【SSS】将来を考えたパスワード管理ソフト・アプリの選択

トレンドはBitwardenかKeePass

結論からいうと、KeePass Password Safe(キーパスパスワードセーフ)がオススメだ。

と思ったらbitwarden(ビットウォーデン)なるものが登場しており、新規で始めるならbitwardenになった。だいぶ状況が変わってしまったので2つとも紹介する。

bitwardenが登場してしまったことにより、有名な1PasswordとLastPassの選択肢はなくなった(理由は後述)。

利便性とセキュリティを兼ね備えた「新興勢力bitwarden」か、「圧倒的セキュリティだが導入のしづらさも圧倒的なKeePass」の魅力に迫っていきたい。

ちなみに、bitwardenの自動入力はこんな感じ。

ブックマークで自動入力
スポンサーリンク

導入早見表

手っ取り早く導入したい人・後押しになれば参考にしよう。

  • 初めてパスワード管理ソフトを使う → bitwarden
  • bitwardenのクラウドを信用していない → KeePass
  • 自力で外部クラウドに変更できる → bitwarden(最強)
  • KeePassが難しいと感じている → bitwarden
  • 添付ファイル(免許証画像など)をかなり入れる → KeePass
  • ローカル(オフライン)で使いたい → KeePass
  • 家族にも教えたい・共有したい → bitwarden
  • 1PasswordやLastPassといったクラウド管理ソフト → bitwarden
  • 1PasswordやLastPassに魅力を感じている → bitwarden

次にKeePassの説明をするが、bitwarden導入濃厚なら「bitwardenとは」まで読み飛ばそう。

スポンサーリンク

KeePassとは

なんだろう

無料パスワード管理ソフト界の王者で、有料パスワード管理ソフトも利便性以外で勝つことは今後もないだろうと思われるフリーソフト。

そして、ついにセキュリティと利便性を両立した同じオープンソースのbitwardenが登場してしまった。

利便性は劣るといっても、「ほぼすべてのサイト」や「オフラインのアプリ」に自動入力設定を組み込めるし、Windows・Mac・Android・iOSでも使え、アプリが対応していれば指紋認証も使える。

KeePassの自動入力はこんな感じ。

自動入力

bitwardenにはないメリットがあり、KeePassはパスワード情報を自分の端末(ローカル)に置ける。

さらに、

  • クラウドに置いてもキーファイルを使って強制的に安全
  • 特定の会社に依存しない自由に選択できるクラウド
  • 誰でもコードを確認できて不正なコードを発見できるオープンソース

となっており、ローカル運用やクラウド同期を含めてもセキュリティ的にはこちらが優勢だ。

ただ、新しく始めるならほとんど自動的にやってくれるbitwardenのほうが目を引きやすいだろう。

とくに、1PasswordやLastPassを検討していたなら尚更だ。

iPhoneアプリの「MiniKeePass」がイマイチなので、iPhoneユーザーは問答無用でbitwardenがオススメ。
スポンサーリンク

bitwardenとは

スマホブックマーク自動入力
 Androidアプリ自動入力

現クラウド型パスワード管理ソフト界の王者で、利便性に力を入れておきながらオープンソースというKeePassと同じ非常に重要なメリットを両立したソフトだ。

ぷっぷ
ぷっぷ

結構な人がLastPassレベルに導入が簡単なクラウド型オープンソースを待ち望んでいたはず!

有料プランはあるがほぼ無料で使え、ほとんどの人は気にしないだろう。

無料プランでも自分を含めた二人までなら家族と共有して使う特殊なこともできるので、家族に使わせるところでもKeePassより優勢だ。

パソコン版は生体認証に対応していないが、スマホアプリは「顔・指紋認証」に対応している。

一番のポイントはKeePassのような導入のしづらさがなく、すべての端末で同じようなアプリを使えることだろう。端末ごとに操作が違うなんてこともなく、日本語翻訳も最初からついている。

一応自社クラウドのため、次の章で説明する「クラウド管理の恐怖」の可能性を考えると良い。

ただ、1PasswordとLastPassになかった「オープンソースという絶大なメリット」を持っているわけで、自社クラウドでも優秀ではないだろうか。

さらに、「自社クラウドから外部クラウドに変更する方法」も用意されている。

この方法は別途サーバー代が必要なので明らかに初心者向けではないが、初心者でもできるようになったらKeePassにも完全勝利だ。

クラウド管理の恐怖

絶望の不正アクセス

クラッカー(悪いハッカー)の格好の獲物が、クラウド型パスワード管理ソフトなのは言うまでもない。

2段階認証を設定していても入り口以外から侵入され、大体役に立たない。これは家の鍵をつけていようが、壁から穴を開けられるような感じだ。

そのため、正規ルートではないと暗号化されており、漏れても安心設計にはなっている。

ユーザー数が多いだけで狙われる宿命を背負ったLastPassは、たびたび被害や脆弱性(弱点)が発見され「一部のユーザーはマスターパスワードを変更して」・「拡張機能を使わないで」など、従いたくない現実に従わされる。

公式ブログ2015年6月の漏洩2017年3月の脆弱性(英語)

その点KeePassは、クラウド型の被害を対岸の火事として見ていられる。

仮にクラウド同期という形で使用していたとしても、「パスワード管理のジャンル」から外れた「クラウドストレージのジャンル」に預けているだけで相当な防御となり、最強のキーファイルもある。

ぷっぷ
ぷっぷ

当事者はヒヤヒヤが止まらないよ!

