【SSS】Bitwardenスマホアプリのダウンロードと自動入力の使い方

Bitwardenスマホアプリ

同じデータを他の端末で使える「クロスプラットフォーム」、とてつもないセキュリティを実現する「オープンソース」。

その2つを両立したパスワード管理アプリの新星が「Bitwarden(ビットウォーデン)」だ。

顔・指紋認証にも対応しているので、マスターパスワード入力の煩わしさはないだろう。

自動入力はだいたいこのような感じだ。この画像はAndroid8.0(Oreo:オレオ)前の端末のため、Oreo以上ならもっと早くなる模様。

古すぎる私のAndroid。

スマホブックマーク自動入力

iOS12での動作。

iOS12の自動入力

出典:AutoFill Improvements Come To iOS 12 & Android 9

Android9での動作。

Android9の自動入力

出典:AutoFill Improvements Come To iOS 12 & Android 9

1PasswordやLastPassなどのクラウド管理型を検討していた方は、一度立ち止まってBitwardenを調べてみよう。

この記事はAndroidで説明していくが、iOS(iPhone)も同じ使い心地かと思うので参考にされたし。

スポンサーリンク

Bitwardenとは

添付ファイルが有料(1GB:追加可能)という点を除いて、不満なく使えるオープンソースの無料クラウド型パスワード管理アプリ。

無料プランは以下のとおり。

  • 永遠に無料
  • 2人までは共有OKかつ無料(3~5人は月額1ドル)
  • すべての端末同期
  • 情報登録無制限
  • 2段階認証
  • 自分の好きなクラウドに変更(高難度のため紹介未定)

公式サイトOpen Source Password Management Solutions | Bitwarden

一応有料プランの目玉としてTOTP(2段階認証)のコード生成が付いている。当然Webですべて完結してしまうので、スマホの2段階認証アプリが必要ない状態になるリスクは考えること。

オープンソースなのに利便性とセキュリティを兼ね備えてしまったため、今から使うなら1PasswordやLastPassという選択肢はない。

パスワード管理ソフト・アプリは2強の時代に突入したようだ。

完全にローカルで使いたかったり、bitwardenの自社クラウドを信用していなかったり、添付ファイルをガッツリ使う方は引き続きKeePassで良い。

スポンサーリンク

ダウンロード・インストール

まずはアプリをダウンロードしてこよう。

Bitwarden パスワードマネージャー

Bitwarden パスワードマネージャー

8bit Solutions LLC無料posted withアプリーチ

iOS bitwardenのQRコード
Android bitwardenのQRコード

インストールが終わったらそのまま開く。

アカウントの作成

すでにアカウントを持っているなら、次の章「情報を登録」まで読み飛ばそう。

「アカウントの作成」→「メールアドレス」と「マスターパスワード」を入力し、「マスターパスワードのヒント」は基本無視、意味のある文字列なら「自分以外がわからないように」高度なフェイクを使おう。

高度なフェイクとは?:仮にヒントを「誕生日」にするとしたら、「上から2番目の引き出し」と記入しておき、自宅の引き出しに「誕生日」と記入したメモを仕込んでおく。コツはどこかのタイミングでオフラインを通す

このパスワード1つで「登録した他の情報を管理」するので、ちゃんとしたものをつけよう(後述する【朗報】作戦を参照)。

生体認証を使うなら、ちょっと強めでもよさそうだ。

アカウントの作成
アカウント情報入力

【朗報】従来使っている適当パスワードに記号をかさ増し、リスト型・辞書・総当り攻撃を回避させる。

コツは、単語じゃない物にして次の4つを守る。

  1. 今から設定するマスターパスワードは他で使わない(リスト型)
  2. 12桁以上になるように記号をぶち込む(総当り)
  3. 最低でも記号を2つ以上入れる(リスト型)
  4. 何かの単語の間を記号でブッタ切り(辞書)

