一劳永逸：KeePass全网最详使用指南 DLC1

前言：

本文篇幅不长，就介绍5个KeePass（Windows）插件。鉴于本人已经将keepass官网上的所有插件翻来覆去研究了好几遍，所以写完这篇教程短期内应该不会再有更新。当然这5个插件也符合我的筛选标准：

1. 人人都用得上；

2. 一次配置，一劳永逸。

正文开始前先说一个使用频率不高但非常有用的keepass使用技巧：多条记录共用同一用户名和密码。

这个技巧有什么用呢？以支付宝和淘宝为例，它们用的虽然是同一用户名和密码但网址完全不同（taobao.com 和 alipay.com）。在上篇教程中讲到chromeIPass是基于网址自动填充，但是在keepass中一条记录只能有一个网址字段（URL），简单来说就是不能在支付宝的登录页面使用淘宝的记录自动填充。当然要解决这个问题也很简单：创建两条记录不就结了？ 但这又引出了一个新问题：每改一次密码就要同时修改两条记录。这很不一劳永逸啊！ 此时这个技巧就有了用武之地：复制记录并共享它的用户名和密码，更改用户名或密码时只需修改原记录，一劳永逸。

配置方法：在keepass主界面中右键单击记录→【复制记录】→勾选【以引用方式替换用户名和密码】→【确定】，然后根据需要修改复制的记录中除用户名和密码以外的其他字段。（用户名和密码字段包含一个引用密钥，指向被复制的原记录）

引用记录

KeePass（Windows）插件官方下载地址（点击页面中的Download或后缀为.plgx的文件）。安装方法见上篇教程。

• PEDCalc：下载地址
  

• Url in Title：下载地址
  

• MSWifiPlugin（下载页面中的MSWifiImportPlugin.dll文件）：下载地址

• CheckPasswordBox：下载地址

• KeePassQuickUnlock：下载地址

我是正文

①MSWifiPlugin

keepass插件中的又一神器：导入和导出Windows系统中保存的WiFi连接，从此告别手动输入WiFi密码。需要注意此插件的安装方法与plgx格式的插件略有不同：将下载的dll文件复制并粘贴到C:Program Files (x86)KeePass Password Safe 2文件夹，关闭然后重新启动keepass。

文件夹路径

配置方法：

• 导入WiFi到数据库：在keepass主界面中点击【文件】→【导入】，滚动到最下方，点击【Read from system】→【确定】；在弹出对话框中点击【Ja】会在数据库中创建一个名为【WLan】的群组，系统中保存的所有WiFi连接都将被存储在此群组中。

导入WiFi

• 导出WiFi到Windows系统：在【WLan】群组选中一条或多条WiFi连接记录→单击右键→【选择记录】→【In Windows einfügen】。

用起来简单方便，连复制粘贴都省了，恨不能给开发者点一百个赞！遗憾的是目前手机上的KeePass2Android没有类似功能，不过开发者计划在将来为KeePass2Android开发此插件。

②Url in Title

为chrome中所有标签页的标题添加网址（见下图）。这样一来可以确保keepass自动输入100%匹配到记录，有了这个插件就算不安装chromeIPass和KeePassHttp也基本够用了。注意：需在keepass的【工具】→【选项】→【高级】中勾选【若其 URL 包含在目标窗口标题中，记录将被匹配】。

添加网址到标题

安装此插件后如果不打算使用chromeIPass只用全局自动输入，按下图配置可提高50%的效率；因为只根据记录网址匹配窗口标题，所以无需担心误输账号密码到不相关网页。

自动输入选项

③CheckPasswordBox

配置方法：使用+{DELAY 100}{CLEARFIELD}{USERNAME}{TAB}{PASSWORDBOX}{PASSWORD}{ENTER}替代默认自动输入规则，具体操作见下图，原理参见上篇教程中的【自动输入和双通道自动输入混淆】部分。

