結論からいうと、KeePass Password Safe(キーパスパスワードセーフ)がオススメだ。
bitwardenが登場してしまったことにより、有名な1PasswordとLastPassの選択肢はなくなった(理由は後述)。
利便性とセキュリティを兼ね備えた「新興勢力bitwarden」か、「圧倒的セキュリティだが導入のしづらさも圧倒的なKeePass」の魅力に迫っていきたい。
ちなみに、bitwardenの自動入力はこんな感じ。
導入早見表
手っ取り早く導入したい人・後押しになれば参考にしよう。
- 初めてパスワード管理ソフトを使う → bitwarden
- bitwardenのクラウドを信用していない → KeePass
- 自力で外部クラウドに変更できる → bitwarden(最強)
- KeePassが難しいと感じている → bitwarden
- 添付ファイル(免許証画像など)をかなり入れる → KeePass
- ローカル(オフライン)で使いたい → KeePass
- 家族にも教えたい・共有したい → bitwarden
- 1PasswordやLastPassといったクラウド管理ソフト → bitwarden
- 1PasswordやLastPassに魅力を感じている → bitwarden
次にKeePassの説明をするが、bitwarden導入濃厚なら「bitwardenとは」まで読み飛ばそう。
KeePassとは
無料パスワード管理ソフト界の王者で、有料パスワード管理ソフトも利便性以外で勝つことは今後もないだろうと思われるフリーソフト。
そして、ついにセキュリティと利便性を両立した同じオープンソースのbitwardenが登場してしまった。
KeePassの自動入力はこんな感じ。
bitwardenにはないメリットがあり、KeePassはパスワード情報を自分の端末(ローカル)に置ける。
さらに、
- クラウドに置いてもキーファイルを使って強制的に安全
- 特定の会社に依存しない自由に選択できるクラウド
- 誰でもコードを確認できて不正なコードを発見できるオープンソース
となっており、ローカル運用やクラウド同期を含めてもセキュリティ的にはこちらが優勢だ。
ただ、新しく始めるならほとんど自動的にやってくれるbitwardenのほうが目を引きやすいだろう。
とくに、1PasswordやLastPassを検討していたなら尚更だ。
bitwardenとは
現クラウド型パスワード管理ソフト界の王者で、利便性に力を入れておきながらオープンソースというKeePassと同じ非常に重要なメリットを両立したソフトだ。
結構な人がLastPassレベルに導入が簡単なクラウド型オープンソースを待ち望んでいたはず!
有料プランはあるがほぼ無料で使え、ほとんどの人は気にしないだろう。
無料プランでも自分を含めた二人までなら家族と共有して使う特殊なこともできるので、家族に使わせるところでもKeePassより優勢だ。
パソコン版は生体認証に対応していないが、スマホアプリは「顔・指紋認証」に対応している。
一応自社クラウドのため、次の章で説明する「クラウド管理の恐怖」の可能性を考えると良い。
ただ、1PasswordとLastPassになかった「オープンソースという絶大なメリット」を持っているわけで、自社クラウドでも優秀ではないだろうか。
さらに、「自社クラウドから外部クラウドに変更する方法」も用意されている。
この方法は別途サーバー代が必要なので明らかに初心者向けではないが、初心者でもできるようになったらKeePassにも完全勝利だ。
クラウド管理の恐怖
クラッカー(悪いハッカー)の格好の獲物が、クラウド型パスワード管理ソフトなのは言うまでもない。
2段階認証を設定していても入り口以外から侵入され、大体役に立たない。これは家の鍵をつけていようが、壁から穴を開けられるような感じだ。
そのため、正規ルートではないと暗号化されており、漏れても安心設計にはなっている。
ユーザー数が多いだけで狙われる宿命を背負ったLastPassは、たびたび被害や脆弱性(弱点)が発見され「一部のユーザーはマスターパスワードを変更して」・「拡張機能を使わないで」など、従いたくない現実に従わされる。
公式ブログ2015年6月の漏洩・2017年3月の脆弱性(英語)
その点KeePassは、クラウド型の被害を対岸の火事として見ていられる。
仮にクラウド同期という形で使用していたとしても、「パスワード管理のジャンル」から外れた「クラウドストレージのジャンル」に預けているだけで相当な防御となり、最強のキーファイルもある。
当事者はヒヤヒヤが止まらないよ!
