Menedżer haseł KeePass (manager KeePassXC) – jak używać?

Jak rozpocząć pracę z menedżerem haseł KeePassXC? W dzisiejszym świecie, gdy wszystko wokół wymaga skomplikowanych haseł, zapanowanie nad nimi wydaje się wręcz niemożliwe. Wystarczy jednak użyć odpowiedniego rozwiązania, czyli menedżera haseł. Jest to aplikacja, która w Twoim imieniu generuje, bezpiecznie przechowuje i zarządza hasłami. Można jej użyć również do logowania w dowolnych serwisach i aplikacjach. Same hasła przechowywane są w silnie zaszyfrowanej bazie, na Twoim komputerze lub w chmurze. Nieco upraszczając, używanie managera haseł sprowadza się do konieczności zapamiętania tylko jednego hasła. Oczywiście, powinno ono być silne, czyli odpowiednio długie i skomplikowane. Przyznasz jednak, że wykucie na pamięć jednego ciągu znaków jest o wiele łatwiejsze, niż kilkudzesięciu :).

Korzystanie z managera ma jeszcze jedną zaletę: możesz przechowywać w nim nie tylko dane logowania, ale również innego rodzaju poufne informacje.

Może zainteresuje Cię również artykuł, szczególnie, jeżeli jeszcze nie jesteś przekonany o konieczności korzystania z takich rozwiązań:

Dlaczego KeePass i w jakiej wersji?

Na rynku dostępnych jest całkiem sporo menedżerów haseł (wiele z nich podaliśmy w ww. artykule). Nasz wybór padł na managera KeePass, a w szczególności wersję KeePassXC. Dokonując wyboru, kierowaliśmy się kilkoma wytycznymi, które prawdopodobnie są ważne dla większości z Was:

• jest bezpłatny, przynajmniej w podstawowej wersji,
• obsługuje mocne i powszechnie uznane algorytmy szyfrowania, a więc ryzyko ew. złamania jest minimalne (akceptowalne),
• ma otwarte źródła (open source), czyli nie ma obawy, że producent mógł ukryć jakąś furtkę albo, że zbytnio kusi ‘3-literowe instytucje’,
• można go zainstalować/uruchomić/zintegrować/synchronizować na wszystkich powszechnych platformach (Windows, Linuks, Mac, Android, iOS),
• integruje się z najpopularniejszymi przeglądarkami,
• jest dostępny (ew. na życzenie) również w polskiej wersji językowej.

W przypadku, gdy nie potrzebujesz możliwości uruchomienia menedżera haseł na innych OS, wówczas dobrym wyborem będzie też KeePass, w swojej pierwotnej wersji.

Instalacja i uruchomienie.

Pobierz najnowszą wersję z tej strony: https://keepassxc.org/download/. Aplikacja dostępna jest dla:

• Windows (7, 8.1 i 10, w wersjach 32-bit i 64-bit),
• rodzinę Linux (Ubuntu, Debian, Arch Linux, Gentoo, Fedora, CentOS, OpenSUSE oraz AppImage i Snap Package),
• macOS (10.12 Sierra, 10.13+ oraz Homebrew Cask)

Ponadto istnieje możliwość uruchomienia na Android i iOS oraz synchronizacji pomiędzy różnymi systemami, a także instalacji dodatków do przeglądarek (Chrome, Firefox, Opera, Safari, Edge), ale o tym nieco później.

Oczywiście wybierz wersję swojego systemu operacyjnego:

Następnie przeprowadź na swoim komputerze tradycyjną instalację nowej aplikacji. Gdy uruchomisz KeePassa, zobaczysz taki oto ekran logowania:

Zakładamy, że dotąd nie korzystałeś z KeePassXC, a będziesz go używał w ‘tradycyjny’ sposób, więc skupimy się na opisie funkcjonalności dla nowego i typowego użytkownika. W pierwszym kroku należy utworzyć bazę, w której menedżer będzie przechowywał hasła. Klikamy więc w ‘Stwórz nową bazę danych’:

Drugi krok formularza pozostawiamy z domyślnymi ustawieniami i potwierdzamy nasz wybór. I teraz rzecz najważniejsza, czyli stworzenie lub wygenerowanie głównego hasła dostępu. Będzie to właśnie to jedyne hasło, które będziesz musiał zapamiętać. Najlepiej, gdyby udało Ci się zapamiętać hasło, wygenerowane przez aplikację (opcja dostępna pod oznaczoną ikonką kostki). Albo przynajmniej zbliżyć do takiego kształtu/formy (więcej o tworzeniu haseł silnych, ale łatwych do zapamiętania, np. w tym artkule):

Uwaga! W przypadku, gdy zapomnisz to główne, jedyne hasło, wówczas nieodwracalnie stracisz dostęp do całego sejfu. Dobrze więc, na wszelki wypadek, gdzieś je sobie zapisać, ale… Uwaga2! Nie zapisuj go w żadnym miejscu, które ma cokolwiek wspólnego z chronionymi zasobami. Sytuacja idealna: zapisz je na kawałku kartki + skopiuj na nośnik, bez żadnych innych dodatków/opisów i zamknij je w skrytce bankowej. Życie: schowaj tę kartkę np. w domu rodziców. Powinno to być miejsce, z którego nie korzystasz na co dzień (w końcu to tylko plan B) i, które stosunkowo trudno z Tobą powiązać. A najważniejsze, aby sposób utrwalenia znacząco różnił się od tego chronionego (tutaj: kartka, a nie systemy IT).

Ostatnim krokiem tego etapu jest wskazanie managerowi haseł miejsca, w którym ma przechowywać swoją bazę:

Generalnie, nie ma znaczenia, czy wybierzesz jakieś konkretne miejsce na dysku (z zastrzeżeniami w punkcie ‘Administracja KeePass’) , baza przechowywana jest w formie zaszyfrowanej. A, praktycznie jedynym realnym sposobem jej otwarcia – jeśli użyłeś silnego – jest podanie prawidłowego hasła głównego. Oczywiście, nie zapisuj go w żadnym publicznym katalogu, do którego ma łatwy dostęp ktoś inny, itp. Natomiast, miejsce to może mieć znaczenie, jeśli będziesz korzystał z opcji synchronizacji, o czym nieco dalej (później możesz zmienić wybór).

Instalacja dodatku do przeglądarki.

Dodatkowo zainstaluj sobie dodatek KeePassXC-Browser do używanej przeglądarki. Dzięki temu będą automatycznie pobierane dane z KeePassXC i wypełniane bezpośrednio w polach formularzy logowania. Jest to bardzo przydatna wtyczka, która zwiększa wydajność pracy poprzez oszczędność czasu. Nie będziesz musiał ręcznie kopiować danych z KeePassXC i wklejać ich do formularzy na stronach internetowych. Dodatkowa (i nie bagatelna) korzyść jest taka, że rozszerzenie nie zadziała na fałszywej stronie. Czyli, jeśli np. ktoś spróbuje zaatakować Cię w formie phishingu i nie zauważysz, że trafiłeś na stronę z literówką w nazwie domeny.

Poniższy przykład dotyczy przeglądarki FireFox, analogicznie możesz postąpić w Chrome, Tor, Chromium i Edge. Uruchom w swojej przeglądarce opcję dodawania rozszerzeń:

W wyszukiwarce wpisz frazę ‘KeePassXC-Browser’, a następnie zainstaluj i włącz dodatek:

Następnie przejdź w KeePassXC do: ‘Ustawienia’ -> ‘Integracja z przeglądarką’, zaznacz pole ‘Włącz integrację z przeglądarką’ oraz pole(-a) przy używanej przez Ciebie oraz zapisz wybór przyciskiem ‘OK’:

Obsługa KeePass w wersji XC.

Po uruchomieniu menedżera haseł, zobaczysz ekran logowania:

To właśnie tutaj musisz podać to osławione ;), jedyne hasło.

