Spads 工作组为 Cikers 项目编写的密码库使用说明

  Cikers密码库使用说明

History

1.1.0, 2014-11-28 Friday          Shane Loo Li     初版

1.1.1, 2014-11-30 Sunday        Shane Loo Li     增加了Mac版的国内下载地址，增加了编辑备注的意义，增加了对backup组的操作建议

1       使用密码库的背景

1.1     一个真实的场景

　　自动化部署脚本还需要3天，今天刚有同事交付过来12台新装的服务器，加上原来的17台服务器，都需要部署昨天交待上线的程序。这是工作，于是他翻出密码记录文件，是一个.txt，开始看着IP，一台一台登录。每台服务器都放在外网，密码不能设定得太简单。结果一整个.txt都是一堆W49FN78DEK892XMB33JPYZCH这样的东西，看得他很头疼。结果登录到第4台的时候，登录不进去了，他被吓了一跳。然后回头一看密码文件，发现选择密码进行复制的时候，选串行了。

1.2     密码库的概念

　　为了解决上述问题，我们需要一种工具，能够生成足够复杂的密码而不用费劲瞎编，能够让我们可以复制密码粘贴在需要的地方而不是手打，能够分级记录各种密码使用场景一下子定位要用的那个密码；最后，还需要我们的密码们能够安全存放，不会因为文件丢失等原因泄露。

　　因此，密码库管理器应运而生。密码库是指我们的密码们。密码管理器一般来说是一种软件，用来管理用户的密码库。

1.3     密码库管理器KeePass介绍

　　KeePass全称KeePass Password Safe，是一个叫Dominik Reichl的人，用GPL协议于2003年末发布的自由软件。它及其衍生品已经成为现在全球使用最多的密码库管理器。它对密码库实行高级加密标准（AES）的加密，可以用文件、密码或者Windows用户账户来验证是否可以打开密码库。

高级加密标准的英文是AdvancedEncryption Standard，简称AES。从2002年中被美国认定以来，已经成为了对称加密最流行的算法之一。加密机理是多轮加密。每一轮都把待加密内容分成数据小块，然后经历回合秘钥亦或、查表替换、单向交换位置、跳位集线性运算这四步。前二步都是每个字节单做的变换，后二步是各块之间可以互相影响加密结果的过程。

1.4     密码库管理器KeePassX介绍

　　原版KeePass最开始用C++进行开发，现在已经转用.NET了。虽然在非Windows平台上可以通过Mono来运行，但效果很不好；即便在Windows中安装，也可能需要很长时间来安装各种.NET运行环境。KeePassX是KeePass的QT兼容版本，各平台表现优秀，也是通过GPL协议发布的自由软件。Cikers统一使用KeePassX。

2       使用密码库

2.1     准备

　　KeePass官方网站提供了下载 http://www.keepassx.org/downloads 。其中Windows版下载解压后可以直接使用；MacOS版是标准的程序包；Linux可以使用Ubuntu的源或者CentOS的EPEL源，如无发行包则需要通过源代码自行编译。友情提示，这个网站在中国大陆速度巨慢无比。

2.2     初次使用

　　Cikers全体成员都将收到自己的密码库文件。请各位将密码库文件放置在合适的位置之后再用KeePassX打开，以后程序都会在首次打开的位置寻找密码库文件。初次使用，可以直接进入KeePassX的主界面，然后通过“文件>打开数据库”、快捷键“<Ctrl> + <O>”或者点击小图标来打开密码库文件。

　　打开密码库时需要输入密码。各位将通过电子邮件或别的某种通讯方式收到自己密码库文件的初始访问密码。打开密码库之后，大家会看到我们为大家预设好的一些密码，都存放在Cikers组里边。

　　此时我们应该立刻通过文件 > 修改主秘钥来修改自己密码库的访问验密方式。注意，这里菜单写作“秘钥”，进入录入界面提示为“修改主密码”；这是翻译问题，并不是程序错误。新的验密方式可以单独或同时使用密码和密钥。请注意这里如果同时录入了新的密码和密钥，意味着每次打开密码库，需要同时提供二者，而不是择一即可。密钥是一个文件，可以专门由KeePassX生成然后自己存好，也可以使用一些意想不到的文件，但要求文件大小内容不能发生改变。比如一个MP3文件、一张图等。选择使用密码请一定自己记好，因为其它所有密码都靠这个验证通过才能获取了。选择密钥要防止误删和误改。

2.3     获取用户名和密码并使用的快捷操作

　　KeePassX中每一条记录项都记录了用户名、网址和密码，同时通过标题让使用者能够识别。

　　单击表头可以给当前组各个密码记录项排序。点击“标题、用户名、密码”，都是按照标题排序，点击“网址”是按照网址排序，点击“备注”是按照备注排序。例如上图就是按照标题逆序排列。如果想按照网址排序，点击网址即可。当然，如果当前组密码很少，排序功能没什么用。

　　除此之外，双击任何密码项的网址，都会由机器自动选择合适方式打开登记的网址。Windows下通过默认浏览器打开http://协议引导的网址，而带有Unix系列终端的操作系统，能够自动通过终端去连接ssh:///协议引导的网址。