替换自动输入规则

此插件的作用很简单：在使用自动输入时防止误输密码到非密码框。它提供了一个{PASSWORDBOX}占位符，只需将此占位符插入到自动输入规则的{PASSWORD}前面，在以后每次使用自动输入输入密码前它会检测文本框是否为密码框，如果不是或不能确定就会立刻停止自动输入。这个功能主要应用于公共场所或公司办公，因为在使用keepass的自动输入时要是不小心忘记切换输入法就很容易将密码输入到用户名框里，虽然不会泄露密码但可能被周围的人看到。当然启用了双通道自动输入混淆后完全不需要担心此问题，即使误输密码到用户名框里最后显示的也只可能是一堆与密码无关的汉字英文字符。

它还有一个特别贴心的功能：点击密码框执行自动输入时跳过{PASSWORDBOX}前面的输入序列。以上面的自动输入规则为例：很多网站在退出后重新登录时会记住用户名，这时只需输入密码即可。装了这个插件后可直接点击密码输入框，按下自动输入全局热键，然后它会自动跳过+{DELAY 100}{CLEARFIELD}{USERNAME}{TAB}部分，执行{PASSWORD}{ENTER}，也就是跳过用户名直接输入密码再按下回车键。有了这个功能，以后只输密码时也不用再记着切换输入法，因为所有密码框在输入时都会自动切换输入法为英文。一劳永逸啊！

④PEDCalc

虽然我非常喜欢一劳永逸，但再怎么一劳永逸，那些常用网站的密码也该有一个生命周期。keepass为记录提供了一个失效功能：在添加或编辑记录时勾选【失效】，到达指定的日期时间，记录会被划上删除线并在前面打上一个大大的红叉。但这个功能不怎么让人满意：首先要为每条记录单独设定一个失效时间，而且以后每更改一次密码又要重新设定一次。一百多条记录我想想都头大，这还没算上以后的工作量呢！

PEDCalc简直是我的救星：它可以同时为多条记录设定生命周期，并且每次更改密码后生命周期会重新计算。举个栗子 ：我创建了一条设定失效时间的记录，并将它的生命周期设为一年。假设明天早上8点我心情不好修改了密码，那它的失效时间就自动变成一年后的明天早上8点；后天晚上11点我睡不着又改了一次密码，那它的失效时间又变成了一年后的后天晚上11点。一百多条记录全部设定好才花了几分钟，而且设定一次之后永久有效，真是一劳永逸啊！

为多条记录设定生命周期：

1.右键单击一个群组→【PEDCalc】→【Days】→设定要为群组中记录启用的生命周期（days:日 weeks:周 moths:月 years:年）→【OK】→在弹出对话框中点击【否】；

群组生命周期

2.点击群组中的一条记录→点击右侧的【Properties】选项卡→勾选【Expires】（无需选择日期时间，勾选后记录立刻变成失效状态，多条记录请重复此操作）；

3.选中步骤2中“被失效”的记录（Ctrl+鼠标点击多选，Ctrl+A全选）→单击右键→【PEDCalc】→【Inherit from containing】→【OK】→在弹出对话框中点击【是】。

记录从群组继承生命周期

设定一次之后就不用再操心了，以后每次修改记录的密码时会根据设定的生命周期自动更新失效时间。

⑤KeePassQuickUnlock

这个插件绝对是刚需中的刚需，神器中的神器：它提供了一个快速解锁数据库的方式（类似Windows10的PIN码），完美解决了keepass主密码强度与手动输入之间的冲突。有了它，不必再为每次解锁数据库输入冗长的主密码而烦恼；也不用再担心为方便使用而缩短主密码可能带来的安全隐患。

它有两种工作模式：

1.使用主密码的前几位或后几位快速解锁数据库。但是因为每次快速解锁都需要从主密码中获取快速解锁密码，也就是说每快速解锁一次后再次解锁就要重新输入完整主密码，所以此模式难用到让人崩溃：完整密码解锁→数据库被锁定→部分密码解锁→数据库被锁定→完整密码解锁（无限循环）。 它这么欢快跳脱的工作方式可把我坑苦了：刚开始我还以为什么地方设置错了，折腾了老半天也没找出问题出在哪儿，后来在GitHub上研究了好久才明白出于安全考虑此模式只能这么工作。强烈不推荐使用此模式（开发者也是这么说的）。