Uwaga ogólna: od teraz zapomnij o wymyślaniu swoich własnych haseł do aplikacji i systemów. Zakładając jakiekolwiek nowe konto lub modyfikując istniejące, zawsze używaj odtąd opcji ‘Generator hasła’ w KeePass (ikona kostki):

Na początku zaplanuj sobie własny porządek , jeśli tylko masz więcej haseł. Możesz np. podzielić zapisy na różne grupy, aby ich późniejsze odszukiwanie było łatwe. Tutaj trudno coś doradzić, każdy ma swój ulubiony system tworzenia struktur katalogów. Stwórz po prostu taką hierarchię, abyś mógł łatwo odszukiwać potrzebne informacje. Oczywiście będzie to miało znaczenie, jeżeli masz tych haseł dziesiątki, setki:

Tworzenie wpisu w bazie KeePass.

Zacznijmy od prześledzenia realnego przypadku, na przykładzie strony logowania do Strefy Klienta Servizza:

Wybierz z menu pozycję ‘Dodaj nowy wpis’ i wypełnij pola formularza. Dostępnych jest kilka dodatkowych i zaawansowanych opcji, a wymagane minimum wygląda następująco:

Po zatwierdzeniu, w głównym oknie programu pojawi się dodana pozycja. W każdej chwili masz dostęp do różnych funkcji oraz jej edycji:

Korzystanie z zapisów KeePass.

W każdej chwili masz dostęp do wszystkich swoich wpisów, natychmiast po zalogowaniu w programie. Dane możesz przeglądać, kopiować, edytować, itd. Możesz też zautomatyzować sobie tę najczęstszą funkcjonalność, czyli logowanie na stronach WWW. W tym celu, uruchom swoją przeglądarkę, kliknij w ikonkę KeePass w górnym prawym rogu, wybierz opcję w rodzaju ‘Połącz/skojarz przeglądarkę’ i zatwierdź wybór:

Jeśli aplikacja KeePassXC nie jest połączona z wtyczką KeePassXC-Browser, kliknij szarą ikonę wtyczki KeePassXC-Browser w swojej przeglądarce internetowej oraz w przycisk ‘Przeładuj’. Od tej chwili, gdy otworzysz stronę, dla której widnieje zapis w bazie KeePass, przeglądarka pozwoli Ci na automatyczne wypełnienie danych logowania. Możesz używać tutaj skrótu klawiaturowego, kliknąć w pole logowania (podświetli się odpowiedni wpis), lub w ikonkę zielonego klucza. Przy pierwszej próbie aplikacja zapyta, czy na pewno zgadzasz się na udostępnienie wpisu, ale wystarczy zaznaczyć odpowiednie pole, aby zapamiętała Twoją decyzję:

KeePass musi być uruchomiony (odblokowany), aby rozszerzenie do przeglądarki działało. Automatycznie blokuje się np. po wylogowaniu, zamknięciu klapy laptopa, itp., ale możesz tym sterować w ustawieniach.

Synchronizacja danych między urządzeniami

Załóżmy, że masz potrzebę logowania się do swoich systemów bez dostępu do głównego  komputera, np. z telefonu. Oczywiście nie pamiętasz hasła, bo i po co, skoro przechowuje je KeePass, a jest ono długie i skomplikowane. W końcu przecież właśnie dlatego zacząłeś go używać :). Taką funkcjonalność możesz uzyskać dzięki synchronizacji bazy pomiędzy urządzeniami, np. laptopem i smartfonem.

W tym celu zainstaluj sobie na telefonie wersję mobilną Keepassa:

• Keepass Touch – dla iOS,
• KeePass2Android – dla Android.

Następnie musisz zadbać o to, aby baza danych stała się wspólna dla obu urządzeń. Możesz to osiągnąć na dwa sposoby:

• Za każdym razem, gdy dokonasz zmiany w bazie (np. dodasz/zmienisz hasło), skopiuj bazę na swój telefon. Oczywiście, rozwiązanie to sprawdzi się, gdy nie dokonujesz takich zmian zbyt często. W przeciwnym razie:
• Możesz uruchomić synchronizację pliku z bazą przez chmurę. Doskonale sprawdzi się tutaj rozwiązanie w rodzaju Google Drive, DropBox lub Microsoft OneDrive. Jeśli posiadasz pakiet hostingowy Servizza, w każdej chwili możesz również uruchomić sobie swoją własną chmurę.

