結論からいうと、KeePass Password Safe(キーパスパスワードセーフ)がオススメだ。
bitwardenが登場してしまったことにより、有名な1PasswordとLastPassの選択肢はなくなった(理由は後述)。
利便性とセキュリティを兼ね備えた「新興勢力bitwarden」か、「圧倒的セキュリティだが導入のしづらさも圧倒的なKeePass」の魅力に迫っていきたい。
ちなみに、bitwardenの自動入力はこんな感じ。
導入早見表
手っ取り早く導入したい人・後押しになれば参考にしよう。
- 初めてパスワード管理ソフトを使う → bitwarden
- bitwardenのクラウドを信用していない → KeePass
- 自力で外部クラウドに変更できる → bitwarden(最強)
- KeePassが難しいと感じている → bitwarden
- 添付ファイル(免許証画像など)をかなり入れる → KeePass
- ローカル(オフライン)で使いたい → KeePass
- 家族にも教えたい・共有したい → bitwarden
- 1PasswordやLastPassといったクラウド管理ソフト → bitwarden
- 1PasswordやLastPassに魅力を感じている → bitwarden
次にKeePassの説明をするが、bitwarden導入濃厚なら「bitwardenとは」まで読み飛ばそう。
KeePassとは
無料パスワード管理ソフト界の王者で、有料パスワード管理ソフトも利便性以外で勝つことは今後もないだろうと思われるフリーソフト。
そして、ついにセキュリティと利便性を両立した同じオープンソースのbitwardenが登場してしまった。
KeePassの自動入力はこんな感じ。
bitwardenにはないメリットがあり、KeePassはパスワード情報を自分の端末(ローカル)に置ける。
さらに、
- クラウドに置いてもキーファイルを使って強制的に安全
- 特定の会社に依存しない自由に選択できるクラウド
- 誰でもコードを確認できて不正なコードを発見できるオープンソース
となっており、ローカル運用やクラウド同期を含めてもセキュリティ的にはこちらが優勢だ。
ただ、新しく始めるならほとんど自動的にやってくれるbitwardenのほうが目を引きやすいだろう。
とくに、1PasswordやLastPassを検討していたなら尚更だ。
bitwardenとは
現クラウド型パスワード管理ソフト界の王者で、利便性に力を入れておきながらオープンソースというKeePassと同じ非常に重要なメリットを両立したソフトだ。
結構な人がLastPassレベルに導入が簡単なクラウド型オープンソースを待ち望んでいたはず!
有料プランはあるがほぼ無料で使え、ほとんどの人は気にしないだろう。
無料プランでも自分を含めた二人までなら家族と共有して使う特殊なこともできるので、家族に使わせるところでもKeePassより優勢だ。
パソコン版は生体認証に対応していないが、スマホアプリは「顔・指紋認証」に対応している。
一応自社クラウドのため、次の章で説明する「クラウド管理の恐怖」の可能性を考えると良い。
ただ、1PasswordとLastPassになかった「オープンソースという絶大なメリット」を持っているわけで、自社クラウドでも優秀ではないだろうか。
さらに、「自社クラウドから外部クラウドに変更する方法」も用意されている。
この方法は別途サーバー代が必要なので明らかに初心者向けではないが、初心者でもできるようになったらKeePassにも完全勝利だ。
クラウド管理の恐怖
クラッカー(悪いハッカー)の格好の獲物が、クラウド型パスワード管理ソフトなのは言うまでもない。
2段階認証を設定していても入り口以外から侵入され、大体役に立たない。これは家の鍵をつけていようが、壁から穴を開けられるような感じだ。
そのため、正規ルートではないと暗号化されており、漏れても安心設計にはなっている。
ユーザー数が多いだけで狙われる宿命を背負ったLastPassは、たびたび被害や脆弱性(弱点)が発見され「一部のユーザーはマスターパスワードを変更して」・「拡張機能を使わないで」など、従いたくない現実に従わされる。
公式ブログ2015年6月の漏洩・2017年3月の脆弱性(英語)
その点KeePassは、クラウド型の被害を対岸の火事として見ていられる。
仮にクラウド同期という形で使用していたとしても、「パスワード管理のジャンル」から外れた「クラウドストレージのジャンル」に預けているだけで相当な防御となり、最強のキーファイルもある。
当事者はヒヤヒヤが止まらないよ!
