結論からいうと、KeePass Password Safe(キーパスパスワードセーフ)がオススメだ。
bitwardenが登場してしまったことにより、有名な1PasswordとLastPassの選択肢はなくなった(理由は後述)。
利便性とセキュリティを兼ね備えた「新興勢力bitwarden」か、「圧倒的セキュリティだが導入のしづらさも圧倒的なKeePass」の魅力に迫っていきたい。
ちなみに、bitwardenの自動入力はこんな感じ。
導入早見表
手っ取り早く導入したい人・後押しになれば参考にしよう。
- 初めてパスワード管理ソフトを使う → bitwarden
- bitwardenのクラウドを信用していない → KeePass
- 自力で外部クラウドに変更できる → bitwarden(最強)
- KeePassが難しいと感じている → bitwarden
- 添付ファイル(免許証画像など)をかなり入れる → KeePass
- ローカル(オフライン)で使いたい → KeePass
- 家族にも教えたい・共有したい → bitwarden
- 1PasswordやLastPassといったクラウド管理ソフト → bitwarden
- 1PasswordやLastPassに魅力を感じている → bitwarden
次にKeePassの説明をするが、bitwarden導入濃厚なら「bitwardenとは」まで読み飛ばそう。
KeePassとは
無料パスワード管理ソフト界の王者で、有料パスワード管理ソフトも利便性以外で勝つことは今後もないだろうと思われるフリーソフト。
そして、ついにセキュリティと利便性を両立した同じオープンソースのbitwardenが登場してしまった。
KeePassの自動入力はこんな感じ。
bitwardenにはないメリットがあり、KeePassはパスワード情報を自分の端末(ローカル)に置ける。
さらに、
- クラウドに置いてもキーファイルを使って強制的に安全
- 特定の会社に依存しない自由に選択できるクラウド
- 誰でもコードを確認できて不正なコードを発見できるオープンソース
となっており、ローカル運用やクラウド同期を含めてもセキュリティ的にはこちらが優勢だ。
ただ、新しく始めるならほとんど自動的にやってくれるbitwardenのほうが目を引きやすいだろう。
とくに、1PasswordやLastPassを検討していたなら尚更だ。
bitwardenとは
現クラウド型パスワード管理ソフト界の王者で、利便性に力を入れておきながらオープンソースというKeePassと同じ非常に重要なメリットを両立したソフトだ。
結構な人がLastPassレベルに導入が簡単なクラウド型オープンソースを待ち望んでいたはず!
有料プランはあるがほぼ無料で使え、ほとんどの人は気にしないだろう。
無料プランでも自分を含めた二人までなら家族と共有して使う特殊なこともできるので、家族に使わせるところでもKeePassより優勢だ。
パソコン版は生体認証に対応していないが、スマホアプリは「顔・指紋認証」に対応している。
一応自社クラウドのため、次の章で説明する「クラウド管理の恐怖」の可能性を考えると良い。
ただ、1PasswordとLastPassになかった「オープンソースという絶大なメリット」を持っているわけで、自社クラウドでも優秀ではないだろうか。
さらに、「自社クラウドから外部クラウドに変更する方法」も用意されている。
この方法は別途サーバー代が必要なので明らかに初心者向けではないが、初心者でもできるようになったらKeePassにも完全勝利だ。
クラウド管理の恐怖
クラッカー(悪いハッカー)の格好の獲物が、クラウド型パスワード管理ソフトなのは言うまでもない。
2段階認証を設定していても入り口以外から侵入され、大体役に立たない。これは家の鍵をつけていようが、壁から穴を開けられるような感じだ。
そのため、正規ルートではないと暗号化されており、漏れても安心設計にはなっている。
ユーザー数が多いだけで狙われる宿命を背負ったLastPassは、たびたび被害や脆弱性(弱点)が発見され「一部のユーザーはマスターパスワードを変更して」・「拡張機能を使わないで」など、従いたくない現実に従わされる。
公式ブログ2015年6月の漏洩・2017年3月の脆弱性(英語)
その点KeePassは、クラウド型の被害を対岸の火事として見ていられる。
仮にクラウド同期という形で使用していたとしても、「パスワード管理のジャンル」から外れた「クラウドストレージのジャンル」に預けているだけで相当な防御となり、最強のキーファイルもある。
当事者はヒヤヒヤが止まらないよ!
