結論からいうと、KeePass Password Safe(キーパスパスワードセーフ)がオススメだ。
bitwardenが登場してしまったことにより、有名な1PasswordとLastPassの選択肢はなくなった(理由は後述)。
利便性とセキュリティを兼ね備えた「新興勢力bitwarden」か、「圧倒的セキュリティだが導入のしづらさも圧倒的なKeePass」の魅力に迫っていきたい。
ちなみに、bitwardenの自動入力はこんな感じ。
導入早見表
手っ取り早く導入したい人・後押しになれば参考にしよう。
- 初めてパスワード管理ソフトを使う → bitwarden
- bitwardenのクラウドを信用していない → KeePass
- 自力で外部クラウドに変更できる → bitwarden(最強)
- KeePassが難しいと感じている → bitwarden
- 添付ファイル(免許証画像など)をかなり入れる → KeePass
- ローカル(オフライン)で使いたい → KeePass
- 家族にも教えたい・共有したい → bitwarden
- 1PasswordやLastPassといったクラウド管理ソフト → bitwarden
- 1PasswordやLastPassに魅力を感じている → bitwarden
次にKeePassの説明をするが、bitwarden導入濃厚なら「bitwardenとは」まで読み飛ばそう。
KeePassとは
無料パスワード管理ソフト界の王者で、有料パスワード管理ソフトも利便性以外で勝つことは今後もないだろうと思われるフリーソフト。
そして、ついにセキュリティと利便性を両立した同じオープンソースのbitwardenが登場してしまった。
KeePassの自動入力はこんな感じ。
bitwardenにはないメリットがあり、KeePassはパスワード情報を自分の端末(ローカル)に置ける。
さらに、
- クラウドに置いてもキーファイルを使って強制的に安全
- 特定の会社に依存しない自由に選択できるクラウド
- 誰でもコードを確認できて不正なコードを発見できるオープンソース
となっており、ローカル運用やクラウド同期を含めてもセキュリティ的にはこちらが優勢だ。
ただ、新しく始めるならほとんど自動的にやってくれるbitwardenのほうが目を引きやすいだろう。
とくに、1PasswordやLastPassを検討していたなら尚更だ。
bitwardenとは
現クラウド型パスワード管理ソフト界の王者で、利便性に力を入れておきながらオープンソースというKeePassと同じ非常に重要なメリットを両立したソフトだ。
結構な人がLastPassレベルに導入が簡単なクラウド型オープンソースを待ち望んでいたはず!
有料プランはあるがほぼ無料で使え、ほとんどの人は気にしないだろう。
無料プランでも自分を含めた二人までなら家族と共有して使う特殊なこともできるので、家族に使わせるところでもKeePassより優勢だ。
パソコン版は生体認証に対応していないが、スマホアプリは「顔・指紋認証」に対応している。
一応自社クラウドのため、次の章で説明する「クラウド管理の恐怖」の可能性を考えると良い。
ただ、1PasswordとLastPassになかった「オープンソースという絶大なメリット」を持っているわけで、自社クラウドでも優秀ではないだろうか。
さらに、「自社クラウドから外部クラウドに変更する方法」も用意されている。
この方法は別途サーバー代が必要なので明らかに初心者向けではないが、初心者でもできるようになったらKeePassにも完全勝利だ。
クラウド管理の恐怖
クラッカー(悪いハッカー)の格好の獲物が、クラウド型パスワード管理ソフトなのは言うまでもない。
2段階認証を設定していても入り口以外から侵入され、大体役に立たない。これは家の鍵をつけていようが、壁から穴を開けられるような感じだ。
そのため、正規ルートではないと暗号化されており、漏れても安心設計にはなっている。
ユーザー数が多いだけで狙われる宿命を背負ったLastPassは、たびたび被害や脆弱性(弱点)が発見され「一部のユーザーはマスターパスワードを変更して」・「拡張機能を使わないで」など、従いたくない現実に従わされる。
公式ブログ2015年6月の漏洩・2017年3月の脆弱性(英語)
その点KeePassは、クラウド型の被害を対岸の火事として見ていられる。
仮にクラウド同期という形で使用していたとしても、「パスワード管理のジャンル」から外れた「クラウドストレージのジャンル」に預けているだけで相当な防御となり、最強のキーファイルもある。
当事者はヒヤヒヤが止まらないよ!
