鼠标，敲一些怪话，你就能生成一个 .key 文件了。

接下来，为了同步，我们将 .key 文件上传至 Google Drive 等云盘。由于 .key 文件不需要经常更新，所以对云盘选择没有要求。不建议将数据库和密钥文件储存在同一个云服务上，把鸡蛋放在不同篮子里，降低风险。

完事以后，下一步，配置数据库。

输入数据库名称以后，就可以直接下一步了。

询问是否打印应急表单，以防万一我们还是打印一份。

经过了这些步骤，你就完成了数据库的建设。接下来你可以添加你的密码了。

打开密码生成器，我们可以自由选择需要随机生成的密码长度，和包含的字符。

之后选择保存，你就成功创建了一条密码数据。

以上都是基本操作，是任何一个密码管理器都具备的功能，实际上没有这篇文章你也知道咋整。别急，接下来就是 KeePass 令人激动人心的地方了。

自动填充

是的，在 Windows 上你也可以自动填充。只需要按一个快捷键就可以了。而且自动填充的适用范围也更大，不管是程序还是网页，都可填充。因为它的原理是：匹配当前窗口的标题，如果关键词和某条目相同，就填入相应的账号密码。

你只需要去工具 > 选项 > 集成中设置快捷键即可。

为了更好的自动填充效果，你可以在“高级”选项卡中，将自动填充的相关选项勾上。

插入件件

点击工具 > 插件管理器，打开插件管理器。

点击“获取更多的插件”和“打开文件夹”。

在弹出的页面中，你可以像给 Chrome 装扩展一样，下载各种插件，然后将下载的文件移动到刚才打开的文件夹中。

这里推荐 KeeTrayTOTP 和 KeePassWinHello，前者支持生成二步验证码，这样你就不用再装 Google Authenticator 这类应用了；后者支持 Windows Hello 解锁数据库，它可以让你从麻烦的密码输入中解脱出来。

接下来简单介绍如何使用这俩插件。

KeeTrayTOTP

这里以 Google 的二步验证为例。

打开以上网页，选择“身份验证器”应用，随便选择 Android/iOS 然后下一步，选择 QR 码下的“无法扫描？”，接着将字符串复制。

回到 KeePass，右键数据库任一条目，选择 Setup TOTP

将刚刚的字符串粘贴在第一个框里。

接下来点 Finish，就齐活了。

以后需要使用二步验证码时，同样右键该条目，选择 Copy TOTP 即可。

KeePassWinHello

它的设置在工具 > 选项 > WindowsHello 中，打开它然后按下图设置即可。

拥抱 Android

有一说一，在手机上我们也会遇到大量的登录场景，所以 Android 当然也要安排上。

近几个月，有一些新的 KeePass 客户端出现在 Google Play 上，但它们功能还不尽完善，因此我们还是选择最老牌的 KeePass2Android。

由于它不允许截图，我也懒得安装强制截图插件，接下来只用文字描述使用方法，理解万岁。

安装后，我们选择“打开文件...”，然后选择 OneDrive，登录 Microsoft 账号，选择你的数据库，接下来选择主密钥类型为“密码+密钥文件”，输入数据库密码，再选择你上传到 Google Drive 的 .key 文件，点击解锁就能进入数据库了。

之后点击右上角菜单，选择设置，在数据库设置中，选择“指纹解锁”，再选择“启用完整的指纹解锁”，之后就可以用指纹解锁你的数据库了。

同样，KeePass2Android 也能安装插件，但指纹解锁和二步验证已经内置在客户端内了，只要点击已设置二步验证的条目，就能复制 TOTP 码，异常方便。

为了自动填充，在系统设置中将“自动填充服务”设置为 KeePass2Android 即可。

救救可怜的 iOS 用户

可怜的 iOS 常年被 1Password 霸权，支持 KeePass 的应用实在有限，但幸运的是，有一个应用，它基本免费，界面美观而且操作直观，它就是 KeePassium。

iOS 云同步的逻辑和 Android 不同，你还需要先去 AppStore 安装 OneDrive 和 Google Drive（国区无）这两个应用，再分别登录，并在“文件”应用中，启用这两个来源，才能在 KeePassium 中从它们选取数据库和密钥文件。

同样，KeePassium 内置 Touch/Face ID 和 TOTP 功能，TOTP 也是直接进入条目即可复制，至于生物验证就需要设置一番了。

解锁数据库后，在下方设置中，进入“应用保护”，打开里面所有的开关，再进入“数据保护”，打开里面所有的开关，并将“数据库超时”设置为“永不”。由于有应用密码保护，所以你的数据库也不能被直接解锁，这相当于将解锁的任务分担给了 KeePassium 应用本身。

如果你不放心这种操作，可以购买专业版，或者加入它的 Testflight，这样就能添加多个数据库，并用指纹解锁数据库，而不是应用本体了。

为了自动填充，在系统设置 > 密码与账户 > 自动填充密码中，将 KeePassium 勾选为允许的填充来源即可。

macOS 和 Linux 呢？

你可以使用采用 Qt5 构建的跨平台客户端 keepassXC。

除此之外，你还可以在 https://keepass.info/download.html 下载对应的客户端，或使用这个浏览器插件：Tusk，但它从 OneDrive 获得的授权经常被取消，体验不是很连贯。

这只是个开始

KeePass 证明了，开源的不一定都是破烂东西。正是开源社区的力量，使它在全平台开花，拓展性极强。本文只对 KeePass 的基础功能做了介绍，实际上还有大量特性值得你去发掘。

不只是 KeePass，还有很多开源，或者不开源只是免费的工具值得你去体验，我们会继续在今后的「白嫖纪元」栏目中介绍它们。

写文不易，你可以在支付宝中，搜索“666218830”和“体验金119256930”领取赏金并支持本文作者。