Czym jest KeePass
KeePass to darmowy, open-source'owy menedżer haseł działający w modelu całkowicie offline - w odróżnieniu od Bitwarden, 1Password czy NordPass, nie ma tu żadnej chmury producenta, do której trafiają zaszyfrowane dane. Cała baza haseł to pojedynczy plik w formacie .kdbx, który przechowujesz tam, gdzie sam zdecydujesz - na dysku, na pendrivie albo w dowolnej usłudze synchronizacji plików, którą wybierzesz samodzielnie.
Projekt istnieje w dwóch liniach rozwojowych. KeePass 1.x to starsza gałąź, działająca tylko na Windows, korzystająca z formatu .kdb i utrzymywana już wyłącznie w trybie maintenance. KeePass 2.x to aktywnie rozwijana wersja napisana w .NET, natywna na Windows i uruchamiana na Linuksie oraz macOS przez warstwę kompatybilności Mono, korzystająca z nowszego, otwarcie udokumentowanego formatu KDBX 4. To właśnie wersja 2.x jest tą, o której mówi się dziś w kontekście KeePass, i to na niej skupia się ta recenzja.
Architektura bezpieczeństwa
Dostęp do bazy KeePass chroni Hasło Główne, które opcjonalnie można wzmocnić dodatkowym plikiem klucza (key file) albo powiązaniem z kontem użytkownika Windows - w praktyce oznacza to, że nawet przy przechwyceniu samego pliku .kdbx atakujący wciąż potrzebuje dodatkowego elementu, jeśli został skonfigurowany. Do wyprowadzenia klucza szyfrującego z Hasła Głównego KeePass może użyć starszej funkcji AES-KDF albo, w nowszym formacie KDBX 4, algorytmu Argon2d - funkcji memory-hard, zaprojektowanej tak, by znacznie utrudnić łamanie haseł metodą brute force przy użyciu układów GPU czy ASIC.
Same dane w bazie szyfrowane są algorytmem AES-256, ChaCha20 (w KDBX 4) lub Twofish, w zależności od konfiguracji, a integralność zaszyfrowanych rekordów zabezpiecza HMAC-SHA-256 w modelu encrypt-then-MAC. KeePass stara się też chronić odszyfrowane dane w pamięci operacyjnej, choć - jak pokazują opisane niżej CVE - ta ochrona nie jest absolutna.
Audyty: EU-FOSSA, BSI CAOS 3.0, ANSSI CSPN
KeePass i KeePassXC przeszły łącznie co najmniej trzy niezależne audyty bezpieczeństwa finansowane przez instytucje publiczne, a nie przez samego producenta.
| Audyt | Kto zlecił | Kiedy | Wynik |
|---|---|---|---|
| EU-FOSSA 1 | Komisja Europejska | 2016 | Brak znalezionych problemów |
| CAOS 3.0 | Niemiecki BSI + mgm security partners | 2024 | Brak podatności średniego, wysokiego i krytycznego ryzyka |
| ANSSI CSPN (KeePassXC) | Synacktiv na zlecenie ANSSI | 2024-2025 | Zgodność z ANSSI-PG-083, brak niespójności z celem bezpieczeństwa |
Audyt CAOS 3.0 dotyczył KeePass w wersji 2.57.1 i wykazał jedynie dwa drobne problemy oraz sugestie usprawnień w kodzie, bez żadnej podatności klasyfikowanej jako średnia, wysoka czy krytyczna. Raport ANSSI CSPN, opublikowany pod koniec października 2025 roku i przeprowadzony przez firmę Synacktiv, obejmował wersję 2.7.9 KeePassXC i również nie znalazł luk niezgodnych z założonym celem bezpieczeństwa - jedyna wzmianka dotyczyła podatności w zewnętrznej bibliotece minizip, ocenionej jako niskiego ryzyka.
Znane CVE - uczciwe zestawienie
KeePass vs KeePassXC vs apki mobilne
Nazwa "KeePass" w praktyce oznacza dziś cały ekosystem powiązanych, ale niezależnych aplikacji - i to rozróżnienie jest kluczowe, bo tylko część z nich jest oficjalna.
