随着2011年众多“脱库门”爆发，世界上人数最多的中国网民们终于从虚假的安全梦中醒来，理解了安全厂商长期以来面对强大的地下经济体系时苦苦支撑的压力，明白了自己多一点安全常识才能为这场道高一尺、魔高一丈的安全战争赢得一点小小的胜利机会。这次的“脱库门”中焦点问题集中于两方面：一方面是用户习惯性的“一号”走天下，另一方面是大量的网站“一密”看万号。面对互联网众多需要用户名和密码的网站，网民无法靠人力来记住所有网站的密码，最简单的方法就是为所有的网站都使用统一的用户名和密码，这样将密码的维护成本降到了最低，但也将密码出问题时的安全成本升到了最高，一旦黑客们从一个安全等级较低的网站拿到了用户的账户，即时其他网站的安全等级再高，黑客们也可以轻轻松松使用已获得的用户名和口令去尝试，并有很大的概率成功登入网站。因此就用户而言，需要一款成熟的口令管理软件来维护自己的口令，并尽量在不同的网站上使用不同的用户名和口令。另一方面，大多数的网站没有仔细考虑过如何尽量安全地保存用户名与口令，通常只使用简单的哈希或者加密算法来保证账户的安全，一旦网站的数据库泄漏，很容易被黑客通过彩虹表或统计方法进行破解。本期文章将先讨论如何利用KeePass工具来解决常见的用户“一号通”问题。

　　KeePass的全称是KeePass Password Safe，是由Dominik Reichl开发的一款开源的密码管理软件。KeePass的网站是http://keepass.info/，作为开源软件，该软件可以直接从网站下载并进行安装。

图1 KeePass界面图

　　KeePass的功能

　　密码管理：密码管理软件最基本的功能自然是密码的管理。KeePass以数据库的形式对密码进行管理和存储，每个用户在使用KeePass时需要先建立自己的密码数据库，在密码库中，用户可以为不同类型的密码建立不同的分组（Group），比如网络、服务器、网站，在分组之下可以再设立子分组，比如网站可以再分为邮件网站、购物网站，用户可以自己添加和修改分组的信息。

　　在组之下，是具体保存的每个网站或服务器的账户信息。每个账户包含了对应的网站名、用户名和密码，KeePass会对用户的密码进行一个密码强弱的判定。

　　为了方便用户输入密码记录，KeePass提供了多种格式的密码导入功能，比如可以直接将浏览器的密码记录导入密码数据库中，省去了用户再次输入的麻烦。

　　自动填充：尽管有了一个统一的密码记录存放的地方，但如果要求用户每次都去打开软件，查看密码记录再登录相应系统的话，用户也是不堪其扰。所以KeePass最重要的功能是为用户提供了自动填充的功能。当用户打开不同的网站，或者试图登录不同的服务器时，KeePass可以根据浏览器或系统窗口的标题栏信息，从密码库中找到对应的密码记录，并根据自动登录脚本域的定义，来完成自动登录的过程。刚才KeePass密码账户记录界面中的title信息就是KeePass用于选择对应密码记录使用的。