例:パスワードが『YarisugiSecurityNo1』だった場合。

誤:「やりすぎ」「セキュリティ」「No1」が単語なので、間を記号で区切っても効果が薄い。「Yarisugi_Security/No1″」
正:「Yarisu:giSecuri!tyNo@1」

ハイフン(-)はちょっと弱いので、それ以外の記号を使おう。

「送信」をタップしたあとは「アカウント作成したよ!」的なのが一瞬出現し、さっそくログインページが表示される。

メールアドレスは入っているはずなので、「マスターパスワード」を入力しよう。

ログイン

ちなみに、パスワードのヒントは登録したメールアドレスが必須。

情報を登録

せっかく最初から使うので、フォルダわけを推奨、説明していく。

最初のページ「保管庫」右下にある「設定マーク」→「フォルダー」へ進む。

保管庫から設定へ進む
フォルダーをタップ

フォルダー内の「+」をタップし、名前を付けて「保存」しよう。ここではSNSというフォルダを作成し、Twitter情報を登録していく。

+をタップ
フォルダー名を付ける

作成したら「保管庫」まで戻り「+」をタップ。

すると、「ログイン」・「カード」・「ID」・「セキュアメモ」といった項目がでるが、ここでは「ログイン」を選択する。

アイテムを追加する
ログインのアイテムを追加

登録フォーム「アイテムの追加」に情報を入力していこう。

登録情報判別のための「名前」、ログインで使う「ユーザー名」と「パスワード」、「URI(URLと同じものだと思ってOK)」にはログインページのURLを入れよう。

さきほど準備したフォルダに変更、おこのみでバックアップコード・偽名・偽情報などをメモ欄に記入して、最後に「保存」を忘れずに。

ログイン情報登録
用意したフォルダに変更して保存
スポンサーリンク

簡単な使い方・自動入力

初期設定で自動入力は有効化されていないので設定しにいく。

ちなみに、OSが古いと最近追加された機能がないため若干扱いづらい。後述する古い端末の画像を参考にするといい。

Android9.0(Pie:パイ)でChromeとFirefoxアプリに対応したようだ。

「ツールマーク」をタップして「自動入力ユーザー補助サービス」を選択。

続けて「ユーザー補助設定を開く」もタップだ。

自動入力ユーザー補助サービスへ進む
ユーザー補助を開く

Androidだとbitwardenという文字がどこかにあるので、上記の画像を参考にし、有効化しよう。

ONにすると英語が出てくるが、「このサービスを利用すると、アプリに検出と読み取りを許可しますよ」的な権限の話を言われるだけなので、何も考えずに進めよう。

英語を無視してON
アプリ権限許可

これで有効化されたので、「スマホの戻るボタン」で保管庫まで戻る。

以下の画像を参考にし、登録したWebサイトにアクセスして自動入力を試してみよう。

この画像はPie(パイ)ではないので、新しいスマホならもっと手順が減るはず。

スマホ自動入力

ブックマークなどで飛べばさらに早いし、ログインに移動すると自動でステータスバーに表示され、スワイプして同じように入力したい項目を選択すると入力できる。

古すぎる私のAndroid。

スマホブックマーク自動入力
ブックマークでアクセスした場合

iOS12での動作。

iOS12の自動入力

出典:AutoFill Improvements Come To iOS 12 & Android 9

Android9での動作。

Android9の自動入力

出典:AutoFill Improvements Come To iOS 12 & Android 9

英語で若干わかりにくいが、どう見ても私の古いAndroidより最新OSの方が早い。

スポンサーリンク

生体認証・指紋・顔

残念ながら生体認証対応端末を持っておらず、項目が表示されない。

公式フォーラム(英語)にある画像から察するに、PINの上にあるようだ。

生体認証はPINの上にはるはず

画面ロックの際に設定した生体認証が起動すると思うので、画面の指示に従い進めていこう。

念のため指摘しておくが、指紋・顔といった生体認証をスマホの画面ロックで使用しているのに同じ認証情報でマスターパスワードを解除しようとしているのなら、「パスワードを使いまわしている状態」なので注意。