| Platforma | Klient | Status |
|---|---|---|
| Windows | KeePass 2.x (natywny .NET) | Oficjalny |
| Windows (starsze systemy) | KeePass 1.x | Oficjalny, tylko maintenance |
| Linux / macOS | KeePass 2.x przez Mono | Oficjalny, ale nie natywny |
| Windows / Linux / macOS | KeePassXC (C++, Qt) | Community, nieoficjalny |
| Android | KeePassDX | Third-party, nieoficjalny |
| iOS / macOS | Strongbox (freemium) | Third-party, nieoficjalny |
| Przeglądarka / web | KeeWeb | Third-party, nieoficjalny |
W praktyce oznacza to, że jeśli korzystasz z Linuksa, macOS albo telefonu, Twoim głównym narzędziem będzie aplikacja, której KeePass oficjalnie nie tworzy ani nie utrzymuje. KeePassXC stał się nieformalnym standardem poza Windows - ma natywną integrację przeglądarkową, agenta SSH i generator TOTP bez konieczności instalowania dodatkowych pluginów, i to właśnie on przeszedł audyt ANSSI CSPN. Na Androidzie najczęściej poleca się open-source'ową KeePassDX, a na iOS i macOS płatną, choć freemium, aplikację Strongbox. Żadna z tych aplikacji nie jest oficjalnie wspierana przez twórcę KeePass, co oznacza samodzielną ocenę zaufania do każdego z tych projektów z osobna.
Funkcje KeePass
Auto-Type
Auto-Type to rozbudowany mechanizm automatycznego wypełniania formularzy logowania - w odróżnieniu od prostego autofill w przeglądarkowych menedżerach haseł, pozwala definiować niestandardowe sekwencje klawiszy dla konkretnych okien i stron, co przydaje się przy nietypowych formularzach logowania, na przykład w starszych aplikacjach desktopowych.
Pluginy
KeePass 2.x ma rozbudowany framework pluginowy oparty na .NET, z oficjalną listą liczącą ponad 100 rozszerzeń. Wśród najważniejszych są KeeAnywhere, dodający dostęp do chmur takich jak Dropbox, Google Drive czy OneDrive, KeePassHTTP oraz KeePassXC-Browser, integrujące bazę z przeglądarką, KeeOtp2, dający graficzny interfejs dla kodów TOTP (wbudowanych natywnie od wersji 2.57), KeePassSync do synchronizacji przez FTP, SFTP lub S3, oraz KeePassPasskey, dodający obsługę passkeys jako natywnego dostawcy na Windows 11. Ta rozszerzalność to jedna z największych przewag KeePass nad zamkniętymi menedżerami haseł, ale wymaga też samodzielnego wyboru i zaufania do konkretnych pluginów.
Plik klucza i tryb portable
Poza samym Hasłem Głównym KeePass pozwala zabezpieczyć bazę dodatkowym plikiem klucza - bez niego nawet znajomość hasła nie wystarczy do otwarcia bazy. KeePass 2.x działa też w wersji portable, czyli bez instalacji, co pozwala uruchomić program bezpośrednio z pendrive'a na dowolnym komputerze z Windows.
Specyfikacja w skrócie
| Parametr | Wartość |
|---|---|
| Model | Offline, lokalna baza w pliku (brak wbudowanej chmury) |
| Format bazy | KDBX 3.1 / KDBX 4 (otwarty, udokumentowany) |
| Szyfrowanie | AES-256, ChaCha20 (KDBX 4), Twofish |
| Wyprowadzanie klucza | AES-KDF lub Argon2d |
| Integralność danych | HMAC-SHA-256, encrypt-then-MAC |
| Kod źródłowy | Open-source, GPLv2 |
| Audyty bezpieczeństwa | EU-FOSSA (2016), BSI CAOS 3.0 (2024), ANSSI CSPN dla KeePassXC (2024-2025) |
| Platformy | Windows (natywny), Linux/macOS (Mono lub KeePassXC), Android (KeePassDX), iOS (Strongbox) - poza Windows apki nieoficjalne |
| Pluginy | Ponad 100 (framework .NET, tylko KeePass 2.x) |
| Synchronizacja | Ręczna, przez własną chmurę plikową lub plugin |
| Cena | Darmowy, bez subskrypcji i limitów |
KeePass vs Bitwarden
Bitwarden i KeePass to dwa najbardziej rozpoznawalne darmowe menedżery haseł z otwartym kodem źródłowym, ale reprezentują zupełnie inną filozofię - chmura kontra pełna kontrola lokalna. Oto jak wypadają obok siebie.
