同じデータを他の端末で使える「クロスプラットフォーム」、とてつもないセキュリティを実現する「オープンソース」。
その2つを両立したパスワード管理アプリの新星が「Bitwarden(ビットウォーデン)」だ。
顔・指紋認証にも対応しているので、マスターパスワード入力の煩わしさはないだろう。
自動入力はだいたいこのような感じだ。この画像はAndroid8.0(Oreo:オレオ)前の端末のため、Oreo以上ならもっと早くなる模様。
古すぎる私のAndroid。
iOS12での動作。
出典:AutoFill Improvements Come To iOS 12 & Android 9
Android9での動作。
出典:AutoFill Improvements Come To iOS 12 & Android 9
1PasswordやLastPassなどのクラウド管理型を検討していた方は、一度立ち止まってBitwardenを調べてみよう。
この記事はAndroidで説明していくが、iOS(iPhone)も同じ使い心地かと思うので参考にされたし。
Bitwardenとは
添付ファイルが有料(1GB:追加可能)という点を除いて、不満なく使えるオープンソースの無料クラウド型パスワード管理アプリ。
無料プランは以下のとおり。
- 永遠に無料
- 2人までは共有OKかつ無料(3~5人は月額1ドル)
- すべての端末同期
- 情報登録無制限
- 2段階認証
- 自分の好きなクラウドに変更(高難度のため紹介未定)
公式サイトOpen Source Password Management Solutions | Bitwarden
オープンソースなのに利便性とセキュリティを兼ね備えてしまったため、今から使うなら1PasswordやLastPassという選択肢はない。
パスワード管理ソフト・アプリは2強の時代に突入したようだ。
完全にローカルで使いたかったり、bitwardenの自社クラウドを信用していなかったり、添付ファイルをガッツリ使う方は引き続きKeePassで良い。
ダウンロード・インストール
まずはアプリをダウンロードしてこよう。
インストールが終わったらそのまま開く。
アカウントの作成
「アカウントの作成」→「メールアドレス」と「マスターパスワード」を入力し、「マスターパスワードのヒント」は基本無視、意味のある文字列なら「自分以外がわからないように」高度なフェイクを使おう。
このパスワード1つで「登録した他の情報を管理」するので、ちゃんとしたものをつけよう(後述する【朗報】作戦を参照)。
生体認証を使うなら、ちょっと強めでもよさそうだ。
【朗報】従来使っている適当パスワードに記号をかさ増し、リスト型・辞書・総当り攻撃を回避させる。
コツは、単語じゃない物にして次の4つを守る。
- 今から設定するマスターパスワードは他で使わない(リスト型)
- 12桁以上になるように記号をぶち込む(総当り)
- 最低でも記号を2つ以上入れる(リスト型)
- 何かの単語の間を記号でブッタ切り(辞書)
例:パスワードが『YarisugiSecurityNo1』だった場合。
ハイフン(-)はちょっと弱いので、それ以外の記号を使おう。
「送信」をタップしたあとは「アカウント作成したよ!」的なのが一瞬出現し、さっそくログインページが表示される。
メールアドレスは入っているはずなので、「マスターパスワード」を入力しよう。
ちなみに、パスワードのヒントは登録したメールアドレスが必須。
情報を登録
せっかく最初から使うので、フォルダわけを推奨、説明していく。
最初のページ「保管庫」右下にある「設定マーク」→「フォルダー」へ進む。
フォルダー内の「+」をタップし、名前を付けて「保存」しよう。ここではSNSというフォルダを作成し、Twitter情報を登録していく。
作成したら「保管庫」まで戻り「+」をタップ。
すると、「ログイン」・「カード」・「ID」・「セキュアメモ」といった項目がでるが、ここでは「ログイン」を選択する。
登録フォーム「アイテムの追加」に情報を入力していこう。
登録情報判別のための「名前」、ログインで使う「ユーザー名」と「パスワード」、「URI(URLと同じものだと思ってOK)」にはログインページのURLを入れよう。
