KeePassXC: مدير كلمات مرور يضع ملف خزنتك بين يديك أنت وحدك

عندما تستعمل مدير كلمات مرور كتلك المدمجة في المتصفّحات أو الخدمات السحابية الشهيرة، فأنت تودِع أهمّ أسرارك — مفاتيح حساباتك البنكية وبريدك وكل شيء — على خادمٍ تملكه شركةٌ أخرى. أنت تثق بأنها تشفّر بياناتك جيّداً، وبأنها لن تُخترَق، وبأنها لن تُغلق الخدمة أو تحوّلها لاشتراكٍ مدفوع. هذه ثقةٌ كبيرة في طرفٍ لا تتحكّم فيه.

KeePassXC يتبع نموذجاً معاكساً: أسرارك تبقى على جهازك. تُخزَّن كلّها في ملفٍ واحد مشفّر تحت سيطرتك الكاملة، تنسخه وتنقله وتخزّنه حيث تشاء، ولا يوجد خادمٌ يحتفظ بنسخةٍ منه. هذه المقالة تشرح كيف يعمل هذا التطبيق فعلاً، وما الذي يقدّمه، وأين تكمن مقايضاته — لأنّ هذا التحكّم الكامل لا يأتي مجّاناً، بل مقابل مسؤوليةٍ تتحمّلها أنت.

ما المشكلة التي يحلّها؟

كلمة المرور القوية الحقيقية كلمةٌ طويلة عشوائية مختلفة لكل حساب — وهذا مستحيلٌ أن يحفظه عقلٌ بشري لمئات الحسابات. فيلجأ الناس إلى الحلّ السيّئ: كلمة مرورٍ واحدة يعيدون استعمالها في كل مكان، فإذا تسرّبت من موقعٍ واحد ضعيف الحماية سقطت كل حساباتهم دفعةً واحدة.

مدير كلمات المرور يحلّ هذا بأن يتذكّر هو الكلمات نيابةً عنك: تحفظ أنت كلمة مرورٍ رئيسية واحدة فقط، وهو يولّد ويخزّن البقية مشفّرةً.

لكنّ معظم مديري كلمات المرور المشهورين يخزّنون هذه «الخزنة» على خوادمهم في السحابة. ذلك مريحٌ، لكنّه يجمع أسرار جميع المستخدمين في مكانٍ لا يملكونه، خرقٌ واحد في الشركة قد يكشف خزنات ملايين المستخدمين دفعةً واحدة، وتغييرٌ في سياسة التسعير قد يحبس بياناتك خلف اشتراك.

KeePassXC وُجد لمن يرفض هذه المقايضة ويريد أن تبقى الخزنة عنده وحده.

من أين جاء؟ من KeePass إلى KeePassXC

القصّة تبدأ سنة 2003 مع برنامج KeePass الأصلي، وهو تطبيقٌ مفتوح المصدر طوّره الألماني دومينيك رايشل، لكنّه بُني على إطار عمل مايكروسوفت ‎.NET‎ فاقتصر عملياً على ويندوز. 

لتشغيله على لينكس وماك ظهر مشروعٌ منفصل اسمه KeePassX، أعاد كتابة الواجهة باستخدام مكتبة Qt متعدّدة المنصّات. لكنّ تطوير KeePassX تباطأ حتى كاد يتوقّف.

هنا، في 2 مايو 2012، انشقّ فريقٌ من المجتمع عن KeePassX وأنشأ KeePassXC — والحرف الأخير «C» يرمز إلى Community، أي «المجتمع». الدافع كان واضحاً: إبقاء كل ما أحبّه المستخدمون في KeePassX حيّاً، وإضافة الميزات وإصلاحات العلل التي توقّف المشروع الأصلي عن تقديمها.

اليوم صار KeePassXC هو الوريث النشِط الفعلي للعائلة كلها على الحواسيب المكتبية، يعمل على ويندوز وmacOS ولينكس وأنظمة BSD، وأحدث إصداراته المستقرّة هو 2.7.12 الصادر في مارس 2026.