生体認証とPINを同時に付けられるのなら、4桁でもいいので付けておくと良い。
スポンサーリンク

2段階認証

この機能は「ログアウト」中か他の端末でログインする際に、「マスターパスワード」と「2段階認証番号」を求めるようにするために使用する。

同じ端末なら「ログアウト」しないかぎり「マスターパスワード」だけなので、煩わしさはない。

Webブラウザからしか登録できないので、ログインしよう。

Bitwarden Web Vaultにそのままアクセスするか、「ツール」にある「Bitwarden ウェブ保管庫」からアクセス。

設定にある2段階認証はなぜかヘルプに飛んでしまうので無視。
ウェブ保管庫へ進む
web保管庫へのQRコード
気が利くQRコード
Web保管庫ログイン画面

スマホ画面でもパソコン表示になってしまうようなので、パソコン表示で説明していく。

ログインしたMy Vault(私の保管庫)から「Settings」をクリック。

設定に進む

「Two-step Login(2段階ログイン)」をクリック。

マイアカウントを無視して2段階認証へ

豊富な種類の2段階認証を選択でき、プレミアム以外は「Authenticator App(認証アプリ)」か「Email」のみで、当然のように「Authenticator App(認証アプリ)」をクリックしよう。

ここでもマスターパスワード入力を求められるので入力。

2段階認証の種類を選ぶ

①スマホに表示されたQRコードの読み取り方がわからなかったので、QRコードの下にある文字列を入力。

各アプリの文字入力機能は以下のとおり。

  • Google 認証システム:「+」→「セットアップキーを入力」
  • IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
  • Authy:Add account表示下の「ENTER KEY MANUALLY」

②2段階認証アプリに表示された6桁のコードを入力し、③「Enable(有効)」をクリックしよう。

2段階認証設定
インストールしていなければ【S】将来を考えたおすすめ2段階認証アプリ2選の記事を参照しよう。

有効化されると「2段階認証アプリ設定完了表示が出現」するのだが、「Disable」は「無効」という意味なので、隣の「Close(閉じる)」か右上の「×」で閉じよう。

トラップがあるが、閉じよう

この後に「リカバリーコード」を取得するので、ブラウザは閉じない

リカバリーコード

バックアップコードともいい、「2段階認証アプリの入った端末を紛失してもログインできるようにする」ため、「2段階認証を無効化できるコード」を取得しよう。

「View Recovery Code(リカバリーコードを表示する)」をクリック。

リカバリーコードを表示する

マスターパスワードの入力をして、32桁のリカバリーコードが表示されたらコピー。

このコードをbitwardenに保存してもおそらく意味はある。2段階認証は「ログアウトさえしなければ求められないはず」なので、いつも使用している端末であるかぎり登録情報を確認できる。
リカバリーコードを保存する

もちろんいつも使用している端末が1つしかなく、それを紛失したのなら別デバイス扱いで2段階認証を求められる。

そのような環境はbitwarden以外にも保存しよう。

そして、このリカバリーコードを使用するページは専用のページでしか使えないので、下記リンクも保存しておこう。

https://vault.bitwarden.com/#/recover-2fa
このリンクはウェブ保管庫にログインした状態だと、何の問題もないためウェブ保管庫に飛ばされるぞ。各ブラウザのプライベートブラウジングでブックマークしよう。

リカバリーコード以外にも「メールアドレス」を要求されるので、複雑なメアドならこちらも保存だ。

リカバリーはメールアドレスも必要

これで基本的なセキュリティと利便性を両立した状態になった。

スポンサーリンク

さらなる設定・パソコンでも導入

銀行口座などユーザー名・パスワード以外の複数項目や、チェック項目にチェックを入れるよう対応させるなら次の記事を見よう。

Androidはカスタムフィールドが発動しないらしく、iOSは持っていないのでわからない。基本的に複数項目はパソコンで使うものだと割り切り、スマホでは手動コピペしよう。

