パスワードマネー ジャーのKeePassXC で PassKey! Kenichiro Matohara(matoken) 1

matoken @ 鹿児島の右下の山奥から参加 好きなLinuxディストリビューションは Debian map: © OpenStreetMap contributors Kenichiro Matohara(matoken) https://matoken.org matoken@inari.opencocon.org 2

パスワードマネージャーの KeePassXC でPassKey! 3

パスワード覚えられない 複雑である程度長いパスワード 使い回しをしない 覚えるの無理>< パスワードマネージャーに任せよう 4

パスワードマネージャー パスワードを保存して必要なときに取り出せる パスワード生成機能も便利 簡易的なものだとウェブブラウザにも内蔵 自分は KeePassXC を利用中 OSS，ローカルで完結できる，Debian Package あり 5

PassKey FIDOアライアンス & W3C FIDO2認証 Android 9+(Chrome), iOS 16+, Windows?, macOS? 6

スマートフォンでPasskey しかし手持ちのAndroid端末はAndroid Enterprise だけどサポ ート期間内でも短くても2ヶ月に一度かつ1月遅れのアップデート セキュリティサポート内のiOS端末やPixel, Galaxy などでないと怖 い → お高い 7

KeePassXC OSS でマルチプラットホーム対応のパスワードマネージャー Linux ももちろん対応(スマートフォンやNextcloud などでも) ローカルで完結させることも，パスワードデータベースをクラウド同期 することも 03/10 の KeePassXC 2.7.7 で PassKey に対応! https://keepassxc.org/blog/2024-03-10-2.7.7- released/ 8

— https://fosstodon.org/@keepassxc/112090113585382635 9

KeePassXC 導入 AppImage版を利用 1 Linux amd64用の AppImage版 をダウンロード 2 ベリファイ，鍵についてはこちらを → 3 実行権を付与 $ wget -c https://github.com/keepassxreboot/keepassxc/releases/download/2.7.7/KeePassXC-2.7.7-x $ gpg --verify ./KeePassXC-2.7.7-x86_64.AppImage.sig $ chmod u+x ./KeePassXC-2.7.7-x86_64.AppImage 2 3 Verifying Signatures – KeePassXC 10

ウェブブラウザ拡張機能導入 Forefox, Chrome, Edge "Download – KeePassXC" https://keepassxc.org/download/#browser 11

ウェブブラウザ拡張機能設定確 認 PassKey が有効になっているのを確認 12

KeePassXC 起動 念の為実行前にバックアップを取得， ~/.config/keepassxc/ や データベース，キーファイルなど． 初めての起動時には新しいデータベースの作成が必要，データベース は複数作成できる．用途別に分けたり マスターパスワードの他に鍵ファイル，YubiKeyやOnlyKeyの HMAC-SHA1 Challenge-Response を有効に出来る 13

PassKey を試す から適当な PassKey 対応サービスを探す > Displaying 122 results 今回はアカウントを作ったけど買い物をしたことのないメルカリ Passkeys.directory 14

メルカリでPassKey ログインした状態で「生体認証」 https://jp.mercari.com/mypage/personal_info/passkeys のページに移動，「生体認証を追加する」から登録 KeePassXC が反応してパスキーの登録画面が表示されるので「登 録」ボタンで登録 https://jp.mercari.com/ 15

PassKey でログイン 一旦logout してlogin を試みる．「パスキーでログイン」を押して KeePassXC のダイヤログで「認証」を押すだけ 16

悩むところもなくさくっと動いてしまった 17

PassKey エントリ KeePassXC の該当エントリを確認すると秘密鍵なども確認可能 18

Tips 19

ウェブブラウザのパスワード取 り込み ウェブブラウザのパスワードマネージャーから csv としてエクスポート KeePassXC でデータベースを開いてインポート :) 20

パスワードデータベースファイ ルの同期 パスワードデータベースファイル を同期 秘密鍵ファイル(オプション)は 手動でコピー マスターパスワード(脳内) 21

TOTP をどうする? KeePassXC はいくつかの種 類の TOTP に対応していて便 利 しかし TOTP も KeePassXC に格納すると多 要素でなくなってしまう 現在 TOTP は oathtool を 使った script を使っている (暗号化に EncFs を使ってい るが変更したい) $ 2auth-cli.sh inari EncFs Password: inari.opencocon.org : 178221 22

まとめ パスワードマネージャーの KeePassXC が PassKey に対応 PassKey も簡単に使えるのでおすすめ みなさんはどんなパスワード管理をしていますか? 23

