KeePassXC

KeePassXC 是规范的本地优先密码管理器 — 一个桌面应用程序，将你的密码存储在一个受你控制的加密 `.kdbx` 数据库文件中，没有服务器，没有账户，没有云同步，没有遥测。评为 Grade A·编辑推荐，因为它占据了密码管理器空间中信任攻击面最低的位置：当没有运营商基础设施、没有 SaaS 公司、没有第三方存储时，就没有东西可以泄露。对于将密码存储视为基础设施问题而非托管服务的用户来说，这是默认选择。

Background. KeePassXC 是原始 KeePassX（它本身是仅限 Windows 的 KeePass 的基于 Qt 的分支）的社区维护跨平台分支。自 2016 年以来由一个分布式贡献者团队积极开发，在 GPLv3 许可证下发布。跨平台桌面（macOS、Windows、Linux），各平台功能完全对等；移动平台有独立但兼容的应用（Android 上的 KeePassDX，iOS 上的 Strongbox 或 KeePassium — 都读写相同的 `.kdbx` 格式）。`.kdbx` 文件格式是一个开放规范，具有成熟的加密原语（AES-256、ChaCha20、用于密钥派生的 Argon2）；同一文件可在 KeePassXC、KeePass、KeePassDX、Strongbox、KeePassium 和许多其他客户端之间通用。完全由捐赠 + 偶尔赞助资助；项目背后没有商业实体。

What you trust. 本地文件存储 — 你的 `.kdbx` 数据库只是你磁盘上的一个文件；你控制它的存放位置（本地驱动器、USB 闪存盘、你自己的 Nextcloud、你自己的 Syncthing 设置等）。开源代码库 + 可复现构建 — 源代码可审计；签名发布可从源代码复现。强加密 — AES-256 或 ChaCha20 加密，Argon2 密钥派生函数（抵抗 GPU/ASIC 攻击），HMAC-SHA256 完整性检查。无运营商 — 没有可被传票的 KeePassXC 公司，没有 SaaS 后端，没有可被攻破的服务。YubiKey + 硬件令牌支持 — 通过硬件令牌实现第二因素解锁，适合需要纵深防御的用户。已审计 — 代码库已接受独立安全审计；完整的审计报告链接自 keepassxc.org。PGP 支持 — 对于使用 PGP 密钥的用户，KeePassXC 与系统 PGP 集成以支持额外的加密工作流。

Operational specs. 平台：macOS / Windows / Linux 的桌面应用（基于 Qt，各平台原生）。数据库格式：`.kdbx`（KeePass 数据库格式）— KeePass 系列客户端在移动端和桌面端均可读取的同一格式。加密：AES-256 或 ChaCha20 对称加密；Argon2 密钥派生（可配置迭代次数 + 内存成本）。解锁方法：主密码短语、密钥文件、YubiKey/硬件令牌或组合。自动输入：按条目可配置；在激活的窗口中输入用户名 + Tab + 密码 + Enter。浏览器集成：Firefox / Chromium 衍生浏览器的官方浏览器扩展（KeePassXC-Browser）— 可选加入，通过本地 IPC 通信，无网络参与。TOTP 支持：内置 TOTP（RFC 6238）生成；数据库将 TOTP 密钥与密码一起存储。共享：可通过共享 `.kdbx` 文件在多个用户之间共享只读或读写组（每个用户有自己的主密码短语）。移动补充：KeePassDX（Android）、Strongbox / KeePassium（iOS）— 全部开源，全部读写相同的 `.kdbx` 格式。

Philosophy. KeePassXC 的编辑差异化特点是本地优先、无服务器姿态。SaaS 密码管理器（Bitwarden、1Password、Dashlane）提供便利 — 跨设备同步无需用户考虑，基于网页的恢复，基于账户的访问。代价是：托管运营商成为信任攻击面。可自托管的 Bitwarden（以及 Vaultwarden）通过让你自己运营服务器缩小了部分差距，但引入了自托管运营复杂性。KeePassXC 完全回避了托管 vs 自托管的问题：数据库是一个文件，应用是本地的，同步使用你已经在用的任何文件工具（Nextcloud、Syncthing、USB 驱动器、加密备份服务）。代价是：跨设备同步由你负责 — KeePassXC 没有「在新手机上登录」的途径；你必须通过你偏好的文件同步机制将 `.kdbx` 文件传输到新设备。

Grade rationale. Grade A 和编辑推荐基于：开源 GPLv3 代码库；跨平台桌面（macOS、Windows、Linux）功能对等；兼容的移动客户端（KeePassDX、Strongbox、KeePassium）；无运营商基础设施，无 SaaS 后端，无遥测；强加密（AES-256/ChaCha20 + Argon2 KDF）；YubiKey + 硬件令牌第二因素支持；独立安全审计及公开报告；内置 TOTP 支持；通过本地 IPC 的浏览器扩展（无网络）；可复现构建 + 签名发布；完全捐赠资助（无商业压力冲突）；被 Privacy Guides 同行目录收录。超过 8 年的运营连续性（自 2016 年分支以来）。最后验证于 2026-05-13。

Useful when. 你想要最保守的密码管理器姿态 — 无运营商，无 SaaS，无第三方存储。你是 Privacy Guides 级别的用户，熟悉管理自己的文件备份。你想要跨平台桌面（macOS/Windows/Linux），同时不牺牲本地优先原则。你使用 YubiKey 或硬件令牌作为第二因素（KeePassXC 的硬件令牌集成已经成熟）。你想要一个移动兼容的保险库 — KeePassXC 桌面通过共享 `.kdbx` 文件与 KeePassDX（Android）或 Strongbox / KeePassium（iOS）干净配对。你是一个组织或家庭，想要共享密码保险库并为每个用户设置主密码短语。你正在从 SaaS 密码管理器迁移，想要一个本地优先的目标。

Caveats. 跨设备同步是你的责任 — KeePassXC 没有内置同步；你使用 Nextcloud、Syncthing、Resilio、USB 驱动器或任何你信任的文件同步机制。这是一个特性（无运营商），但也是一种摩擦。无基于网页的访问 — 没有「从朋友的电脑登录」的途径；如果你没有随身携带 `.kdbx` 文件，你就没有你的密码。移动端对等性取决于使用哪个移动客户端 — KeePassXC 官方仅限桌面；推荐的移动客户端（Android 上的 KeePassDX，iOS 上的 Strongbox / KeePassium）是单独维护的，有各自的用户体验。自动输入的不便之处 — 自动输入依赖于模拟键盘输入，在特定应用中可能不可靠；对于网页登录，现代浏览器扩展集成比自动输入更可靠。浏览器扩展是可选加入的 — 如果你想要密码自动填充，请安装 KeePassXC-Browser；如果你更喜欢手动复制粘贴，则不需要扩展。无紧急恢复 — 如果你忘记了主密码短语且没有密钥文件备份，数据库将无法恢复；这是零信任本地优先设计的代价。请相应规划：将密钥文件打印到纸质备份，使用硬件令牌，将密封的主密码短语信封交给受信任的第三方。数据库损坏是可恢复的，但不是自动的 — KeePassXC 原子化写入，但如果你的文件同步机制产生冲突（两台设备同时写入），你可能会得到一个冲突副本；通过打开两个副本并手动合并来解决冲突。TOTP 便利性的代价 — 将 TOTP 密钥存储在密码数据库中很方便，但意味着数据库的单一泄露会暴露两个因素；一些用户更喜欢对高风险账户使用单独的验证器（Android 上的 Aegis，跨平台的 Ente Auth）。