KeePassやbitwardenにも脆弱性はある
脆弱性は現在見つかっていないだけで、どのソフト・アプリに存在してもおかしいものではない。
その都度対応・対策に磨きをかけ、どんどんサービスを成長させることでユーザーが使いやすくなり、安全度も増していく。
オンラインに存在している限り狙われ続けるが……。
簡単な比較
一応述べておくと、1PasswordとLastPassのセキュリティは十分で、実際不正アクセスされてもマスターパスワードは流出していないので安全ではある。
もしかしたら、ヒヤヒヤするか・しないかの違いだけかもしれない。
それでは、パスワード管理ソフト四天王(実際は2強)の簡単な比較。
特徴 | 1Password | LastPass | KeePass | bitwarden |
---|---|---|---|---|
PC版料金 | 月額2.99ドル | 無料版でOK | 無料 | 無料版でOK |
スマホ版料金 | 月額400円 | 無料版でOK | 無料 | 無料版でOK |
生体認証 | スマホのみ?顔・指紋 | 指紋 | 指紋 | スマホのみ顔・指紋 |
使いやすさ | ◎ | ◎ | ○ | ◎ |
UI | 現代風 | 現代風 | 太古 | 現代風 |
保存場所 | 自社クラウド | 自社クラウド | 色んなクラウドかローカル | 自社クラウドか外部クラウド |
使える端末 | ○ | ○ | iOSが微妙 | ○ |
オープンソース | × | × | ○ | ○ |
家族プラン | ○ | ○ | × | ○ |
ここに導入のしづらさなど入れてしまうとKeePassがドンドンマイナス評価になるので内緒。
キーファイルでクラウドの信頼度を無視
KeePassはオフラインで使用でき、パソコンやスマホと一緒に使うならクラウドが必須だ。
これはbitwardenと同じ土俵に立つという意味で、これより明確に安全な状態じゃなければ優勢とは言えない。
KeePassにはキーファイルという第2の鍵があり、パスワード情報の入った「データベース」をどこかのクラウド、キーファイルをその他の場所に置いておくと、クラウドに不正アクセスが成功したとしてもキーファイルがないためKeePassを開けない。
クラウドに情報を置くことは嫌だが、この方法で強制的に信頼度を無視でき、非常にセキュリティを高めることできる。
KeePassを使ってみる
ハッキリ言えば、最初は苦行。だが、インストールは「画像に従い無の境地」でやるだけで10分以内に終わる。
効果を実感するのは3ヶ月後くらいだろうか。
サービスを利用するたびコツコツとパスワード情報をKeePassに記入していくと、いずれ手放せなくなり、KeePassガチ勢へと成長していく。
Androidアプリはこちら。
KeePassに乗り換えるなら以下を参照。
bitwardenを使ってみる
「早見表」に導かれた人たちはもうbitwardenで良いだろう。
KeePassをすでに使っている人向けの視点はこちらが面白いぞ。
bitwardenに乗り換えるなら以下を参照。
コメント
なるほど、ご意見が聞けて良かったです。
定期的に更新するのは面倒ですが、背に腹はかえれませんし、悩ましいところですね^^;
ご返信ありがとうございました( ^∀^)
参考になる記事をありがとうございます。
僕は現在Bitwardenを使用しているのですが、もしBitwardenが倒産したら…と思うと心配になります。
念には念で、KeePassと併用するべきでしょうか。
流石に心配しすぎでしょうか?
さすがに心配しすぎなのは確かですが、併用はありです。
実際私はKeePassメインで、Bitwardenをサブとして使っていますよ∩(・∀・∩
Bitwardenがメインですと、KeePassにはBitwardenのパスワードをめんどくさいからそのままぶっこんでしまって(定期的に更新)、Bitwardenの自動入力が使えないパソコンソフトウェアのログインはKeePassに登録というのが理想になります。
面倒くささでいえば、BitwardenがメインでKeePassサブの方がめんどくさかったりします。
KeePassの使い方覚えないといけないし、定期的に更新する必要もあります(´ε`;)
補足:もし倒産してもオープンソースだから死なないかと思いましたが、Bitwardenのデータを勝手に引き継ぐわけがないのでした。