ツッコミなど 使っているツール 手書きノート + (Syncthing 同期)．重要なのは pass ，そ れ以外は Bitwarden という使いわけ TOTP はスマートフォンアプリ PassKey がUser-Agent で撥ねられることが バックアップコードをどう管理している? パスワードマネージャーに貼り付けている バックアップコードを gpg の ASCII形式で暗号化したものを KeePassXC の該当エントリのメモ欄に貼り付けている Bitwarden pass 24

gpg ASCII形式暗号化 encrypt例 $ echo 'backup code > 0123456789 > 1234567890 > 2345678901' | gpg -r EAA13B982D937827 --armora --encrypt -----BEGIN PGP MESSAGE----- hQIMA+qhO5gtk3gnARAAj/IBEXMcVWpvmsvCyz2zk9nt7DTjZ1FhEk0yE90M+C4h lF/zxZ6cx6ERqlrVgOotb4GXlwARcCXOE9STIpyq/dxaM7TT3b3FETOGNfR+E1iy EL4ZGULdDCbR8nue6o0N4Hd+U+h2uH3g0e2OJHuUrHLeaF+pHyreMBiRu0C11ZlF aMbPpAdyEfEvAaOH70ig5+SKHk6wh0hbkYDU3fvFyAbQqxyOFsKdK9YFWx6yn2q3 RSYeTRAUFuLS1TDn+94PwTJUKXadqVAnNyOt2NV7z9uOM7cxFeCsztet5c7jrCYm wB/cnzM1JF44I7Hcs9pm/GI+PkxO7s7YzgOMiMBeAkMxLTgynI87P8LSrzicdruu mdwGT119QRk0UACplm5R8M/oxuTlb011sU31IQ8wYsTtRQV2S1Atvg/Kehl+OsEN FCbJlpKmFmySAmvQYyRYIBJg5iaXpjZk0V3AsQxjkqG8NmM2gSasbE7K3036i4QO iwdKjVFe6FCqYD2Kcl3OXXRcwTerF/iSjHdbdWg65J50QskgfVNDWMW+xio/fnzX NCpOxomuKAk9HwGrSEsJWIUPQUTZA8cyHdzV8LHMucpsDIXLfJMlGgEOA3b3COm9 1tkSz3HFav5hsOOF4tIcGnOY7y3wArZs+K/S7PJe8q+jvFsC5UwHjakbr2XKF6nS WQH5Gp+s/QJECuLhsgHr3YF2YYhJpE7/ueFbeL3SjuXVtw9HnH+1AF3op0EwkcXM BPy1OEvk2RBWi3O/h0iS4Y4/K8wNpJNtc2A0CkSCRUIjAXjj5lBgZ8mg =X25x -----END PGP MESSAGE----- 25

decrypt例 $ echo '-----BEGIN PGP MESSAGE----- hQIMA+qhO5gtk3gnARAAj/IBEXMcVWpvmsvCyz2zk9nt7DTjZ1FhEk0yE90M+C4h lF/zxZ6cx6ERqlrVgOotb4GXlwARcCXOE9STIpyq/dxaM7TT3b3FETOGNfR+E1iy EL4ZGULdDCbR8nue6o0N4Hd+U+h2uH3g0e2OJHuUrHLeaF+pHyreMBiRu0C11ZlF aMbPpAdyEfEvAaOH70ig5+SKHk6wh0hbkYDU3fvFyAbQqxyOFsKdK9YFWx6yn2q3 RSYeTRAUFuLS1TDn+94PwTJUKXadqVAnNyOt2NV7z9uOM7cxFeCsztet5c7jrCYm wB/cnzM1JF44I7Hcs9pm/GI+PkxO7s7YzgOMiMBeAkMxLTgynI87P8LSrzicdruu mdwGT119QRk0UACplm5R8M/oxuTlb011sU31IQ8wYsTtRQV2S1Atvg/Kehl+OsEN FCbJlpKmFmySAmvQYyRYIBJg5iaXpjZk0V3AsQxjkqG8NmM2gSasbE7K3036i4QO iwdKjVFe6FCqYD2Kcl3OXXRcwTerF/iSjHdbdWg65J50QskgfVNDWMW+xio/fnzX NCpOxomuKAk9HwGrSEsJWIUPQUTZA8cyHdzV8LHMucpsDIXLfJMlGgEOA3b3COm9 1tkSz3HFav5hsOOF4tIcGnOY7y3wArZs+K/S7PJe8q+jvFsC5UwHjakbr2XKF6nS WQH5Gp+s/QJECuLhsgHr3YF2YYhJpE7/ueFbeL3SjuXVtw9HnH+1AF3op0EwkcXM BPy1OEvk2RBWi3O/h0iS4Y4/K8wNpJNtc2A0CkSCRUIjAXjj5lBgZ8mg =X25x -----END PGP MESSAGE-----' | gpg --decrypt backup code 0123456789 1234567890 2345678901 26

奥付 発表 2024-03- 24(sun) 発表者 利用ソフトウェア + ライセンス 鹿児島Linux勉強会 2024.03(オンライン開催) Kenichiro Matohara(matoken) Vim Asciidoctor Reveal.js CC BY 4.0 27