KeePassやbitwardenにも脆弱性はある

脆弱性は現在見つかっていないだけで、どのソフト・アプリに存在してもおかしいものではない。

その都度対応・対策に磨きをかけ、どんどんサービスを成長させることでユーザーが使いやすくなり、安全度も増していく。

つまり、「攻撃されているから危ない」というのはわかるが、耐えていればチャンス・弱点が減るものなので、プラスのイメージに切り替え「LastPass頑張ってるー」という考えで使用するといい。

オンラインに存在している限り狙われ続けるが……。

スポンサーリンク

簡単な比較

一応述べておくと、1PasswordとLastPassのセキュリティは十分で、実際不正アクセスされてもマスターパスワードは流出していないので安全ではある。

もしかしたら、ヒヤヒヤするか・しないかの違いだけかもしれない。

それでは、パスワード管理ソフト四天王(実際は2強)の簡単な比較。

特徴1PasswordLastPassKeePassbitwarden
PC版料金月額2.99ドル無料版でOK無料無料版でOK
スマホ版料金月額400円無料版でOK無料無料版でOK
生体認証スマホのみ?顔・指紋指紋指紋スマホのみ顔・指紋
使いやすさ
UI現代風現代風太古現代風
保存場所自社クラウド自社クラウド色んなクラウドかローカル自社クラウドか外部クラウド
使える端末iOSが微妙
オープンソース××
家族プラン×

ここに導入のしづらさなど入れてしまうとKeePassがドンドンマイナス評価になるので内緒。

キーファイルでクラウドの信頼度を無視

対策すれば安全

KeePassはオフラインで使用でき、パソコンやスマホと一緒に使うならクラウドが必須だ。

これはbitwardenと同じ土俵に立つという意味で、これより明確に安全な状態じゃなければ優勢とは言えない。

KeePassにはキーファイルという第2の鍵があり、パスワード情報の入った「データベース」をどこかのクラウド、キーファイルをその他の場所に置いておくと、クラウドに不正アクセスが成功したとしてもキーファイルがないためKeePassを開けない

クラウドに情報を置くことは嫌だが、この方法で強制的に信頼度を無視でき、非常にセキュリティを高めることできる。

当サイトではキーファイルも同時に作成する手順で進むのでスムーズだ。
スポンサーリンク

KeePassを使ってみる

ハッキリ言えば、最初は苦行。だが、インストールは「画像に従い無の境地」でやるだけで10分以内に終わる。

効果を実感するのは3ヶ月後くらいだろうか。

サービスを利用するたびコツコツとパスワード情報をKeePassに記入していくと、いずれ手放せなくなり、KeePassガチ勢へと成長していく。

Androidアプリはこちら。

【S】スマホアプリKeepass2Androidの使い方

KeePassに乗り換えるなら以下を参照。

【移行】LastPassからKeePassにインポート
【移行】1PasswordからKeePassにインポート
【移行】RoboFormからKeePassにインポート
スポンサーリンク

bitwardenを使ってみる

「早見表」に導かれた人たちはもうbitwardenで良いだろう。

【SSS】Bitwardenスマホアプリのダウンロードと自動入力の使い方

KeePassをすでに使っている人向けの視点はこちらが面白いぞ。

bitwardenに乗り換えるなら以下を参照。

【移行】LastPassからbitwardenにインポート
【移行】1Passwordからbitwardenにインポート

コメント

  1. 匿名 より:

    なるほど、ご意見が聞けて良かったです。
    定期的に更新するのは面倒ですが、背に腹はかえれませんし、悩ましいところですね^^;
    ご返信ありがとうございました( ^∀^)

  2. 匿名 より:

    参考になる記事をありがとうございます。
    僕は現在Bitwardenを使用しているのですが、もしBitwardenが倒産したら…と思うと心配になります。
    念には念で、KeePassと併用するべきでしょうか。
    流石に心配しすぎでしょうか?

    • ぷっぷ より:

      さすがに心配しすぎなのは確かですが、併用はありです。
      実際私はKeePassメインで、Bitwardenをサブとして使っていますよ∩(・∀・∩

      Bitwardenがメインですと、KeePassにはBitwardenのパスワードをめんどくさいからそのままぶっこんでしまって(定期的に更新)、Bitwardenの自動入力が使えないパソコンソフトウェアのログインはKeePassに登録というのが理想になります。
      面倒くささでいえば、BitwardenがメインでKeePassサブの方がめんどくさかったりします。
      KeePassの使い方覚えないといけないし、定期的に更新する必要もあります(´ε`;)

      補足:もし倒産してもオープンソースだから死なないかと思いましたが、Bitwardenのデータを勝手に引き継ぐわけがないのでした。