KeePassやbitwardenにも脆弱性はある
脆弱性は現在見つかっていないだけで、どのソフト・アプリに存在してもおかしいものではない。
その都度対応・対策に磨きをかけ、どんどんサービスを成長させることでユーザーが使いやすくなり、安全度も増していく。
オンラインに存在している限り狙われ続けるが……。
簡単な比較
一応述べておくと、1PasswordとLastPassのセキュリティは十分で、実際不正アクセスされてもマスターパスワードは流出していないので安全ではある。
もしかしたら、ヒヤヒヤするか・しないかの違いだけかもしれない。
それでは、パスワード管理ソフト四天王(実際は2強)の簡単な比較。
| 特徴 | 1Password | LastPass | KeePass | bitwarden |
|---|---|---|---|---|
| PC版料金 | 月額2.99ドル | 無料版でOK | 無料 | 無料版でOK |
| スマホ版料金 | 月額400円 | 無料版でOK | 無料 | 無料版でOK |
| 生体認証 | スマホのみ?顔・指紋 | 指紋 | 指紋 | スマホのみ顔・指紋 |
| 使いやすさ | ◎ | ◎ | ○ | ◎ |
| UI | 現代風 | 現代風 | 太古 | 現代風 |
| 保存場所 | 自社クラウド | 自社クラウド | 色んなクラウドかローカル | 自社クラウドか外部クラウド |
| 使える端末 | ○ | ○ | iOSが微妙 | ○ |
| オープンソース | × | × | ○ | ○ |
| 家族プラン | ○ | ○ | × | ○ |
ここに導入のしづらさなど入れてしまうとKeePassがドンドンマイナス評価になるので内緒。
キーファイルでクラウドの信頼度を無視
KeePassはオフラインで使用でき、パソコンやスマホと一緒に使うならクラウドが必須だ。
これはbitwardenと同じ土俵に立つという意味で、これより明確に安全な状態じゃなければ優勢とは言えない。
KeePassにはキーファイルという第2の鍵があり、パスワード情報の入った「データベース」をどこかのクラウド、キーファイルをその他の場所に置いておくと、クラウドに不正アクセスが成功したとしてもキーファイルがないためKeePassを開けない。
クラウドに情報を置くことは嫌だが、この方法で強制的に信頼度を無視でき、非常にセキュリティを高めることできる。
KeePassを使ってみる
ハッキリ言えば、最初は苦行。だが、インストールは「画像に従い無の境地」でやるだけで10分以内に終わる。
効果を実感するのは3ヶ月後くらいだろうか。
サービスを利用するたびコツコツとパスワード情報をKeePassに記入していくと、いずれ手放せなくなり、KeePassガチ勢へと成長していく。
Androidアプリはこちら。
KeePassに乗り換えるなら以下を参照。
bitwardenを使ってみる
「早見表」に導かれた人たちはもうbitwardenで良いだろう。
KeePassをすでに使っている人向けの視点はこちらが面白いぞ。
bitwardenに乗り換えるなら以下を参照。
コメント
そうですよね、わすれているアカウントがあるかもしれないので、1年様子みます
ちょっとセキュリティ的には緩い感じになっちゃいますけど、これからそれを回収するのでOK!
ぷっぷさんの記事をみてBitwardenを新たに導入しました。ほぼ使いまわしていたパスワードをこれを機に変更しています。私は普段はFirefoxにパスワードを記録していましたが、Bitwardenに乗り換えした場合は、Firefox側は削除したほうがいいのでしょうか?