كيف يحفظ أسرارك: ملفّ KDBX المشفّر

كل ما تخزّنه في KeePassXC — أسماء المستخدمين، كلمات المرور، الروابط، الملاحظات، بل وحتى ملفات مرفقة كصور أو مفاتيح — يُخزَّن داخل ملفٍ واحد بامتداد .kdbx. 

هذا الملف هو «قاعدة بياناتك»، وهو مشفّرٌ بالكامل، من ينظر إليه دون مفتاحك لا يرى إلا كتلةً من البيانات العشوائية بلا معنى. 

ولأنه مجرّد ملفٍ عادي، يمكنك وضعه في أي مكان: على قرصك، على ذاكرة USB، أو داخل مجلّدٍ تزامنه خدمةٌ سحابية — فالخدمة السحابية تحمل الملف المشفّر دون أن تملك القدرة على قراءته.

صيغة KDBX ليست اختراع KeePassXC وحده، بل صيغةٌ مشتركة وضعها KeePass الأصلي، وهذا ما يجعل النظام مفتوحاً: التطبيقات المختلفة في العائلة كلها تقرأ الملف نفسه، فلست محبوساً في تطبيقٍ بعينه.

التشفير وما يحمي به الملف فعلاً

حين تحفظ قاعدتك، يشفّرها KeePassXC بخوارزمية AES-256 افتراضياً (وهي معيار التشفير المعتمد حكومياً وعسكرياً حول العالم)، أو بخوارزمية ChaCha20 البديلة إن اخترتها. هاتان الخوارزميتان قويّتان لدرجةٍ تجعل كسرهما مباشرةً غير ممكنٍ عملياً.

لكنّ التشفير القوي وحده لا يكفي، لأنّ مفتاح فكّ التشفير مشتقٌّ في النهاية من كلمة مرورك الرئيسية — والناس يختارون كلمات مرورٍ يمكن تخمينها. لو حاول مهاجمٌ تجربة ملايين كلمات المرور المحتملة بسرعةٍ هائلة على بطاقات الرسوميات (وهذا ما يفعله كاسرو كلمات المرور فعلاً)، لكسر الكثير منها. هنا يدخل العنصر الأذكى في التصميم: دالة اشتقاق المفتاح (Key Derivation Function).

قبل أن يتحوّل ما تكتبه إلى مفتاح تشفير، يمرّره KeePassXC عبر دالة Argon2 — وهي الفائزة بمسابقة تجزئة كلمات المرور العالمية سنة 2015. ما يميّز Argon2 أنها مُكلِفة للذاكرة (memory-hard) عمداً، حيث تتطلّب كميةً كبيرة من ذاكرة الوصول العشوائي (RAM) لكل محاولة اشتقاق. 

وهذا بالضبط ما يُعجِز المهاجم: بطاقات الرسوميات والعتاد المتخصّص (ASIC) تتفوّق في إجراء عددٍ هائل من العمليات الحسابية البسيطة بالتوازي، لكنّها تختنق حين تحتاج كل محاولةٍ منها إلى ذاكرةٍ كبيرة. فبدل أن يجرّب المهاجم مليارات الكلمات في الثانية، تتباطأ محاولاته إلى عددٍ ضئيلٍ يجعل تخمين كلمة مرورٍ قويةً أمراً مستحيلاً عملياً في عمرٍ بشري. (الصيغ الأقدم من KDBX كانت تستعمل دالةً أبسط مبنيّة على AES، وانتقال KeePassXC إلى Argon2 رفع هذا الحاجز كثيراً.)

مفتاحك الرئيسي: ليس كلمة مرورٍ فقط

ما يفتح قاعدتك في KeePassXC ليس بالضرورة كلمة مرورٍ وحدها، بل ما يُسمّى المفتاح المركّب (Composite Master Key) — وهو دمجٌ لثلاثة عناصر ممكنة، تختار منها ما تشاء، لكنّ كلّ ما اخترته يصبح مطلوباً معاً لفتح القاعدة (علاقة «و» لا «أو»):

