前置き:Google曰く「パスワードは時代遅れ」
先日、ChromiumのXアカウントが「パスワードは時代遅れ」と投稿していたことはご存知でしょうか。
これは、パスワード認証からパスキー認証に切り替えよう、というキャンペーンのようです。
自分はパスワードマネージャにKeePassを使っているのですが、新しい認証方法に対応しているのかこの機会に調べてみました。
KeePass のご紹介
KeePass (KeePass Password Safe) は、フリーかつオープンソースのパスワードマネージャーである。主なターゲットはWindowsだが、バージョン2.x以降ではMonoによってLinuxやmacOSにも対応している[5]。また、様々なプラットフォームに移植されている[6]。
特徴
上記の解説の通り、KeePassは元々はWindows向けのパスワードマネージャだったようです。
しかし、使用しているデータベースに対応したソフトやアプリが他のプラットフォームでも開発されており、プラットフォームを横断して使用できます。
このため、商用のパスワードマネージャである仕様変更や有料課金化による制限がないのが利点です。
また、KeePassはパスワードだけでなく、会員証番号やメモ、画像にも対応しています。例えば、たまに要求されるのになんとなく保存はしておきたくない免許証の画像なども保存できます。
その他の特徴として、データベースを解錠する方法にはマスターパスワード以外にキーファイルと呼ばれるファイルも組み合わせられることが挙げられます。データベースをクラウドに上げていても、キーファイルを別のクラウドに置いておけば、万が一データベースが流出してもより解錠されにくくなるわけです。
自分の運用方法
私用のWindowsとAndroidで利用しています。WindowsはKeePassXCで、AndroidはKeepass2Android(K2A)です。
K2Aが優れているのは、パスワードマネージャとしてだけでなくソフトウェアキーボードも搭載している点です。
Windowsでは、ブラウザに拡張機能を入れることでKeePassXCと連携できます。ちょっと手間ですが。
新しいセキュリティに対応しているか
TOTP(ワンタイムパスワード)
QRを読み込んで登録するアレです。
TOTPの管理にはもともとAuthyを使っていたのですが、デスクトップ版が廃止されるなどあまりイケてないのでに変えつつあります。しかしAuthyがエクスポートに対応していないため、時間があるときに一旦登録解除してから再登録していました。
KeePassでは、KeePassXCとK2Aのそれぞれで対応しています。なお、TOTPはRFCで標準化されており、仕様を理解していれば手入力でも登録可能ですが、K2AであればQR読み込みで登録できるのでこちらの方が簡単そうです。
パスキー
WindowsではKeePassXCで対応しています。AndroidではK2Aではなく、別のKeePassDXで対応していました。
ただ、パスキーの登録自体はKeePassXCのみで確認できました。
未来へ
KeePassは、自分で個人情報や認証方法を設定できるところが利点ですが、セキュリティを確保しようとするとそれなりの知識がいるため、万人向けではないかもしれません。
しかし、個人情報をめぐる環境が刻々と変わる中、自分自身がコントロールできるパスワードの管理方法、という意味ではおすすめできるソフトウェアです。