さきほど準備したフォルダに変更、おこのみでバックアップコード・偽名・偽情報などをメモ欄に記入して、最後に「保存」を忘れずに。
簡単な使い方・自動入力
初期設定で自動入力は有効化されていないので設定しにいく。
ちなみに、OSが古いと最近追加された機能がないため若干扱いづらい。後述する古い端末の画像を参考にするといい。
「ツールマーク」をタップして「自動入力ユーザー補助サービス」を選択。
続けて「ユーザー補助設定を開く」もタップだ。
Androidだとbitwardenという文字がどこかにあるので、上記の画像を参考にし、有効化しよう。
ONにすると英語が出てくるが、「このサービスを利用すると、アプリに検出と読み取りを許可しますよ」的な権限の話を言われるだけなので、何も考えずに進めよう。
これで有効化されたので、「スマホの戻るボタン」で保管庫まで戻る。
以下の画像を参考にし、登録したWebサイトにアクセスして自動入力を試してみよう。
この画像はPie(パイ)ではないので、新しいスマホならもっと手順が減るはず。
ブックマークなどで飛べばさらに早いし、ログインに移動すると自動でステータスバーに表示され、スワイプして同じように入力したい項目を選択すると入力できる。
古すぎる私のAndroid。
iOS12での動作。
出典:AutoFill Improvements Come To iOS 12 & Android 9
Android9での動作。
出典:AutoFill Improvements Come To iOS 12 & Android 9
生体認証・指紋・顔
残念ながら生体認証対応端末を持っておらず、項目が表示されない。
公式フォーラム(英語)にある画像から察するに、PINの上にあるようだ。
画面ロックの際に設定した生体認証が起動すると思うので、画面の指示に従い進めていこう。
念のため指摘しておくが、指紋・顔といった生体認証をスマホの画面ロックで使用しているのに同じ認証情報でマスターパスワードを解除しようとしているのなら、「パスワードを使いまわしている状態」なので注意。
2段階認証
この機能は「ログアウト」中か他の端末でログインする際に、「マスターパスワード」と「2段階認証番号」を求めるようにするために使用する。
同じ端末なら「ログアウト」しないかぎり「マスターパスワード」だけなので、煩わしさはない。
Webブラウザからしか登録できないので、ログインしよう。
Bitwarden Web Vaultにそのままアクセスするか、「ツール」にある「Bitwarden ウェブ保管庫」からアクセス。
スマホ画面でもパソコン表示になってしまうようなので、パソコン表示で説明していく。
ログインしたMy Vault(私の保管庫)から「Settings」をクリック。
「Two-step Login(2段階ログイン)」をクリック。
豊富な種類の2段階認証を選択でき、プレミアム以外は「Authenticator App(認証アプリ)」か「Email」のみで、当然のように「Authenticator App(認証アプリ)」をクリックしよう。
ここでもマスターパスワード入力を求められるので入力。
①スマホに表示されたQRコードの読み取り方がわからなかったので、QRコードの下にある文字列を入力。
各アプリの文字入力機能は以下のとおり。
- Google 認証システム:「+」→「セットアップキーを入力」
- IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
- Authy:Add account表示下の「ENTER KEY MANUALLY」
②2段階認証アプリに表示された6桁のコードを入力し、③「Enable(有効)」をクリックしよう。
有効化されると「2段階認証アプリ設定完了表示が出現」するのだが、「Disable」は「無効」という意味なので、隣の「Close(閉じる)」か右上の「×」で閉じよう。
この後に「リカバリーコード」を取得するので、ブラウザは閉じない。
リカバリーコード
バックアップコードともいい、「2段階認証アプリの入った端末を紛失してもログインできるようにする」ため、「2段階認証を無効化できるコード」を取得しよう。
