Slide 1

Slide 1 text

パスワードマネー ジャーのKeePassXC で PassKey! Kenichiro Matohara(matoken) 1

Slide 2

Slide 2 text

matoken @ 鹿児島の右下の山奥から参加 好きなLinuxディストリビューションは Debian map: © OpenStreetMap contributors Kenichiro Matohara(matoken) https://matoken.org [email protected] 2

Slide 3

Slide 3 text

パスワードマネージャーの KeePassXC でPassKey! 3

Slide 4

Slide 4 text

パスワード覚えられない 複雑である程度長いパスワード 使い回しをしない 覚えるの無理>< パスワードマネージャーに任せよう 4

Slide 5

Slide 5 text

パスワードマネージャー パスワードを保存して必要なときに取り出せる パスワード生成機能も便利 簡易的なものだとウェブブラウザにも内蔵 自分は KeePassXC を利用中 OSS,ローカルで完結できる,Debian Package あり 5

Slide 6

Slide 6 text

PassKey FIDOアライアンス & W3C FIDO2認証 Android 9+(Chrome), iOS 16+, Windows?, macOS? 6

Slide 7

Slide 7 text

スマートフォンでPasskey しかし手持ちのAndroid端末はAndroid Enterprise だけどサポ ート期間内でも短くても2ヶ月に一度かつ1月遅れのアップデート セキュリティサポート内のiOS端末やPixel, Galaxy などでないと怖 い → お高い 7

Slide 8

Slide 8 text

KeePassXC OSS でマルチプラットホーム対応のパスワードマネージャー Linux ももちろん対応(スマートフォンやNextcloud などでも) ローカルで完結させることも,パスワードデータベースをクラウド同期 することも 03/10 の KeePassXC 2.7.7 で PassKey に対応! https://keepassxc.org/blog/2024-03-10-2.7.7- released/ 8

Slide 9

Slide 9 text

— https://fosstodon.org/@keepassxc/112090113585382635 9

Slide 10

Slide 10 text

KeePassXC 導入 AppImage版を利用 1 Linux amd64用の AppImage版 をダウンロード 2 ベリファイ,鍵についてはこちらを → 3 実行権を付与 $ wget -c https://github.com/keepassxreboot/keepassxc/releases/download/2.7.7/KeePassXC-2.7.7-x $ gpg --verify ./KeePassXC-2.7.7-x86_64.AppImage.sig $ chmod u+x ./KeePassXC-2.7.7-x86_64.AppImage 2 3 Verifying Signatures – KeePassXC 10

Slide 11

Slide 11 text

ウェブブラウザ拡張機能導入 Forefox, Chrome, Edge "Download – KeePassXC" https://keepassxc.org/download/#browser 11

Slide 12

Slide 12 text

ウェブブラウザ拡張機能設定確 認 PassKey が有効になっているのを確認 12

Slide 13

Slide 13 text

KeePassXC 起動 念の為実行前にバックアップを取得, ~/.config/keepassxc/ や データベース,キーファイルなど. 初めての起動時には新しいデータベースの作成が必要,データベース は複数作成できる.用途別に分けたり マスターパスワードの他に鍵ファイル,YubiKeyやOnlyKeyの HMAC-SHA1 Challenge-Response を有効に出来る 13

Slide 14

Slide 14 text

PassKey を試す から適当な PassKey 対応サービスを探す > Displaying 122 results 今回はアカウントを作ったけど買い物をしたことのないメルカリ Passkeys.directory 14

Slide 15

Slide 15 text

メルカリでPassKey ログインした状態で「生体認証」 https://jp.mercari.com/mypage/personal_info/passkeys のページに移動,「生体認証を追加する」から登録 KeePassXC が反応してパスキーの登録画面が表示されるので「登 録」ボタンで登録 https://jp.mercari.com/ 15

Slide 16

Slide 16 text

PassKey でログイン 一旦logout してlogin を試みる.「パスキーでログイン」を押して KeePassXC のダイヤログで「認証」を押すだけ 16

Slide 17

Slide 17 text

悩むところもなくさくっと動いてしまった 17

Slide 18

Slide 18 text

PassKey エントリ KeePassXC の該当エントリを確認すると秘密鍵なども確認可能 18

Slide 19

Slide 19 text

Tips 19

Slide 20

Slide 20 text

ウェブブラウザのパスワード取 り込み ウェブブラウザのパスワードマネージャーから csv としてエクスポート KeePassXC でデータベースを開いてインポート :) 20

Slide 21

Slide 21 text

パスワードデータベースファイ ルの同期 パスワードデータベースファイル を同期 秘密鍵ファイル(オプション)は 手動でコピー マスターパスワード(脳内) 21

Slide 22

Slide 22 text

TOTP をどうする? KeePassXC はいくつかの種 類の TOTP に対応していて便 利 しかし TOTP も KeePassXC に格納すると多 要素でなくなってしまう 現在 TOTP は oathtool を 使った script を使っている (暗号化に EncFs を使ってい るが変更したい) $ 2auth-cli.sh inari EncFs Password: inari.opencocon.org : 178221 22

Slide 23

Slide 23 text

まとめ パスワードマネージャーの KeePassXC が PassKey に対応 PassKey も簡単に使えるのでおすすめ みなさんはどんなパスワード管理をしていますか? 23