　　双击任何密码项的用户名内容，即便看起来是6个*，但真正的用户名还是会被记录进剪贴板；此时需要立刻把用户名粘贴到需要输入用户名的地方。KeePassX为了防止泄密，会在将用户名装入剪贴板之后大约20秒钟清空。所以应该先准备好粘贴用户名的地方，再双击密码项以填充剪切板，然后就可以立刻切换窗口粘贴用户名了。操作密码的操作用户名一样。

2.4     详细操作密码记录项

　　用鼠标右键点击任意一条密码记录项，将会弹出一个详细操作的菜单，其中详细列出了可以进行的各种操作。其中复制用户名、密码和网址到剪切板，以及查看或编辑项目，都能够通过鼠标双击密码项有关字段来完成。不过作为技术人员，请时刻注意，最高效的操作一般都是快捷键。另外，KeePassX现在对于任何的密码改动、删除，都会自行留备在Backup组里边，以防止用户误操作丢失密码。最后，“复制该项目”可以立刻生成一条与选定记录各方面信息完全一致的新记录，新建密码记录时找类似的记录项复制并修改，比全部重填要快捷高效一些。

2.5     编辑一条密码记录

　　无论双击密码记录项标题，还是选中一条按 <Ctrl> + <E> ，还是鼠标点击对应菜单，都能打开密码编辑页。

　　有些地方要注意。密码那行右边的眼睛按钮用来让密码可见。密码下边Repeat行输入框中填写的内容，必须和密码严格一致，而且不支持从密码那一行复制。质量右边的绿条并不是进度条，所以并不会自己增长。备注请尽可能写详细，当密码项很多后便于通过备注关键词搜索。下边的失效时间是针对附件文件的，并不会让用户名和密码消失。超过设定的失效时间就不能通过存盘按钮把密钥文件保存出来了。

　　密码项图标的设置，有一些建议的约定，我列在下边。

1   和Cikers生产环境有关的密码项。

10   和配置库有关的密码项。

19   和电子邮件有关的密码项。

23   和Cikers系统有关的密码项。

24   和Cikers工作有关的密码项。

30   和命令行有关的密码项。现用于各组的测试环境有关内容。

35   和Cikers测试环境有关的密码项。

43   和数据库有关的密码项。

57   和任务管理系统有关的密码项。

2.6     使用密码库的其它操作

　　通过程序菜单还可以对密码库进行一些其它操作。大家可以尽情探索，但请一定不要随便删除组……本段使用说明的作者建议调低数据库加密次数，只需要5到10次，就已经足够安全了；程序默认是50000次。

　　密码库分组里边有系统自动创建的backup组，自动记录着每一次变更、删除带来的历史变化。我建议养成每一次打开密码库准备新录入一批密码的时候进行清空的习惯；在密码库开着时准备做什么、第一次打开密码库但不准备新录入等情况，都不要进行清空。

3       Cikers密码使用指南

3.1     辅助创立新密码

　　编辑一条密码时打开的编辑界面，点击其中的设立按钮；或者在KeePassX中按<Ctrl> + <P> ，再或者通过程序菜单额外项目 >密码设立工具，都可以打开密码生成器。

　　图中所示设置是Cikers项目组公网密码的标定配置。其中提到的随机信息，是根据用户即时的一些人为随机操作生成密码的方法。生成密码如果不收集随机信息，应该会使用密码生成时间作为随机种子。设立按钮按钮会按照规则生成新密码。眼睛图标能够控制密码是否可见。

3.2     Cikers使用密码的地方

登录Cikers系统。各人自己的账号，公共账号等。

邮箱。各人自己的邮箱，公共账号对应的邮箱等。

第三方平台，比如应用发布平台、支付平台、社交平台，其上的Cikers官方账号和一系列试验账号。

各台服务器，各人的登录账号。

各数据库的各种访问方式下的账号。

项目管理系统各人的账号。

3.3     使用密码库的操作习惯建议

　　首先，KeePassX做得很精简，并未发现内存泄露，所以可以在打开工作机之后一直开启。但如果一直开启着KeePassX，就需要养成离开计算机的时候通过  锁住工作区 按钮来锁定的习惯。

　　注意给密码记录项分组，防止一组中有太多项。这里太多是指一个组的密码项超出一窗口，或者其它让自己能够产生视觉检索困难感觉的量。

　　尽可能多写备注，登记密码的时候脑子很清楚不写也不会带来困扰，但一个月之后就不是这么回事儿了，很多自以为常识的事情会不经意间就忘记了。

　　认真选择密码图标并符合约定。建立密码记录项时不重要，但密码记录项建立多了，有规矩的图标们可以直接帮助检索，比看字方便多了。

　　如果不会产生太多困扰，请将程序界面语言设置为英语。  :-)

4       附录——密码库所有默认图标

 

本文还发表于我的其它博客

CSDN: http://blog.csdn.net/shanelooli/article/details/41624421

中国开源社区: http://my.oschina.net/shane1984/blog/350656

51CTO: http://shanelooli.blog.51cto.com/5523233/1584893​