KeePass

KeePass はオフラインで暗号化されるパスワードデータベースフォーマットです。人気のオンラインパスワードマネージャの代わりとして使うことができ、主要なディストリビューションや他の OS プラットフォームでサポートされています。

現在、データベースフォーマットには2つの種類があります: KeePass 1.x (Classic) と KeePass 2.x。

インストール

KeePass の主な実装は3つあり、どれも公式リポジトリに入っています:

KeePass — Windows, Linux, macOS やモバイル端末向けの使いやすいパスワードマネージャ。自動入力やクリップボードも任意でサポートしており、それぞれ xdotool と xsel をインストールする必要があります。多数のフォーマットからのインポートが可能。

http://keepass.info || keepass

KeePassXC — KeePassX のフォークで、KeePassX のメインラインに取り込まれていないプルリクエスト・新機能・バグフィックスをマージしています。

https://keepassxc.org || keepassxc

gnome-passwordsafe — A modern GNOME password manager built on top of of KeePass.

https://gitlab.gnome.org/World/secrets/ || gnome-passwordsafe

他のマイナーな実装は AUR に存在します:

KeePassX — KeePassX は Windows アプリケーション Keepass Password Safe (v1.x) のクロスプラットフォーム移植です。KeePassX は 2.0 ブランチの KeePass 2.x (.kdbx) パスワードデータベースフォーマットだけをサポートしています。ただし、KeePass 2.x から KeePass 1.x データベースフォーマット (.kdb) を作成・エクスポートして、KeePassX からインポートすることができます。PwManager データベースや KWallet XML データベースをインポートすることも可能です。プラグインは現在利用できません [1]。

https://www.keepassx.org/ || keepassx^AUR keepassx2^AUR

keepassc — KeePass v.1.x や KeePassX と互換性のある curses ベースのパスワードマネージャ。クリップボード機能に xsel を使います。

https://raymontag.github.io/keepassc/ || keepassc^AUR

kpcli — KeePassX データベースファイル *.kdb のコマンドラインブラウザ。

https://sourceforge.net/projects/kpcli/ || kpcli^AUR

keeweb — KeePass 2.x と互換性のあるデスクトップウェブアプリ。

https://keeweb.info || keeweb-desktop^AUR^{[リンク切れ: パッケージが存在しません]} nextcloud-app-keeweb^AUR

統合

KeePass を他のソフトウェアと統合するためのプラグインや拡張が多数存在します。

プラグインのインストール

KeePass はデフォルトで /usr/share/keepass/ にインストールされます。以下のようにして plugin.plgx を KeePass のインストールディレクトリ下の plugins サブディレクトリにコピーしてください:

# mkdir /usr/share/keepass/plugins
# cp plugin.plgx /usr/share/keepass/plugins

ノート:

KeePassX はプラグインをサポートしていません (KeePassX のバージョン 0.4.4 と KeePassX2 のバージョン 2.0.2 現在)。グローバルな自動入力機能を代わりとして使うことができます。プラグインが必須ですが、keepassxc は KeepassHTTP プロトコルに対応しています。ChromeIPass や PassIFox などのブラウザアドオンを使用することで統合できます。
KeePassHTTP の欠陥を突かれないようにするために [2]、KeePassXC はバージョン 2.1.1 現在ホットフィックスを行っています。実用上はシステムに侵入されないかぎり問題はありません (1, 2)。ただし多少のリスクがまだ存在するため、KeePassXC では KeePassHTTP のサポートはデフォルトでは有効になっていません。

警告: 上流ではセキュリティの問題から KeePassHTTP を無効化することが強く推奨されています。詳しくは pfn/keepasshttp/issues や keepassxreboot/keepassxc/issues を見てください。

ブラウザの統合

KeePassXC 用の keepassxc-browser

keepassxc-browser は、ネイティブメッセージングと libsodium を使用したトランスポート暗号化を使用した KeePassXC の組み込みブラウザ統合のブラウザ拡張機能です。KeePassHTTP のプロトコルには基本的なセキュリティの問題があるため、KeePassHTTP を置き換えるために開発されました。

開発者はブラウザ拡張機能を提供しています

Firefox Add-ons (Firefox および Tor Browser の場合)
chrome ウェブストア (Chromium、Google Chrome、Vivaldi、および Brave)

Firefox および Chromium フォークのサポートが利用可能です。librewolf^AUR の場合は、KeePassXC を開き、Tools > Settings > Browser Integration > Advanced > Config Location に移動し、~/.librewolf/native-messaging-hosts を追加します。

ソースコードとその動作の説明は GitHub で見つけることができます。KeePassXC 開発者は _configure_keepassxc_browser 設定ガイドを Web サイトで参照してください。