「View Recovery Code(リカバリーコードを表示する)」をクリック。
マスターパスワードの入力をして、32桁のリカバリーコードが表示されたらコピー。
もちろんいつも使用している端末が1つしかなく、それを紛失したのなら別デバイス扱いで2段階認証を求められる。
そのような環境はbitwarden以外にも保存しよう。
そして、このリカバリーコードを使用するページは専用のページでしか使えないので、下記リンクも保存しておこう。
リカバリーコード以外にも「メールアドレス」を要求されるので、複雑なメアドならこちらも保存だ。
これで基本的なセキュリティと利便性を両立した状態になった。
さらなる設定・パソコンでも導入
銀行口座などユーザー名・パスワード以外の複数項目や、チェック項目にチェックを入れるよう対応させるなら次の記事を見よう。
設定すれば、このような感じになる。
アカウント情報変更や意図的に負荷をかけてセキュリティを向上させる設定はこちら。
パソコン版の導入は使用感も変わらずスムーズに設定でき、アカウントもすでに作成しているため、時間があればやってしまおう。
バックアップをしたい場合はこちら。
コメント
いつも有益な情報有難うございます。
疑問なんですが、
自分が使ってる端末は生体認証で端末ロック解除、買い物、一部サイトのログイン等すべて共通で可能になります。
そうなると、bitwardenのロック解除も含まれるんですが、それはパスワードの使い回しになりますよね?
それぞれの指紋パターン(端末ロック解除は親指、サイトのログインは人差し指)の登録は端末設定で不可能なら、bitwardenのロック解除に生体認証は使わないべきでしょうか?それとも使い回さずに別のやり方があるのでしょうか?
「生体情報ってその端末にしか存在しない」みたいな感じで使っているものだったっけ……
参考Touch ID の先進のセキュリティテクノロジーについて – Apple サポート(Secure Enclaveの部分)
厳密には使いまわしではないけど、指紋採取されているかつその端末が盗まれていると使いまわし状態と同じになっちゃってるとは思います(指紋の例)。
端末についている指紋はこまめに拭きましょう!?(゚~゚o)
できれば顔認証のほうが良いです。
どこかの国のスパイ機関に追跡されていないかぎり、ほとんどの人は大丈夫なはず。
よく読めば、書いているのかも知れませんが、既にもう idや、パスワードを作っているサイトに、このBitwardenを使って上書きして、login出来るのでしょうか?
うーん、よく読んでいないのに質問するのは、私の消費時間的にナシで(゚~゚o)
読んでも書いて無かったので再度質問しますm(_ _)m
先程Twitterで、試しましたところ、パスワードのリセットを要求されたので、新PWをbitwardenの生成したPWをコピペして新しいPWに出来ました。他のSNSとか、銀行とかのlog inもやっぱり一度リセットしてこの繰り返しでbitwardenを使えるようにしなくてはいけないんでしょうか?お願いします。
読んでいただき感謝します!
そうですね、以前使用していたアカウント情報は再設定する形になってしまいます(リセットというよりは再設定)。
よって、「Bitwardenで新たに生成した情報を各サービスに再設定していく苦行」は回避できないですね(´ε`;)
ちなみに、「億劫度」は携帯会社乗り換えレベルです。
この苦行を乗り換えて初めて「パスワード使いまわし抹殺」が成立し、一気にセキュリティが向上します。
ただ、一気にやっても思い出せない&ためらって先延ばしにする恐れがあるので、
が現実的かと思います。
もちろん「思い出す前まではBitwardenに乗り換えられていない」わけなので、出来得る限り思い出すよう意識してください∩(・∀・∩
昨日は塩対応でごめんなさいでした。
有難う御座います
納得しました。
色々と便利な事を懇切丁寧に書かれていて、大変為になります。
ぼつぼつPWをbitwardenに変更します。
余談 VPNも是非参考にさせて頂きます。
本当に大変ですが頑張ってください(´ε`;)