Rozwiązanie pierwsze nie wymaga chyba dalszych wyjaśnień i możesz je stosować zawsze, gdy tak Ci po prostu wygodniej. Omówimy więc rozwiązanie drugie, czyli synchronizację. Być może obawiasz się, że przekazanie na zewnątrz haseł nie będzie zbyt bezpieczne. De facto, jeśli tylko zadbałeś o naprawdę silne hasło dostępu, ryzyko jest praktycznie pomijalne. Baza bowiem szyfrowana jest naprawdę mocnym algorytmem.

Musisz zadbać o jeszcze jedną kwestię, jeżeli chcesz na obu urządzeniach korzystać z tej samej bazy. A mianowicie, główną bazę zapisuj w katalogu, który synchronizujesz z chmurą. Większość dostawców udostępnia odpowiednie narzędzia i instrukcje w jaki sposób to zrobić, więc tutaj pominiemy te szczegóły. Natomiast na telefonie, podczas uruchomienia KeePassa wybierz ‘Otwórz plik…’ i wskaż plik z katalogu danej chmury:

Aplikacja jest stosunkowo intuicyjna i częściowo podobna do wersji PC, więc nie powinieneś mieć większych problemów. Natomiast, jedna z głównych opcji wymaga wyjaśnienia. Smartfonowa apka niestety nie wypełnia automatycznie formularza logowania. W tym przypadku musisz więc robić to ręcznie, za pomocą schowka, a dalej opcji ‘wklej’ w odpowiednim polu formularza..

Administracja bazą KeePass

Pamiętaj proszę o kilku ważnych rzeczach:

Przechowywanie pliku bazy danych

Twoja baza danych może zawierać bardzo wrażliwe dane i powinna być przechowywana w bardzo bezpieczny sposób. Zadbaj o to, aby baza zawsze była chroniona silnym i długim hasłem. Upewnij się, że plik z bazą danych przechowujesz w folderze, który jest bezpieczny. Przypilnuj, aby ktoś nie usunął przypadkowo pliku z bazy danych. Usunięcie pliku z bazą spowoduje, że utracisz dostęp do swoich haseł. Pamiętaj, aby nie udostępniać nikomu pliku z bazą, chyba że jest to absolutnie konieczne i dokładnie wiesz co robisz oraz jakie mogą być konsekwencje.

Tworzenie kopii zapasowej pliku bazy danych

Dobrą praktyką jest tworzenie kopii pliku bazy danych i przechowywanie jej w innych miejscach, do których masz dostęp. Może to być inny komputer, smartfon, pendrive lub pamięci masowe w chmurze, takie jak Google Drive, DropBox lub Microsoft OneDrive. Jeśli posiadasz pakiet hostingowy Servizza, w każdej chwili możesz również uruchomić sobie swoją własną chmurę.

Tworzenie kopii zapasowych Twojej bazy danych zapewni Ci spokój i bezpieczeństwo. W przypadku utraty dostępu do głównej bazy (np. wskutek awarii komputera), możesz szybko pobrać kopię swojej bazy danych i zacząć z niej korzystać.

Udostępnianie pliku bazy danych

Jeśli istnieje potrzeba udostępnienia komukolwiek pliku z bazą danych KeePass, upewnij się, że jest on chroniony silnym hasłem. Zalecane jest, abyś w takim przypadku chronił swój plik z bazą również za pomocą pliku klucza. Nigdy nie udostępniaj pliku bazy danych, hasła i pliku klucza w ramach jednej komunikacji. Wyślij zupełnie różnymi kanałami/formami, np.: mailem (najlepiej dodatkowo szyfrowanym), sms, itp. Ogólnie, zawsze staraj się stosować przynajmniej minimalne standardy bezpieczeństwa.

Potrzebujesz pomocy?

Potrzebujesz dodatkowej pomocy lub porady? Serdecznie zapraszamy do kontaktu z naszą Pomocą Techniczną.

Serdecznie zapraszamy również na naszego bloga, gdzie znajdziesz m.in. mnóstwo porad dotyczących hostingu, serwerów, obsługi stron WWW i e-commerce. W szczególności do sekcji: https://blog.servizza.com -> ‘Polecane artykuły’. Polub też proszę nasze profile w social mediach, abyśmy mieli szansę Cię poinformować o nowych publikacjach (linki w menu) :).