【ガチ勢分析】パスワードマネージャーBitwardenの凄さ

Bitwardenって、何ソレ?

1Password・LastPass・Dashlaneあたりがクラウド型パスワードマネージャーで有名だが、結構前から無駄な制限もないうえ無料かつ生体認証対応のBitwardenが存在していた。

LastPassが無料利用者に制限をかけた今(モバイルかパソコンどちらかしか無料で使えなくなった)、代わりの一択だということを自称ガチ勢が推していく。

ぷっぷ
ぷっぷ

「アカウント作成が億劫でサービスに乗り遅れる」ことはなくなるよ∩(・∀・∩

スポンサーリンク

オープンソースで不正が仕込めない!?しかも日本語

なるほどー

オープンソースという「誰でも中身のプログラムを確認できる状態」でサービスを提供しており、共同管理者がこっそり悪いコード(裏口)を仕込むこともできる。

だが、大多数の現役バリバリ技術者が勉強がてらに確認してくれ、ソレを未然に防ぐのだ。

参考Open Source | Bitwarden

ぷっぷ
ぷっぷ

Wikiみたいに色んな人が改良を手伝ってくれる感じ(*゚▽゚)

このように1PasswordやLastPassとは決定的に違うメリットとなっており、「企業秘密でコードが公開されていないパスワード管理ソフト・アプリ」より、数の暴力でチェック回数が多くなるため、必然的に安全が洗練されていく。

オープンソースあるあるとして日本語対応も早く(公式サイト以外日本語対応済み)、一般人が「こっちのパスワードマネージャーにこんな機能あるけど、Bitwardenには実装しないの?」と、コミュニティで聞けるほど新機能を認知させるのも容易い。

それがどんな意味なのか、感じてみるといい。

【永遠に無料】を謳っていて、欲しい機能も無料

突如有料化で閉め出される心配はなく、少なくとも公式は2018年からFree Forever(永遠に無料)と述べている。

Bitwardenアカウントの値段

参照Pricing For You | Bitwarden

通常無料版で困らないが、添付ファイル(もちろん暗号化)・ワンタイムパスワード生成・セキュリティキーの2段階認証といったものは月額1ドル、年なら10ドルでプレミアムプランに入れ、家族アカウントもとってもリーズナブル。

標準搭載(無料)
  • 無制限の登録数
  • 生体認証(指紋・顔)
  • 2段階認証設定可能
  • すべての端末でパスワード同期
  • 自分でサーバーを建てる(激ムズ・別途サーバー代等)
有料機能(プレミアムプラン)
  • Bitwardenにワンタイムパスワードを組み込める
  • スマホアプリを起動させる手間がないということ
  • 1GB(十分)の添付ファイルストレージ
  • セキュリティキーによる2段階認証設定解禁
有料家族機能
  • 無制限の共有
  • 6人までかつ、プレミアムプラン付属

※家族アカウントは管理者が死亡した場合、残された家族は悶絶する。

かわいい
かわいい

おい

また、家族アカウントとは別に「ビジネスプラン」の無料組織機能を使い、二人までなら共有できる荒業も可能。

「昨今のアカウント地獄で新サービス利用が億劫」な場合、解決策はパスワードマネージャーしかない。

スポンサーリンク

クラウドでも安全性は?

クラウドの安全性

パスワードマネージャーで当たり前の機能ではあるが、エンドツーエンドなのでBitwarden運営側からもユーザーのパスワードを確認できない

具体的には、Bitwarden保管庫へ保存する前にすべてが暗号化され、Bitwarden側も閲覧できない。「暗号化されたデータを保存する場所にBitwardenサーバー(Microsoft Azure)を使っているだけ」というわけだ。

そのため、パスワードを忘れてもBitwardenは知らないため復旧不可能(業界では当たり前)。

さらに、このソフト・アプリはオープンソース(中身のプログラムは公開)となっているので、現状考えられる理想的な状態をすべて満たしていると思ってもらっていい。

それでもクラウドが怖いなら、同じオープンソースのKeePassがだいぶ昔から最強である。

監査・バグバウンティ(第三者機関や人にチェックしてもらう)にも力を入れている。

ただGoogle WorkspaceやSlackレベルの大企業ほどに監査が多すぎるため、詳細は公式を参照されたし。

どちらにせよ、1PasswordやLastPassとの違いはオープンソースくらいしかなく、そのオープンソース(大多数のガチ勢が声を掛け合える数の暴力)が強いので、やりすぎセキュリティ的にはBitwardenしかクラウド型の選択肢はない。

スポンサーリンク

直感的な自動入力

ご覧のように、スマホ・PCは説明不要で直感的に使えるだろう。


細工をすれば銀行などの複数項目自動入力も可能。

ただ、カスタムフィールドをスマホで使うには面倒なため、主にPC向けである。

スマホはログインすると一定時間ログイン状態、もしくは生体認証で簡単ログインができるため、そもそも使うケース自体少ない。

複数項目自動入力
スポンサーリンク

意図的に負荷をかけて解読を遅らせる

自分の好きな強度にして、負荷をかけてログインを遅らせることが可能。

ぷっぷ
ぷっぷ

かなりマニアック( Ꙭ)

これによりBitwardenにブルートフォースアタック(総当たり攻撃)を仕掛けても、1回試すごとに指定された反復回数が発生して時間を稼げる。

反復回数を増やす

ただ、初心者が絶対に触るような場所ではないため、設定は以下を参照してうまく活用しよう。

意図的に負荷をかけたり、Webブラウザでするbitwarden設定まとめ

もちろん指紋・顔の生体認証対応

スマホ・パソコン両方で生体認証が使える。

保管庫のロック解除も、いちいちマスターパスワードを入力する必要がなく便利だ。

新サービスに乗り遅れをしたくないのなら、もうBitwardenでいいだろう。

パソコン版は以下。1PasswordやLastPassからの移転タイミングも書いてあるので、Bitwardenアカウントから先に作ってこよう。

スマホ版はこちら。

移転用の記事もこちらに置いておくが、やはりBitwardenアカウントにログインする必要があるため、先にアカウントだけ作るべし。

コメント

  1. 吉永 より:

    初めてコメントをする者です。
    bitwardenの中にveracryptのパスワードを入れるのはセキュリティ上問題ないでしょうか?
    ご回答していただけますと幸いです。よろしくお願いします。

    • ぷっぷ より:

      VeraCryptのファイルに、「オンライン上からアクセスできる場合」は少し良くないかな?(´ε`;)
      時間稼ぎ的なものでいえば、普通に数日は生き延びていそうではあります。
      先にログインできるサービスを漁るはず?

      大体はUSBをVeraCryptで暗号化領域を作ってる使い方が多いでしょうし、その場合は仮にBitwardenで漏洩騒ぎがありましても、USBメモリはオンラインにはないので、時間敵猶予はたっぷりあります!
      となると、一番問題があるのはBitwardenのデータが飛んだ時(Microsoft Azure)であって、それ用のバックアップをVeraCryptで封印した際には、頭の中で覚えて置く必要があります。
      マスターパスワード以外の、もう一つのパスワードを……。
      そういったものは、Dicewareで作成しましょう!