| Kryterium | KeePass (z KeePassXC) | Bitwarden |
|---|---|---|
| Cena | Darmowy, 0 zł | Darmowy plan + Premium/Family płatne |
| Model | Offline, lokalna baza .kdbx | Chmura, opcjonalnie self-hosting (Vaultwarden) |
| Aplikacje mobilne | Nieoficjalne (KeePassDX, Strongbox) | Oficjalne, na Androida i iOS |
| Synchronizacja | Ręczna, przez własną chmurę | Automatyczna, wbudowana |
| Krzywa uczenia się | Stroma, interfejs retro | Łagodna, nowoczesny interfejs |
| Autofill w przeglądarce | Przez plugin KeePassXC-Browser | Wbudowany |
| Audyt haseł / wycieków | Plugin HaveIBeenPwned | Wbudowane, HIBP na żądanie |
| Passkeys | Ograniczone, przez plugin | Pełne wsparcie |
| Dostęp awaryjny | Brak | Tylko Premium/Family |
| Audyty bezpieczeństwa | EU-FOSSA, BSI CAOS 3.0, ANSSI CSPN | Cure53, SOC 2 Type II, SOC 3, ISO/IEC 27001 |
| Kontrola nad danymi | Pełna, dane tylko lokalnie | Zero-knowledge, ale dane na serwerze |
| Rozszerzalność | Ponad 100 pluginów | Mniejszy ekosystem integracji |
Bitwarden wygrywa, gdy liczy się wygoda - automatyczna synchronizacja między urządzeniami, oficjalne aplikacje mobilne na każdą platformę, pełne wsparcie passkeys, dostęp awaryjny dla bliskich i monitoring wycieków bez dodatkowej konfiguracji. To naturalny wybór dla osób, które chcą, żeby menedżer haseł po prostu działał, bez konfigurowania pluginów czy ręcznej synchronizacji.
KeePass wygrywa, gdy priorytetem jest pełna kontrola nad danymi i zerowe zaufanie do jakiejkolwiek chmury firmy trzeciej - dane fizycznie nie opuszczają Twojego sprzętu, jeśli sam tego nie zrobisz. Sprawdzi się też tam, gdzie liczy się przenośność z pendrive'a, praca w środowiskach odciętych od sieci (air-gapped), niestandardowe skrypty Auto-Type albo po prostu chęć uniknięcia jakiejkolwiek subskrypcji - kosztem tego, że całą konfigurację, synchronizację i wybór aplikacji mobilnej trzeba wziąć na siebie.
Wady i ograniczenia
KeePass ma realne wady, o których laik powinien wiedzieć, zanim zdecyduje się na to rozwiązanie zamiast prostszego menedżera chmurowego.
- Interfejs w stylu wczesnych lat 2000 - okienkowy, mało intuicyjny wygląd, szczególnie widoczny w wersji uruchamianej przez Mono na Linuksie i macOS
- Brak oficjalnych aplikacji mobilnych - na Androidzie i iOS trzeba zaufać niezależnym projektom takim jak KeePassDX czy Strongbox, nietworzonym ani niewspieranym przez KeePass
- Ręczna synchronizacja - baza .kdbx nie synchronizuje się sama; trzeba ją samodzielnie umieścić w Dropboxie, OneDrive, Syncthing albo skonfigurować plugin
- Wysoki próg wejścia dla osoby nietechnicznej - konfiguracja bazy, ewentualnego pliku klucza, wyboru klienta na każdą platformę i pluginów wymaga czasu i pewnej wiedzy
- Brak wbudowanego monitoringu ciemnej sieci - sprawdzanie wycieków w Have I Been Pwned wymaga instalacji osobnego pluginu, nie działa od razu po instalacji
- Brak wbudowanego autofill w przeglądarce - wymaga zainstalowania KeePassXC-Browser lub KeePassHTTP jako osobnego kroku
- Brak dostępu awaryjnego (Emergency Access) - nie ma wbudowanego mechanizmu przekazania dostępu do bazy bliskiej osobie na wypadek niedyspozycji
- Ograniczone wsparcie passkeys - działa tylko przez dodatkowe pluginy, bez natywnej integracji na poziomie systemu operacyjnego na większości platform
- Brak formalnego wsparcia klienta - jedynym źródłem pomocy jest społeczność, fora i zgłoszenia na GitHubie, bez wsparcia mailowego czy czatu
Dla kogo jest KeePass
KeePass ma sens jeśli:
- Zależy Ci na pełnej kontroli nad danymi i nie chcesz ufać żadnej chmurze firmy trzeciej
- Pracujesz w środowisku z podwyższonymi wymaganiami co do przechowywania danych, na przykład instytucjonalnym lub odciętym od sieci
- Nie chcesz płacić za żadną subskrypcję, nawet symboliczną
- Potrzebujesz przenośnego rozwiązania działającego z pendrive'a bez instalacji
- Jesteś osobą techniczną, która nie boi się samodzielnie skonfigurować synchronizacji i pluginów
- Chcesz niestandardowych skryptów Auto-Type do nietypowych formularzy logowania
Rozważ inny produkt jeśli:
- Chcesz menedżera haseł, który po prostu działa od razu, bez konfiguracji synchronizacji i pluginów
- Potrzebujesz oficjalnej, wspieranej przez producenta aplikacji mobilnej