えーと何ヶ月くらいだろう?(゚~゚o)
すべて完璧に移動させたなら、すぐにでも削除しちゃってもOKです。
少しでも微妙感がある場合は、最低でも半年は残しておかないと、半年に1度しかログインしないアカウントの存在に気づかないで、二度とログインできないかも!
半年というか、1年でも大丈夫かも!
なる早ですけど、その人次第でブレます(´ε`;)
御社サイトを初めて拝見しました。
私は現在ドロップボックスパスワードで管理しているのですが、これは良くないのでしょうか?
ドロップボックスにKeepassのファイルを置いているということですか?
その使い方で問題ありませんよ∩(・∀・∩
※キーファイルは別の場所に保管してください。
あれ..??なんで俺「1Password」使ってたんだろう…
KeePassは私が書くまで使い方の情報が整理されていなかったのと、Bitwardenもほぼ無名だったので仕方がないかも!
当時LastPassと1Passwordの2択、新しくでてきたEnPASSに顔認証が付いていて、新時代の幕開け的な流れだったような……(2018年以前の話)
>自力で外部クラウドに変更できる → bitwarden(最強)
この自力で外部クラウドに変更する方法・・・またどういった外部クラウドがいいのか、何に気をつけて選択ミスるとどんなデメリットがあるかなど・・・気になります。
調べても中々分かりやすい情報は無く・・・
素人には難しいものでしょうか?
それとも、勉強すればなんとかなる、いい記事や動画などありますでしょうか?
この機会にしっかりセキュリティ確保したい場合、やはり外部クラウドにした方がいいんですよね?
全然使わず放置してるXサーバーアカウントがあるので、これも使えるのかな?とも思いますが、これは関係ないのかな?
Googleのクラウドだと無料で利用できるっぽいですが、いろいろどんなデメリットがあったり使用する上で不便になったり逆に悪い部分が出てきたりあったりするのか全くわからず心配です。うん、何もわかんないんです。
現状面倒な管理が豊富で、最低限わかっていないと余計なことになってしまう部分が多々あります。
具体的な問題は
エックスサーバーはWordPress以外使えませんよーといった、別の用途向けに最適化されているレンタルサーバーなので使えません。
使えるのはな~んにも入っていないVPSというサービスです(なんにも入っていないから、そこにBitwardenを入れます)。
Googleの無料Cloudは残念ながらスペック?が足りないので、誰かが公開しているオープンソースのやつを使うことになるのかな?(無料で使いたい人が最適化してくれた)
ただ、公式ではないとサポート停止が不安なため、乗り換えという苦行を想定するとさらに手を出しづらい……と、さらに初心者にはおすすめできない現状だったりします。
解決策はお金( Ꙭ)
※追記:Oracleの無料サーバーがすごいスペックだったのを教えてもらったんでした。
というわけで、問題はドメインとVPS(サーバー)管理とLinuxの設定かな?(゚~゚o)
うーん、どこにおすすめできる要素があるのか、逆に教えてほしいくらいですねこれ……
なるほどです!
詳しくありがとうございます!
今の知識では逆にいろいろ面倒になって、結局良く無い状況になりそうなので、無難に普通にbitwardenの無料プランにしようかと思います・・・。
お金かけるにしても、仮に有料プラン以上にお金が掛かったとして、それだけの労力と価値があるのか・・・となると分からないですし。
そうなんですよね(゚~゚o)
別に有料プランも「高い」とか言われると激安ですし……
日常的にドメイン・VPS・Linuxとか触っている方が許される特権だと思います!
また、更新料はボラれポイントのため、くれぐれも気をつけてください。Cloudflareはxyz未対応。この情報は過去に私が調査したものなので、古い可能性があります。公式のxyzドメインも安いですが、2段階認証があるかどうかは未確認。