• كلمة المرور الرئيسية: الكلمة الواحدة التي تحفظها وتفتح بها كل شيء. هذا العنصر الأساسي.
• ملف المفتاح (Key File): ملفٌ عاديّ تختاره أنت ليكون جزءاً من المفتاح — أشبه بكلمة مرورٍ مكتوبة في ملف، لكنّها يمكن أن تكون أطول وأعقد بكثير ممّا يحفظه عقلك. تحفظه على ذاكرة USB مثلاً، فلا يُفتح الملف إلا بوجودها.
• مفتاح العتاد (Hardware Key): جهازٌ مادّي مثل YubiKey أو OnlyKey. هنا يُستعمل أسلوب التحدّي والاستجابة (Challenge-Response) بنمط HMAC-SHA1: يرسل KeePassXC «تحدّياً» إلى المفتاح، فيردّ المفتاح بـ«استجابة» محسوبة من سرٍّ مخزّنٍ داخله لا يخرج منه أبداً.

والتفصيلة الذكية في تطبيق KeePassXC أنه يستعمل «بذرة» القاعدة المتغيّرة كتحدٍّ للمفتاح العتادي، ولأنّ هذه البذرة تتغيّر مع كل حفظٍ للقاعدة، فإنّ الاستجابة المطلوبة تتغيّر هي الأخرى في كل مرّة — فيشبه السلوك حينها مصادقةً ثنائية حقيقية، إذ لا تنفع استجابةٌ قديمة مُسجَّلة.

هذا التصميم يمنحك أماناً طبقياً: حتى لو سُرِق ملف .kdbx وعُرِفت كلمة مرورك، يبقى الملف مغلقاً ما لم يملك السارق مفتاح العتاد أيضاً.

الميزات العملية: كيف تستعمله يومياً

التشفير وحده لا يكفي ليكون مدير كلمات المرور مفيداً؛ القيمة في كيف يدخلك إلى حساباتك بسرعة. وهنا يقدّم KeePassXC عدّة طرق:

التعبئة التلقائية (Auto-Type). تضغط اختصاراً عاماً على لوحة المفاتيح، فيبحث KeePassXC عن المدخل الذي يطابق عنوان النافذة المفتوحة أمامك، ثم «يكتب» بياناتك بمحاكاة ضغطات لوحة المفاتيح كأنك أنت من يكتبها. التسلسل الافتراضي هو اسم المستخدم، فمفتاح Tab، فكلمة المرور، فمفتاح Enter — ويمكنك تخصيصه. ميزته أنه يعمل مع أي تطبيق، لا المتصفّحات فقط.

تكامل المتصفّح. بتثبيت إضافة KeePassXC-Browser (المتوفّرة لفايرفوكس وكروم وإيدج وبريف وفيفالدي وحتى متصفّح Tor) يتعرّف التطبيق على نموذج تسجيل الدخول في الصفحة ويملأه مباشرةً، وهو أكثر أماناً من Auto-Type لأنه يطابق عنوان الموقع الفعلي لا مجرّد عنوان النافذة. والآلية وراء هذا التكامل مصمّمة بعنايةٍ أمنية: الإضافة لا تتصل بالتطبيق مباشرةً، بل عبر وسيطٍ محلّي (proxy) باستخدام بروتوكول المراسلة الأصلية (Native Messaging) الذي توفّره المتصفّحات. والأهمّ أنّ الرسائل بين الإضافة والتطبيق مشفّرة: عند أول ربط، تتبادل الإضافةُ والتطبيقُ مفاتيح تشفيرٍ عمومية، فتُعمّى كل رسالةٍ بينهما، ولا يستطيع برنامجٌ آخر على جهازك التنصّت على ما يُمرَّر بينهما.

أكواد المصادقة الثنائية (TOTP). كثيرٌ من الخدمات تطلب — إضافةً لكلمة المرور — كوداً مؤقّتاً يتغيّر كل ثلاثين ثانية، وهو ما تولّده تطبيقاتٌ مثل Google Authenticator. يستطيع KeePassXC تخزين سرّ هذه الأكواد داخل المدخل نفسه وتوليد الكود المؤقّت لك. هذا مريح، لكنّه يضع العاملين — كلمة المرور والكود الثاني — في السلّة ذاتها، وهو ما يقلّل قيمة «الفصل» الذي وُجدت من أجله المصادقة الثنائية؛ فمن يفتح قاعدتك يحصل على الاثنين معاً. القرار هنا مقايضةٌ بين الراحة والأمان، تحسمها أنت بحسب حسّاسية الحساب.