Slide 24

Slide 24 text

ツッコミなど 使っているツール 手書きノート + (Syncthing 同期).重要なのは pass ,そ れ以外は Bitwarden という使いわけ TOTP はスマートフォンアプリ PassKey がUser-Agent で撥ねられることが バックアップコードをどう管理している? パスワードマネージャーに貼り付けている バックアップコードを gpg の ASCII形式で暗号化したものを KeePassXC の該当エントリのメモ欄に貼り付けている Bitwarden pass 24

Slide 25

Slide 25 text

gpg ASCII形式暗号化 encrypt例 $ echo 'backup code > 0123456789 > 1234567890 > 2345678901' | gpg -r EAA13B982D937827 --armora --encrypt -----BEGIN PGP MESSAGE----- hQIMA+qhO5gtk3gnARAAj/IBEXMcVWpvmsvCyz2zk9nt7DTjZ1FhEk0yE90M+C4h lF/zxZ6cx6ERqlrVgOotb4GXlwARcCXOE9STIpyq/dxaM7TT3b3FETOGNfR+E1iy EL4ZGULdDCbR8nue6o0N4Hd+U+h2uH3g0e2OJHuUrHLeaF+pHyreMBiRu0C11ZlF aMbPpAdyEfEvAaOH70ig5+SKHk6wh0hbkYDU3fvFyAbQqxyOFsKdK9YFWx6yn2q3 RSYeTRAUFuLS1TDn+94PwTJUKXadqVAnNyOt2NV7z9uOM7cxFeCsztet5c7jrCYm wB/cnzM1JF44I7Hcs9pm/GI+PkxO7s7YzgOMiMBeAkMxLTgynI87P8LSrzicdruu mdwGT119QRk0UACplm5R8M/oxuTlb011sU31IQ8wYsTtRQV2S1Atvg/Kehl+OsEN FCbJlpKmFmySAmvQYyRYIBJg5iaXpjZk0V3AsQxjkqG8NmM2gSasbE7K3036i4QO iwdKjVFe6FCqYD2Kcl3OXXRcwTerF/iSjHdbdWg65J50QskgfVNDWMW+xio/fnzX NCpOxomuKAk9HwGrSEsJWIUPQUTZA8cyHdzV8LHMucpsDIXLfJMlGgEOA3b3COm9 1tkSz3HFav5hsOOF4tIcGnOY7y3wArZs+K/S7PJe8q+jvFsC5UwHjakbr2XKF6nS WQH5Gp+s/QJECuLhsgHr3YF2YYhJpE7/ueFbeL3SjuXVtw9HnH+1AF3op0EwkcXM BPy1OEvk2RBWi3O/h0iS4Y4/K8wNpJNtc2A0CkSCRUIjAXjj5lBgZ8mg =X25x -----END PGP MESSAGE----- 25

Slide 26

Slide 26 text

decrypt例 $ echo '-----BEGIN PGP MESSAGE----- hQIMA+qhO5gtk3gnARAAj/IBEXMcVWpvmsvCyz2zk9nt7DTjZ1FhEk0yE90M+C4h lF/zxZ6cx6ERqlrVgOotb4GXlwARcCXOE9STIpyq/dxaM7TT3b3FETOGNfR+E1iy EL4ZGULdDCbR8nue6o0N4Hd+U+h2uH3g0e2OJHuUrHLeaF+pHyreMBiRu0C11ZlF aMbPpAdyEfEvAaOH70ig5+SKHk6wh0hbkYDU3fvFyAbQqxyOFsKdK9YFWx6yn2q3 RSYeTRAUFuLS1TDn+94PwTJUKXadqVAnNyOt2NV7z9uOM7cxFeCsztet5c7jrCYm wB/cnzM1JF44I7Hcs9pm/GI+PkxO7s7YzgOMiMBeAkMxLTgynI87P8LSrzicdruu mdwGT119QRk0UACplm5R8M/oxuTlb011sU31IQ8wYsTtRQV2S1Atvg/Kehl+OsEN FCbJlpKmFmySAmvQYyRYIBJg5iaXpjZk0V3AsQxjkqG8NmM2gSasbE7K3036i4QO iwdKjVFe6FCqYD2Kcl3OXXRcwTerF/iSjHdbdWg65J50QskgfVNDWMW+xio/fnzX NCpOxomuKAk9HwGrSEsJWIUPQUTZA8cyHdzV8LHMucpsDIXLfJMlGgEOA3b3COm9 1tkSz3HFav5hsOOF4tIcGnOY7y3wArZs+K/S7PJe8q+jvFsC5UwHjakbr2XKF6nS WQH5Gp+s/QJECuLhsgHr3YF2YYhJpE7/ueFbeL3SjuXVtw9HnH+1AF3op0EwkcXM BPy1OEvk2RBWi3O/h0iS4Y4/K8wNpJNtc2A0CkSCRUIjAXjj5lBgZ8mg =X25x -----END PGP MESSAGE-----' | gpg --decrypt backup code 0123456789 1234567890 2345678901 26

Slide 27

Slide 27 text

奥付 発表 2024-03- 24(sun) 発表者 利用ソフトウェア + ライセンス 鹿児島Linux勉強会 2024.03(オンライン開催) Kenichiro Matohara(matoken) Vim Asciidoctor Reveal.js CC BY 4.0 27