使用KeePass密碼管理器要注意的風險是什么

今天就跟大家聊聊有關使用KeePass密碼管理器要注意的風險是什么，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結了以下內容，希望大家根據這篇文章可以有所收獲。

簡介

KeePass是開源免費的密碼管理器，自2003年11月發布以來廣受歡迎。作為第二代密碼管理器的典型代表，KeePass超越了前一代，為密碼管理帶來了真正的加密保護，可以有效防止泄密。

經過十幾年的發展，KeePass功能越來越強大，并且積累了數百萬用戶。除了最早支持的Windows平臺外，KeePass已經被廣泛移植到Linux，Mac，Android，iOS等所有主流平臺。在Play Store中，KeePass2Android, KeePassDroid等 Android 移植版下載量已經超過1百萬。

風險

由于KeePass開源免費，大量用戶慕名而來，但他們卻不理解安全使用KeePass的前提條件。在 Password managers aren't all they're cracked up to be. Here's why一文中，Kayla Matthews介紹了密碼管理器并非牢不可破，警告用戶不要沉迷于假的安全感。開源不會給KeePass一個金鐘罩，如果使用不當，同樣會面臨嚴重的風險。

絕大多數的KeePass產品，都使用公共存儲空間保存數據庫文件（iOS移植版除外，因為iOS沒有公共存儲空間）。加密后的數據庫文件，很容易被系統上的其他App訪問，離泄密實際上只有一個主密碼的距離。

通常，黑客即使偷取了KeePass數據庫，也仍然需要破解主密碼才能夠偷取里面保存的密碼。如果主密碼設置得很長、很復雜、又不重用，暴力破解還是很有難度的。但是有一類App卻能夠輕而易舉地獲得主密碼：輸入法。

很多人都會使用第三方輸入法，而輸入法把用戶鍵入的字符上傳到云端早已不是什么秘密，要不怎么改進輸入體驗呢？只要偷取KeePass數據庫的惡意程序，能夠同時從輸入法的數據里面偷取到主密碼，那么破解保存的所有密碼就再容易不過了。又或者，邪惡地想象一下，如果惡意的輸入法偷取了KeePass數據庫呢？

在iOS平臺上，由于沙盒限制，即使是輸入法也無法偷取KeePass數據庫，但是其他平臺并沒有這個保護。

Android平臺不是也有沙盒嗎？

Android系統確實有沙盒保護機制，能夠限制惡意程序訪問App的內部數據，可惜幾個流行的KeePassAndroid移植版本，全都把數據庫文件保存在外部存儲中。同時，幾乎所有流行的輸入法App都具備偷取密碼的足夠權限：

外部存儲，可以讀取KeePass數據庫文件；

網絡，可以將主密碼和數據庫文件發送到云端。

如果讀取了KeePass的數據庫，又知道主密碼，那么再利用KeePass的開源加密算法，就能夠很快解密出保存的密碼。當然，開源并非必要條件，在黑客的電腦上使用KeePass程序打開數據庫并輸入主密碼，也立即可以解密。

那些流行的輸入法可以信任嗎？

至于你們信不信，我反正信了不信！

建議

在Android這樣有沙盒保護的平臺上，將密碼數據庫保存在外部存儲中是非常危險的，KeePass的開發者顯然更重視某些便利性，而非用戶數據的安全性。如果仍然想要使用 KeePass密碼管理器，建議：

在小米、華為等手機上，啟用安全鍵盤。在輸入密碼時，安全鍵盤會代替默認輸入法，防止密碼被輸入法偷取。

禁止輸入法訪問外部存儲。

禁用輸入法的聯網權限，或者選擇沒有聯網權限的輸入法（如果你找得到的話）。

當然，常規安全操作也是必不可少的，比如及時更新系統安全補丁，不要安裝來源不明的App等。

看完上述內容，你們對使用KeePass密碼管理器要注意的風險是什么有進一步的了解嗎？如果還想了解更多知識或者相關內容，請關注億速云行業資訊頻道，感謝大家的支持。