2.使用数据库中的特定记录快速解锁（强烈推荐）。配置方法：

• 点击keepass主界面工具栏的钥匙图标添加记录→在标题框输入QuickUnlock，在密码框输入你想要的快速解锁密码→【确定】。（此记录可移动到任意群组）

• 在keepaass主界面中点击【工具】→【选项】→【QuickUnlock】，参照下图配置：
  

配置快速解锁

• 如需取消快速解锁，请修改记录标题或彻底删除记录。

看到这里你可能要问了：快速解锁用起来这么方便难道就没有一点安全隐患？不好意思，这个还真没有。 了解它的工作原理就很不难理解，严格意义上来说它只是一个中间人：当你启动keepass，使用主密码和密钥文件解锁数据库后，KeePassQuickUnlock会将这些登录信息加密（加密方式：Windows DPAPI或ChaCha20）并保存到keepass进程的内存中（是内存不是硬盘存储），当数据库锁定后再次解锁时会弹出一个窗口，输入快速解锁密码后KeePassQuickUnlock会使用保存在内存中的登录信息解锁数据库，也就是说快速解锁的密码不是用来加密数据库而是用来解锁保存在内存中的登录信息；假如密码输错，保存在内存中的登录信息会被立刻销毁，必须再次使用主密码和密钥文件才能解锁数据库。退出keepass后保存在内存中的登录信息也会被清除，这也是每次重新启动keepass解锁数据库时需要输入主密码的原因。所以说想利用KeePassQuickUnlock破解数据库根本是痴人说梦：即使拿到数据库文件，知道快速解锁密码也不可能在其他任何电脑上使用此插件和快速解锁密码解锁数据库。

所以说它是神器中的神器一点也不为过。不但大大提高了效率，还增加了数据库的安全性：

1. 可以为数据库设置一个更长的主密码，因为只有在启动keepass和快速解锁密码输错时才需要输入主密码；

2. 快速解锁密码和主密码完全无关，被人看到也不用担心，修改QuickUnlock记录的密码即可。

请注意：KeePassQuickUnlock以keepass密钥文件方式工作，由于keepass会记住上次成功解锁数据库的密钥文件，但只能记住一个，因此以下两种情况除了要输入主密码外还需重新选择密钥文件：

1. 启动keepass，使用主密码+密钥文件解锁数据库后在第二次快速解锁时输错密码；

2. 快速解锁成功后关闭然后重新启动keepass（系统开机和重启也属于这种情况）。

第一种情况是无解的；第二种情况可以使用上篇教程中讲到的【使用固定设置】解决：在使用主密码+密钥文件解锁数据库后将KeePass.config.xml重命名为KeePass.config.enforced.xml并剪切粘贴到C:Program Files (x86)KeePass Password Safe 2文件夹中，这样以后每次启动keepass时无需重新选择密钥文件。

完结献瓜

本文到此正式结束。虽然写了这么多，但全部配置好也就十来分钟的事。如果只讲方法可以去掉三分之二的内容，但我觉得授人以鱼不如授人以渔：不仅要说清楚怎么用，还要讲明白为什么要这么用，毕竟这可是用来保存全部家当的工具，马虎不得。最后的个人观点，仅供参考：因为不懂代码而担心keepass的安全性完全是多余的。从2003年11月15日keepass发布至今（2018.07.23）已经快15年，仅在SourceForge的下载量就突破了7256万次；但一直以来keepass完全免费，收入来源只有官网右侧的广告栏和用户捐助，而且开发者没有为keepass开通任何社交网站的账号；除了热爱，我想不出一个可以让人不计名利坚持奉献15年的理由。

结语：

感谢KeePass开发者Dominik Reichl以及本文中所有插件开发者的无私奉献。特别感谢开发者Alex Vallat ，两篇教程中介绍的14个插件中有4个是由他开发维护的：AutoTypeSearch，CheckPasswordBox，KPEnhancedEntryView和KPSourceForgeUpdateChecker。

如果你觉得本文还不错，请将它分享给你身边的人，我希望有更多的人用上这个自由免费的开源软件。欢迎在评论区讨论提问。