KeePass 用の keepassxc-browser

keepassxc-browser は、AUR の Keepass-natmsg Plugin を通じて KeePass で使用することもできます (keepass -natmsg^AUR) であり、KeePassHTTP の後継として推奨されます。

KeePassRPC と Kee

Kee (GitHub リポジトリ) は、Firefox および Chromium のブラウザ拡張機能です。同じ開発者による KeePass プラグインである KeePassRPC を通じて KeePass を統合します。

KeePass プラグインは、GitHub または AUR (keepass-plugin-rpc^AUR) から入手できます。

ブラウザ拡張機能は、GitHub、Firefox Add-ons で見つけることができます。および Chrome ウェブストア

オートタイプ機能経由

ブラウザと KeePass(XC) の間に直接チャネルを設ける代わりに、オートタイプ機能を使用することもできます。ウィンドウ名にページ URL を入力することでこの方法をサポートするブラウザ拡張機能があります。

KeePass Helper かタイトル URL もしくは Firefox
Chromium からタイトルの URL

Nextcloud

Keeweb for Nextcloud (nextcloud-app-keeweb^AUR)

Nextcloud に KeePass を保存します。

Yubikey

YubiKey は、KeePass プラグインの貢献者のおかげで KeePass と統合できます。KeepassXC は、プラグインなしで Yubikey チャレンジレスポンスの組み込みサポートを提供します。

KeePassによる設定

固定パスワード

Yubikey のスロットを設定して固定パスワードを保存してください。パスワードは最大65文字まで設定できます (64文字と `!`)。KeePass データベースのマスターパスワードとして使用することが可能です。

ワンタイムパスワード (OATH-HOTP)

KeePass のウェブサイトからプラグインをダウンロード: http://keepass.info/plugins.html#otpkeyprov
yubikey-personalization-gui-git^AUR を使って OATH-HOTP をセットアップ。
アドバンスモードで `OATH Token Identifier` のチェックを外す。
KeePass で `Key file / provider` に `One-Time Passwords (OATH HOTP)` というオプションが新しく追加されます。
秘密鍵, 鍵長 (6 または 8), カウンター (Yubikey の個人設定 GUI では `Moving Factor Seed` という名前のパラメータ) をコピー。
`Look-ahead count` オプションを 0 よりも大きい数に設定する必要があります。詳しくはこちらのスレッドを参照。
詳しくはこちらの動画を参照

チャレンジレスポンス (HMAC-SHA1)

AUR からプラグインを入手: keepass-plugin-keechallenge^AUR。
KeePass で `Key file / provider` に `Yubikey challenge-response` というオプションが新しく追加されます。
プラグインはスロット 2 を使用します。

SSH エージェント

KeePassXC は SSH エージェントサポートを提供します。同様の機能は、KeeAgent プラグインを使用して KeePass でも利用できます。

この機能により、SSH キーを KeePass データベースに保存できるようになり、KeePassXC/KeeAgent は OpenSSH クライアントとして機能し、キーをエージェントに動的に追加および削除します。

KeePassXC の機能は、FAQ に記載されています。まず、ログイン時に開始するように SSH エージェントを設定し、SSH_AUTH_SOCK 変数が設定されていることを確認します。次に、ログアウトして再度ログインします。次に、KeePassXC 設定で SSH エージェント統合を有効にします。UI に表示される SSH_AUTH_SOCK 値は、以前に設定した値に対応している必要があります。

ノート: SSHエージェントエミュレーション gpg-agent では、ssh-add -d または ssh-add -D による鍵の削除をサポートしていないため、KeePassXC/KeeAgent ではデータベースロック時に削除できないことがあります。[3] [4]

シークレットサービス

KeePassXC には、Freedesktop.org Secret Service の統合が含まれています。有効にすると、他のプログラムが KeePassXC 内にシークレットを保存できます。これにより全体的なセキュリティは向上しますが、KeePassXC が閉じている間は、シークレットに依存して動作するプログラムはシークレットを取得できないため、望ましくない動作が発生する可能性があります。

ヒントとテクニック

クリップボードマネージャを無効化

クリップボードマネージャを使用している場合、クリップボードマネージャを無効化してから keepass を起動して、それからクリップボードマネージャを再起動する必要があります。

ダークテーマ

KeePass のダークテーマを有効にするには、keepass-keetheme^AUR をインストールします。インストール後、KeePass の起動時にプラグインがコンパイルされます。その後、Tools, Dark Theme を使用するか、Ctrl-T を押すことでアクティブ化できます。

トラブルシューティング

KeePassXC 2.6 でのユーザーインターフェイスのスケーリングの問題

ユーザーインターフェイス要素が適切にスケーリングされていない場合は、HiDPI#Qt 5 およびアップストリームのバグレポートを参照してください。

参照

アプリケーション一覧/セキュリティ#パスワードマネージャ