عميل مفاتيح SSH. للمطوّرين ومديري الأنظمة، يستطيع KeePassXC تخزين مفاتيح SSH الخاصّة، والعمل كعميلٍ لوكيل SSH (ssh-agent) المتوافق مع OpenSSH. فحين تفتح قاعدتك، يضيف مفاتيحك إلى الوكيل تلقائياً لتستعملها في الاتصال بالخوادم، وحين تقفلها يزيلها — فلا تبقى مفاتيحك متاحةً في الذاكرة وقاعدتك مغلقة.

المفاتيح المرورية (Passkeys). منذ إصدار 2.7.7 في مارس 2024، صار KeePassXC يخزّن ويستعمل المفاتيح المرورية — وهي البديل الحديث الأكثر أماناً عن كلمات المرور، الذي تتبنّاه المواقع الكبرى — عبر تكامل المتصفّح نفسه.

ويضيف التطبيق أدواتٍ مساعدة: مولّد كلمات مرور يصنع لك كلماتٍ عشوائية قوية، مقياس قوّة يقيّم متانة ما تختاره، وفحصٌ مقابل قاعدة Have I Been Pwned ليخبرك إن كانت إحدى كلماتك ظهرت في تسريبٍ معروف، ومستورِدات تنقل بياناتك من مديري كلمات المرور الآخرين مثل 1Password وBitwarden وProton Pass.

الثمن الحقيقي: المزامنة والهاتف مسؤوليتك أنت

هنا تظهر المقايضة الأكبر في فلسفة KeePassXC، وهي ما يجب أن تفهمه قبل أن تقرّر استعماله. لأنّ التطبيق لا يملك خادماً، فهو لا يوفّر مزامنةً مدمجة بين أجهزتك. 

ملفّك يبقى مجرّد ملفٍ على جهازك، ونقله إلى أجهزةٍ أخرى يقع على عاتقك أنت: الطريقة الشائعة أن تضع .kdbx في مجلّدٍ تزامنه خدمةٌ سحابية كـ Dropbox أو Google Drive أو Syncthing، فيتكفّل البرنامج بنقل الملف بينما يبقى التشفير مسؤولية KeePassXC وحده.

وهذا الترتيب يخلق فخّاً عملياً ينبغي أن تعرفه: تعارض النُّسخ. إذا عدّلت قاعدتك على جهازين قبل أن تكتمل المزامنة بينهما، فلن تستطيع الخدمة السحابية دمج التعديلين — لأنّ الملف مشفّرٌ كتلةً واحدة لا تستطيع الخدمة قراءة داخله — فتحتفظ بنسختين «متعارضتين» منفصلتين.

أبسط حلٍّ وقائي: حرّر القاعدة على جهازٍ واحد في المرّة، وأغلقها قبل فتحها في غيره. وإن وقع التعارض فعلاً، يوفّر KeePassXC أداة دمج (Merge) تجمع التعديلات من النسختين في قاعدةٍ واحدة دون فقدان شيء.

والقيد الثاني: لا يوجد تطبيق رسمي لـ KeePassXC على الهاتف. سبب الفريق صريح: نقل التطبيق إلى الجوال يتطلّب إعادة كتابةٍ كاملة، لأنّ بنيته وواجهته غير مهيّأتين لشاشات الهواتف. لكنّ هذا لا يعني أنّ بياناتك محبوسةٌ على الحاسوب — فبفضل صيغة KDBX المفتوحة، تقرأ تطبيقاتٌ أخرى الملفَّ نفسه على الجوال: على أندرويد يوصي الفريق بـ KeePassDX و Keepass2Android، وعلى iOS بـ Strongbox و KeePassium. تضع ملفك في السحابة، وتفتحه بأحد هذه التطبيقات على هاتفك، فتعمل المنظومة كلها حول الملف الواحد المشترك.

خلاصة هذا القسم أنّ KeePassXC ينقل إليك التحكّم الكامل وينقل إليك معه المسؤولية الكاملة: لا أحد يزامن بياناتك أو ينسخها احتياطياً نيابةً عنك. إن ضاع الملف ولم تكن قد نسخته، فقد ضاع. هذه ليست عيباً خفياً بل جوهر الصفقة: سيطرةٌ مطلقة مقابل عناءٍ إضافي.

