用 KeePassXC Browser 密碼管理套件取代 Firefox 內建危險密碼管理系統

by · Published

不久之前 AdBlock Plus 擴充套件的開發者 Wladimir Palant 發現 Firefox 主控密碼存在安全問題,那就是將使用者密碼轉換成加密金鑰的函式雖然採用了常見的 SHA1 加密雜湊演算法,但只迭代一次,而行業標準是至少迭代一萬次。對這個數字沒有概念的話,行業中佼佼者 LastPass 是迭代了 10 萬次。弱加密的後果則是讓密碼容易被破解,用現在比較頂尖的 GPU 來算大概一分鐘上下就可以破解大部分的加密。

事實上 Justin Dolske 早在九年前主控密碼功能剛上線時就向 Mozilla 提報火狐主控密碼存在的風險,只是火狐從來沒有修改這功能。甚至到了最近新聞大肆報導下也並沒有在最新的 Firefox 59 立刻改進,再不清楚有沒有其他未爆開問題情況下,除了絕對不要使用 Firefox 內建的「主控密碼」功能外,最好也不要繼續使用 Firefox 內建的密碼管理功能。
Firefox 危險的主控密碼功能

KeePass 系、BitwardenLastPass Password Manager 三者是火狐上最多人使用的密碼管理方式,我尤其推薦採用 KeePass 系方案。除了因為開源、免費外,最重要的是開發者的高人品、紀律。很多打著開源、開放吸引使用者投入的軟體、套件,再推展不理想後不是轉賣就是放棄開發,反而造成了使用者前期投入浪費與改變工作流的困擾(一般使用者頂多 compile,不太可能有能力繼續接手開發,所以才說免費的最貴)。而 KeePass 已經持續維護十五年,除了其令人敬佩的精神,也累積了大量的開發者,不太可能有斷頭的危險。

KeePassXC 則是 KeePass 系裡一個社群開發版,在版本 2.3 後新增了 KeePassXC-Browser API 去取代 KeePassHTTP 這個常見的 KeePass 軟體整合瀏覽器的方案。我過去推薦過的 KeePassHttp-Connector,以及 Firefox 上大名鼎鼎的 passIFox、Chrome 上的 ChromeIPass 都是採用 KeePassHttp 這個方案,然而因為 KeePassHTTP 的作者已經停止開發很久,存在一定的安全問題,故現在我更建議使用 KeePassXC 的方案。

關於 KeePassXC 方案

使用 KeePassXC 方案的程式很簡單,因為是基於 KeePass 而開發的社群版,所以完全可以使用相同的資料庫、密碼和解鎖金鑰。唯一需要改變的就是下載最新版的本 KeePassXC 以及安裝對應瀏覽器的 KeePassXC-Browser 套件。

  • KeePassXC 的官網Github
  • KeePassXC Browser 對應 Firefox 套件:點此
  • KeePassXC Browser 對應 Chrome 套件:點此

使用 KeePassXC Browser 方案

KeePassXC 軟體部份

1.下載好 KeePassXC 之後,如果是新的使用者,開啟程式後點右上角資料庫,自行先建立帶有「金鑰檔案」的資料庫,這樣能保證萬一有天不幸被人取得資料庫,猜中資料庫的管理密碼,仍然無法破解你的資料庫。

KeePassXC 建立資料庫

2.接下來按「工具」進入「設定」頁面,選擇「瀏覽器整合」分項,將要整合的瀏覽器打勾,然後選擇 OK。

KeePassXC 軟體開啟整合功能

KeePassXC Browser 擴充套件部份

1.安裝好 KeePassXC Browser 擴充套件之後,會在右上角出現套件 icon,在要連結的 KeePassXC 資料庫開啟的情況下(或說是解鎖),點套件 icon 再點 Connects。

KeePassXC Browser 套件連接資料庫
2.接著取一個自己能夠辨認的資料庫名稱(同時有不同資料庫時,這個功能就很方便),點「儲存並允許存取」,到這邊為止就完成了大部分的工作。之後可以點套件 icon 裡的「Settings」,選「Connected Databases」分相做檢查及移除。

KeePassXC Browser 套件連接資料庫2

3.創立密碼條目的部份就是 KeePassXC 方案笨拙的部份,必須先從軟體的資料庫中,按右鍵「新增項目」,然後在「網址的調目中」填入密碼輸入頁面的網址(第一個 / 後面都刪掉),才能比較好的被偵測來自動填入或修改。(已經存在的項目也去修改網址吧!

KeePassXC Browser 有點累的第一步

結語

KeePassXC Browser 的密碼管理方案一開始使用起來的確比較吃力,部份體驗比較差。但對常用網站設定之後就能感受到其方便,更重要的是密碼安全上的保護。即便使用過後並不喜歡此套件,我也強烈建議在 Firefox 密碼管理可能存在安全隱憂的情況下,使用其他第三方管理套件。

註一、前文提到建立資料庫時同時建立金鑰檔案的重要,由於 keepass 並沒有自己的同步功能,所以事實上我自己是透過 dropbox 在不同裝置間同步 keepass 的資料庫,同時將金鑰檔案透過 onedrive 或著直接擺放在實體機器裡(比方說手機),畢竟兩個網路服務不太可能同時被攻破,即便同時被攻破仍有密碼保護,如此一來即可享受同步的方便時,同時又能確保安全。

註二、自動填入功能可以在套件 Settings 裡的 General 的分項裡,勾選「Automatically fill-in single credentials entry.」即可打開。但全世界所有的自動填入密碼功能都有安全風險,可以自行評估是不是要打開。

 

 

Tags:

You may also like...

Top