KeePassやbitwardenにも脆弱性はある
脆弱性は現在見つかっていないだけで、どのソフト・アプリに存在してもおかしいものではない。
その都度対応・対策に磨きをかけ、どんどんサービスを成長させることでユーザーが使いやすくなり、安全度も増していく。
オンラインに存在している限り狙われ続けるが……。
簡単な比較
一応述べておくと、1PasswordとLastPassのセキュリティは十分で、実際不正アクセスされてもマスターパスワードは流出していないので安全ではある。
もしかしたら、ヒヤヒヤするか・しないかの違いだけかもしれない。
それでは、パスワード管理ソフト四天王(実際は2強)の簡単な比較。
| 特徴 | 1Password | LastPass | KeePass | bitwarden |
|---|---|---|---|---|
| PC版料金 | 月額2.99ドル | 無料版でOK | 無料 | 無料版でOK |
| スマホ版料金 | 月額400円 | 無料版でOK | 無料 | 無料版でOK |
| 生体認証 | スマホのみ?顔・指紋 | 指紋 | 指紋 | スマホのみ顔・指紋 |
| 使いやすさ | ◎ | ◎ | ○ | ◎ |
| UI | 現代風 | 現代風 | 太古 | 現代風 |
| 保存場所 | 自社クラウド | 自社クラウド | 色んなクラウドかローカル | 自社クラウドか外部クラウド |
| 使える端末 | ○ | ○ | iOSが微妙 | ○ |
| オープンソース | × | × | ○ | ○ |
| 家族プラン | ○ | ○ | × | ○ |
ここに導入のしづらさなど入れてしまうとKeePassがドンドンマイナス評価になるので内緒。
キーファイルでクラウドの信頼度を無視
KeePassはオフラインで使用でき、パソコンやスマホと一緒に使うならクラウドが必須だ。
これはbitwardenと同じ土俵に立つという意味で、これより明確に安全な状態じゃなければ優勢とは言えない。
KeePassにはキーファイルという第2の鍵があり、パスワード情報の入った「データベース」をどこかのクラウド、キーファイルをその他の場所に置いておくと、クラウドに不正アクセスが成功したとしてもキーファイルがないためKeePassを開けない。
クラウドに情報を置くことは嫌だが、この方法で強制的に信頼度を無視でき、非常にセキュリティを高めることできる。
KeePassを使ってみる
ハッキリ言えば、最初は苦行。だが、インストールは「画像に従い無の境地」でやるだけで10分以内に終わる。
効果を実感するのは3ヶ月後くらいだろうか。
サービスを利用するたびコツコツとパスワード情報をKeePassに記入していくと、いずれ手放せなくなり、KeePassガチ勢へと成長していく。
Androidアプリはこちら。
KeePassに乗り換えるなら以下を参照。
bitwardenを使ってみる
「早見表」に導かれた人たちはもうbitwardenで良いだろう。
KeePassをすでに使っている人向けの視点はこちらが面白いぞ。
bitwardenに乗り換えるなら以下を参照。
コメント
どうしてもクラウドにパスワードを保管することが気になり、本サイトを参考にKeePassを使い始めました。
一つ教えてほしいことがあります。同じサイトで複数のアカウントを使い分けて自動入力することはできますでしょうか?
できるけど「1動作追加」になります∩(・∀・∩
例:Twitterアカウントが2つあり、自動入力コマンドを押すと「2つの候補のうちどちらを入力しますかウィンドウ」が出現し、それを選択して自動入力が開始する感じです。
※2つの候補が識別できるように、名前をつけておかないと困る。
有料機能によくあるパスワード漏洩を知らせる機能についてどう考えていますか。
また、KeePassにそういった機能を追加できる方法はありますか。
あー、あれってhave i been pwned?の提供データを使っていて、そこにヒットしたら通知するって感じのシステムです!
Bitwarden参考Data Breach Report (Personal Vaults only)
普通に使っちゃっていいですよー∩(・∀・∩
KeePassにはBreach/Leak Checkersにあるプラグインがそうです。
※HIBPはhave i been pwnedのこと。
プラグインは管理が止まったり公式でもないので、本家かFirefoxモニター(結局本家を使っている)で漏洩したら困るメールアドレスを登録して、「そのサービスが通知されたらパスワードも変える」で対応可能です。
基本的にパスワードとメールアドレスはセットで漏洩するものだと思います。
ありがとうございました。参考にさせていただきます。
ホイ( ・ω・)/
>KDBXファイルどこやったの!?
うーん、このリスクまでは思いが至りませんでした。
親戚とは距離が離れているので、救済はむずかしそうです。
Bitwardenであれば、アクセスできない場合でも
「もう少したってからアクセスしてみて」で済みそうですね。
ということで、Bitwardenを採用します。
切り分けのため、私もBitwardenを入れてみることにします。
おかげさまで納得して勧められます。
ありがとうございました。
(追伸)
実は他の方の質問レベルが高いので、こんなレベルの低い質問に
回答してもらえるかと半信半疑でした。
その意味でも感謝します。
そうですね、その言葉で何でも解決できる魔法のコトバですね。
どちらかというとセキュリティ初心者向けのサイトなので、ガチっぽいと私が答えられなかったりします( Ꙭ)
ぷっぷさんのおすすめで私自身はKeepassを使用していますが、ITが得意でない親戚にはbitwardenを使わせたいと思っています。しかし、bitwarden側のサーバートラブル等で保管庫へのアクセスが不能になるのが心配です。クラウド系のパスワード管理ソフトで、このようなトラブルが発生したことはないのでしょうか。(心配し過ぎでしょうか?)
そうですね 笑 これはしょうがないのです……。
とりあえず、クラウドであるかぎりあると思います。
BitwardenのサーバーはMicrosoft Azureだったはずなので、このクラスであればTwitterで嘆きが発生したり、「Azure 障害」で検索するとダウン中とかはわかったりします。
Azureクラスが一日中止まってるということはそうそうないと思いますので(数時間は覚悟)、許容するしかないかも。
確実にKeePassをオフラインで使うよりは低リスクかなーと私は思います(´ε`;)
※不意に機種変更して「KDBXファイルどこやったの!?」と問い詰めたところで絶対に伝わらないと思われます。
本家のKeePassは確かに導入が難しいですが,KeePassXCであれば比較的導入も楽で完全無料という点でBitwardenと比べても遜色ないと思います.
ご存知だとは思いましたが一応コメントさせていただきました.
みーんなXCを勧めてくるので、いつか記事にしますいつか!
設定は対象のウインドウとかありますし、その部分考えたらBitwardenかなーとは思っています。
実際家族に勧めるならBitwardenかも(゚~゚o)