KeePassやbitwardenにも脆弱性はある
脆弱性は現在見つかっていないだけで、どのソフト・アプリに存在してもおかしいものではない。
その都度対応・対策に磨きをかけ、どんどんサービスを成長させることでユーザーが使いやすくなり、安全度も増していく。
オンラインに存在している限り狙われ続けるが……。
簡単な比較
一応述べておくと、1PasswordとLastPassのセキュリティは十分で、実際不正アクセスされてもマスターパスワードは流出していないので安全ではある。
もしかしたら、ヒヤヒヤするか・しないかの違いだけかもしれない。
それでは、パスワード管理ソフト四天王(実際は2強)の簡単な比較。
特徴 | 1Password | LastPass | KeePass | bitwarden |
---|---|---|---|---|
PC版料金 | 月額2.99ドル | 無料版でOK | 無料 | 無料版でOK |
スマホ版料金 | 月額400円 | 無料版でOK | 無料 | 無料版でOK |
生体認証 | スマホのみ?顔・指紋 | 指紋 | 指紋 | スマホのみ顔・指紋 |
使いやすさ | ◎ | ◎ | ○ | ◎ |
UI | 現代風 | 現代風 | 太古 | 現代風 |
保存場所 | 自社クラウド | 自社クラウド | 色んなクラウドかローカル | 自社クラウドか外部クラウド |
使える端末 | ○ | ○ | iOSが微妙 | ○ |
オープンソース | × | × | ○ | ○ |
家族プラン | ○ | ○ | × | ○ |
ここに導入のしづらさなど入れてしまうとKeePassがドンドンマイナス評価になるので内緒。
キーファイルでクラウドの信頼度を無視
KeePassはオフラインで使用でき、パソコンやスマホと一緒に使うならクラウドが必須だ。
これはbitwardenと同じ土俵に立つという意味で、これより明確に安全な状態じゃなければ優勢とは言えない。
KeePassにはキーファイルという第2の鍵があり、パスワード情報の入った「データベース」をどこかのクラウド、キーファイルをその他の場所に置いておくと、クラウドに不正アクセスが成功したとしてもキーファイルがないためKeePassを開けない。
クラウドに情報を置くことは嫌だが、この方法で強制的に信頼度を無視でき、非常にセキュリティを高めることできる。
KeePassを使ってみる
ハッキリ言えば、最初は苦行。だが、インストールは「画像に従い無の境地」でやるだけで10分以内に終わる。
効果を実感するのは3ヶ月後くらいだろうか。
サービスを利用するたびコツコツとパスワード情報をKeePassに記入していくと、いずれ手放せなくなり、KeePassガチ勢へと成長していく。
Androidアプリはこちら。
KeePassに乗り換えるなら以下を参照。
bitwardenを使ってみる
「早見表」に導かれた人たちはもうbitwardenで良いだろう。
KeePassをすでに使っている人向けの視点はこちらが面白いぞ。
bitwardenに乗り換えるなら以下を参照。
コメント
先日、NordVPNとセットに、NordPassを契約しました。
宜しければNordPassの比較もお願いしますm(_ _)m
うーん、公式からも断っているので、ないですね……( Ꙭ)
悪いわけじゃないんですが、あまりにもKeePassとBitwardenが強いのです。
>どこかでリスクを一回受けておいて、完全体になるまでお祈りするしかないと思っています(´ε`;)
何かあったときにこちらに来るので、これは厳しいですね。
どうすっかな_(:3 」∠)_
1Passwordはもうサブスクしかやらないようだから、ボケないウチに済ませておきたいです。
そうでした!(゚~゚o)
うーん、何の案も浮かばないの辛い……
全く役に立っていない( ˃̣̣̥᷄_˂̣̣̥᷅ )
ローカル保存なら名前と生年月日で良いですが、クラウド保存となるとセキュリティ甘すぎかなと思いまして。心配しすぎですかね?一応、控えやリカバリーパスワードは私も管理しておく事にします。
あとは、専用のメールアドレスを用意させなきゃならないというハードルが・・・
普段使いのメールアドレスでは危険かなと思いまして。
その心配はごもっともなんですが、なんというか、それのせいで永遠に乗り換えないことになると考えると、どこかでリスクを一回受けておいて、完全体になるまでお祈りするしかないと思っています(´ε`;)
うーん発狂しそう……
小出し戦法しかないとは思いますが、たしかに最初からやっておきたい(゚~゚o)
これは判断しづらいのでおまかせ!
親に1Password 4を使わせているんですけど、セキュリティの面とブラウザのアドオンの入手性が困難な事からBitwadenを使わせたいです。
だけどウチの親、マスターパスワードが名前 + 生年月日なんです。いくら言っても「覚えられないから無理」と言い張ります。
マスターパスワードを15文字くらいの複雑なやつにする + 二段階認証とか言ったら絶対パニックになって拒否します。どうしましょう・・・?
えーと詰みかなぁ……(´ε`;)
私も何人かにそうやって言ってきましたけど、「なにかに困っている人」以外には何を言っても無駄なようで、過去のコメントを見ても、結構な数の人が詰んでいるようです。
なにかに困っている人は、すぐ乗り換えます。
この「すぐ」という行動が出ない時点で絶望的のため、私はもう諦めちゃった( ˃̣̣̥᷄_˂̣̣̥᷅ )
そのそも話し合いをさせてもらえないので……。
本当に絶望しています!!
というのが本音ですが、考えられる対策法は
「名前と生年月日でいいから、順番を変えよう!(こちらで考えた順番をいくつか準備しておく)」といった感じで、2段階認証は無視です。
1年以上経過したらさすがに慣れてきているとは思うので、そこで2段階認証かなぁ(´ε`;)
とにかく、基本的には何をすべきか知っている我々がしないと、まず乗り換えないので覚悟が必要です!超面倒くさーい!
※勝手に詰まれても困るので、親のマスターパスワード控えやリカバリーパスワードは、自分の管理できる場所に隠し持っておきましょう。
たまたまyoutubeでロボフォームを勧めている動画に出合って、パスワード管理について検索してたらここに来ました。
セキュリティーのことだけ比較すると、
Bitwardenでクラウドに置いているデータと
パスを掛けたEXCELでマイドキュメントに置いてあるデータでは、
どっちがどのぐらい安心だと思います?
シロートで年寄りなのでクラウドにイマイチ信用が無いんですよねぇ。(笑)
うーん、暗号化方式かなぁ(゚~゚o)
Excelのパスワードは、ちょっと検索してもフリーソフトで解除できちゃうかも。
でも、オフラインに置いてあるのであれば、適切に管理してる場合に限り、Excelの中にパスワードが閉まってあるかどうかもわからないですし、有利には見えます。
で、その適切がほぼ不可能なので、Bitwardenとなります(´ε`;)
「家に泥棒」・「自然災害」・「ヒューマンエラー(Bitwardenもありえるけど、専用サービスなので度合いが違う)」といった部分が、クリアできません。