لمن يصلح KeePassXC، ولمن لا يصلح؟

يصلح KeePassXC تماماً لمن يضع الخصوصية والسيطرة فوق الراحة: المهتمّ بالأمن، المطوّر، أو أي شخصٍ يرفض إيداع أسراره على خادم شركة ولا يمانع في إدارة ملفه ومزامنته بنفسه. مجانيّته الكاملة وانفتاح مصدره يجعلانه جذّاباً أيضاً لمن لا يريد دفع اشتراكٍ شهري لمدير كلمات مرور.

وفي المقابل، قد لا يناسب من يريد تجربةً «تعمل بلا تفكير» عبر هاتفه وحاسوبه ومتصفّحه بمزامنةٍ فورية تلقائية دون أن يضبط شيئاً — فهؤلاء ستخدمهم الحلول السحابية المتكاملة بسلاسةٍ أكبر، مقابل تنازلهم عن جزءٍ من السيطرة. الاختيار في جوهره مقايضةٌ بين سيطرةٍ تتطلّب جهداً وراحةٍ تتطلّب ثقة.

هل هو آمنٌ فعلاً؟ ما يقوله التدقيق المستقل

لأنّ مدير كلمات المرور يحرس أثمن ما تملك، فالسؤال عن جدارته بالثقة مشروع — خصوصاً أنّ كونه مفتوح المصدر يعني أنّ أيّ خبيرٍ يستطيع فحص شفرته بحثاً عن خلل. وقد حظي KeePassXC بدعمٍ من مؤسّسة الحدود الإلكترونية (EFF) ومراجعاتٍ أمنية لإصداراته.

لكنّ أبرز ما يعزّز ثقته جاء حديثاً: في نوفمبر 2025، منحت الوكالة الوطنية الفرنسية لأمن أنظمة المعلومات (ANSSI) التطبيقَ شهادتها الأمنية من المستوى الأول (CSPN) لإصدار 2.7.9 على ويندوز 10. 

وهذه الشهادة ليست مجرّد مراجعة شفرة، بل تقييمٌ تجريه مختبراتٌ معتمدة يشمل اختبار اختراقٍ فعلي والتزاماً بمعايير حكومية، وهي معترَفٌ بها فرنسياً وكذلك من المكتب الاتحادي الألماني لأمن المعلومات (BSI)، وصالحةٌ لثلاث سنوات. شهادةٌ بهذا الوزن لتطبيقٍ مجاني مفتوح المصدر يديره مجتمعٌ تطوّعي أمرٌ نادر، وهو دليلٌ ملموس على جدّيته الأمنية لا مجرّد ادّعاء.

الخلاصة

KeePassXC ليس «أسهل» مدير كلمات مرور، وليس مصمّماً ليكون كذلك. هو مبنيٌّ على مبدأٍ واحد صارم: أن تبقى أسرارك ملكك أنت وحدك، في ملفٍ مشفّر تحت سيطرتك، بلا وسيط. 

ومن هذا المبدأ تتفرّع كل صفاته — قوّته في تشفيره ومفتاحه المركّب وانفتاح صيغته، وعناؤه في غياب المزامنة وتطبيق الهاتف الرسمي. 

فمن يفهم أنّ السيطرة الكاملة تأتي بمسؤوليةٍ كاملة، ويقبل أن يحمل عبء حفظ ملفه ومزامنته، يجد فيه أحد أنضج أدوات الخصوصية وأجدرها بالثقة. أمّا من يريد أن يتولّى غيرُه هذا العبء، فالثمن الذي يدفعه قطعةٌ من تحكّمه — وتلك بالضبط هي القطعة التي بُني KeePassXC ليبقيها في يدك.

جرّب KeePassXC بنفسك — حمّله من موقعه الرسمي، أو تصفّح شفرته المفتوحة على GitHub:

الموقع الرسمي تحميل KeePassXC الكود المصدري على GitHub

لوحة تحكم المدير

تخصيص المظهرتعديل HTMLالإحصائياتالتنسيقالتعليقاتالصفحاتالمشاركاتالإعداداتتعديل المقال