- Zależy Ci na automatycznej synchronizacji między wieloma urządzeniami bez dodatkowych ustawień
- Chcesz mieć wbudowany dostęp awaryjny i monitoring wycieków bez instalowania pluginów
- Nie masz czasu ani ochoty na samodzielną konfigurację techniczną
Werdykt
Plusy
- Pełna kontrola nad danymi - baza to lokalny plik, zero zależności od chmury
- Trzy niezależne audyty bezpieczeństwa (EU-FOSSA, BSI CAOS 3.0, ANSSI CSPN)
- Całkowicie darmowy, bez subskrypcji i limitów
- Silne szyfrowanie - Argon2d, ChaCha20/AES-256, HMAC-SHA-256
- Ponad 100 pluginów rozszerzających funkcjonalność
- Tryb portable - działa z pendrive'a bez instalacji
Minusy
- Interfejs w stylu wczesnych lat 2000, wysoki próg wejścia dla laika
- Brak oficjalnych aplikacji mobilnych - trzeba zaufać projektom third-party
- Synchronizacja między urządzeniami wymaga ręcznej konfiguracji
- Brak dostępu awaryjnego i wbudowanego monitoringu ciemnej sieci
- Ograniczone, oparte na pluginach wsparcie passkeys
KeePass zasługuje na solidną ocenę 4.0 na 5 - to jeden z niewielu menedżerów haseł, które przeszły audyt finansowany przez instytucję publiczną nie raz, a trzykrotnie, i przez cały czas pozostają całkowicie darmowe. Cena za tę kontrolę to jednak realna niewygoda - brak oficjalnych aplikacji mobilnych, ręczna synchronizacja i interfejs, który nie zmienił się fundamentalnie od lat. Dla osoby technicznej, gotowej samodzielnie skonfigurować synchronizację i wybrać zaufane aplikacje na każdą platformę, KeePass pozostaje jednym z najbardziej wiarygodnych rozwiązań na rynku. Dla laika szukającego wygody, lepszym punktem startu będzie menedżer chmurowy taki jak Bitwarden.
Sprawdź KeePass
Darmowy, open-source, offline - pełna kontrola nad bazą haseł bez żadnej chmury.
Alternatywy do rozważenia
Zobacz pełny ranking menedżerów haseł 2026
Wszystkie produkty porównane pod względem bezpieczeństwa i funkcji. Bez płatnych pozycji.
Najczęstsze pytania
Tak. KeePass przeszedł co najmniej trzy niezależne audyty - EU-FOSSA w 2016 roku, BSI CAOS 3.0 w 2024 roku oraz ANSSI CSPN dla KeePassXC w latach 2024-2025 - i żaden z nich nie wykazał krytycznych ani wysokiego ryzyka podatności. W historii zgłoszono jedną istotną lukę, CVE-2023-32784, pozwalającą odzyskać hasło główne z zrzutu pamięci - została naprawiona w wersji 2.54. Jak przy każdym oprogramowaniu, bezpieczeństwo w praktyce zależy też od tego, jak silne hasło główne ustawi użytkownik.
KeePass 2.x to oficjalna aplikacja napisana w .NET, natywna na Windows i uruchamiana na Linuksie i macOS przez warstwę Mono. KeePassXC to niezależna, społecznościowa reimplementacja napisana w C++/Qt, natywna na wszystkich trzech systemach, z wbudowaną integracją przeglądarkową, agentem SSH i generatorem TOTP bez potrzeby instalowania dodatkowych pluginów. W praktyce KeePassXC stał się de facto standardem poza Windows i jest chętniej polecany niż oficjalny klient uruchamiany przez Mono.
Nie. KeePass nie oferuje własnej aplikacji na Androida ani iOS - na obu platformach trzeba polegać na niezależnych, third-party klientach zgodnych z formatem KDBX. Na Androida najczęściej poleca się open-source'ową KeePassDX, a na iOS i macOS płatną (freemium) aplikację Strongbox. Żadna z nich nie jest oficjalnie wspierana przez projekt KeePass.
KeePass nie ma wbudowanej synchronizacji chmurowej - bazę .kdbx trzeba samodzielnie umieścić w usłudze plikowej takiej jak Dropbox, OneDrive czy Syncthing, albo skorzystać z pluginu takiego jak KeeAnywhere, który dodaje bezpośrednią obsługę popularnych chmur. To rozwiązanie wymaga więcej konfiguracji niż automatyczna synchronizacja w Bitwarden czy 1Password, ale daje pełną kontrolę nad tym, gdzie fizycznie trafia zaszyfrowany plik.
To zależy od priorytetów. KeePass wygrywa tam, gdzie liczy się pełna kontrola nad danymi, praca offline i brak jakiejkolwiek subskrypcji - kosztem wygody i wsparcia dla osób nietechnicznych. Bitwarden wygrywa tam, gdzie liczy się automatyczna synchronizacja między urządzeniami, oficjalne aplikacje mobilne, dostęp awaryjny i prostota obsługi. Żaden z nich nie jest uniwersalnie lepszy - wybór zależy od tego, czy ważniejsza jest kontrola, czy wygoda.