設定すれば、このような感じになる。

複数項目自動入力

アカウント情報変更や意図的に負荷をかけてセキュリティを向上させる設定はこちら。

パソコン版の導入は使用感も変わらずスムーズに設定でき、アカウントもすでに作成しているため、時間があればやってしまおう。

【SSS】Bitwardenのダウンロードと自動入力の使い方

バックアップをしたい場合はこちら。

bitwardenのバックアップ・エクスポート方法

コメント

  1. セメント より:

    いつも有益な情報有難うございます。
    疑問なんですが、
    自分が使ってる端末は生体認証で端末ロック解除、買い物、一部サイトのログイン等すべて共通で可能になります。
    そうなると、bitwardenのロック解除も含まれるんですが、それはパスワードの使い回しになりますよね?
    それぞれの指紋パターン(端末ロック解除は親指、サイトのログインは人差し指)の登録は端末設定で不可能なら、bitwardenのロック解除に生体認証は使わないべきでしょうか?それとも使い回さずに別のやり方があるのでしょうか?

    • ぷっぷ より:

      「生体情報ってその端末にしか存在しない」みたいな感じで使っているものだったっけ……
      参考Touch ID の先進のセキュリティテクノロジーについて – Apple サポート(Secure Enclaveの部分)
      厳密には使いまわしではないけど、指紋採取されているかつその端末が盗まれていると使いまわし状態と同じになっちゃってるとは思います(指紋の例)。
      端末についている指紋はこまめに拭きましょう!?(゚~゚o)
      できれば顔認証のほうが良いです。
      どこかの国のスパイ機関に追跡されていないかぎり、ほとんどの人は大丈夫なはず。

  2. きくちゃん より:

    よく読めば、書いているのかも知れませんが、既にもう idや、パスワードを作っているサイトに、このBitwardenを使って上書きして、login出来るのでしょうか?

    • ぷっぷ より:

      うーん、よく読んでいないのに質問するのは、私の消費時間的にナシで(゚~゚o)

      • きくちゃん より:

        読んでも書いて無かったので再度質問しますm(_ _)m
        先程Twitterで、試しましたところ、パスワードのリセットを要求されたので、新PWをbitwardenの生成したPWをコピペして新しいPWに出来ました。他のSNSとか、銀行とかのlog inもやっぱり一度リセットしてこの繰り返しでbitwardenを使えるようにしなくてはいけないんでしょうか?お願いします。

        • ぷっぷ より:

          読んでいただき感謝します!

          パスワードのリセットを要求されたので、新PWをbitwardenの生成したPWをコピペして新しいPWに出来ました。他のSNSとか、銀行とかのlog inもやっぱり一度リセットしてこの繰り返しでbitwardenを使えるようにしなくてはいけないんでしょうか?

          そうですね、以前使用していたアカウント情報は再設定する形になってしまいます(リセットというよりは再設定)。
          よって、「Bitwardenで新たに生成した情報を各サービスに再設定していく苦行」は回避できないですね(´ε`;)
          ちなみに、「億劫度」は携帯会社乗り換えレベルです。
          この苦行を乗り換えて初めて「パスワード使いまわし抹殺」が成立し、一気にセキュリティが向上します。

          ただ、一気にやっても思い出せない&ためらって先延ばしにする恐れがあるので、

          • 思い出したもののログインをする際に再設定する
          • 秒で思い出せる主要サービスだけやってしまう(Amazonとか)
          • 不正アクセスされても悪用されないアカウントは思い出しても入力するまで後回し

          が現実的かと思います。
          もちろん「思い出す前まではBitwardenに乗り換えられていない」わけなので、出来得る限り思い出すよう意識してください∩(・∀・∩
          昨日は塩対応でごめんなさいでした。

          • きくちゃん より:

            有難う御座います
            納得しました。
            色々と便利な事を懇切丁寧に書かれていて、大変為になります。
            ぼつぼつPWをbitwardenに変更します。

            余談 VPNも是非参考にさせて頂きます。

            • ぷっぷ より:

              本当に大変ですが頑張ってください(´ε`;)