パスワード管理ソフト最強のKeePassを脅かす「Bitwarden(ビットウォーデン)」。
パソコンとスマホの生体認証にも対応していて、セキュリティ重視のKeePass以上に使いやすいだろう。
オープンソース(中身のコードをガチ勢多数が閲覧でき、不正が仕込めない)なのに、
- 自動入力はポポンっと入力
- 日本語対応(Bitwarden公式ホームページ以外)
- 無料
- スマホ・パソコンで生体認証(2021年1月から)
- 対応端末盛りだくさん
- 自分含めた2人まで家族などと共有可能(有料で増やせる)
- 利便性がすごい
- 管理画面が軽い
- ただし添付ファイル(免許証画像などで使う)は有料(1GB:追加可能)
を兼ね備えてしまったため、今から使うなら1PasswordやLastPassという選択肢はない。
魅力の方はこちらで述べているので一読されたし。
それでは、「アカウント作成」と「拡張機能」・「Webブラウザ」・「デスクトップアプリ」の基本的な使い方を説明していく。
仕様
自動入力は拡張機能必須で、Webブラウザ・デスクトップアプリは登録・コピペしかできない。
「拡張機能・Webブラウザ・デスクトップアプリで情報を登録」→「各ブラウザの拡張機能で自動入力」といった使い方になる。
実際のところ拡張機能で完結するため、デスクトップアプリを選ぶ意味はほぼ無いだろう。
パソコンでの生体認証にデスクトップアプリを使うため、拡張機能のみではなくデスクトップアプリ+拡張機能が利便性最強になった。後で生体認証に触れるが、今すぐならパソコンで生体認証まで飛ぼう。
拡張機能の他にWebブラウザ、デスクトップアプリでの情報登録方法を書いておいたので、迷ったら冒頭の「目次」を活用して飛ぼう。
アカウント作成
公式サイトにアクセスし、「Get Started(はじめに)」をクリック。
公式サイトBitwarden Open Source Password Manager | Bitwarden
ステップ1
- メールアドレス
- 名前
- マスターパスワード
を入力し、「マスターパスワードのヒント」は基本無視。
無視しないのなら「自分以外がわからないように」、高度なフェイクを使おう。
仮にヒントを「誕生日」にするとしたら、「上から2番目の引き出し」と記入しておき、自宅の引き出しに「誕生日」と記入したメモを仕込んでおく。コツはどこかのタイミングでオフラインを通す。
ダイスウェアを使った方法が簡単かつ効果的、しかも覚えやすく現状最強。
参考【三種の極意】パスワードの付け方テクニック集 | やりすぎセキュリティ
やってみないとわかりにくいが、ようは単語(日本語)を複数用意して、連結させて20桁付近にするだけである。
monowasure musikago katura
ただの単語じゃセキュリティ低くない?
昔(2017年まで)はそうだったけど、今は「桁数以外どうでもいい」でOK (*゚▽゚)
ステップ2
すると「アカウント作成しました!(英語)」という緑が乱入し、ログイン画面が表示される。
まだログインする必要はないので、このまま読み進めよう。
ちなみに、パスワードのヒントは登録したメールアドレスが必須。
※VPNをお使いの方はチェックボックスが表示されず、ログインできないかもしれない。サーバー変更だ!
拡張機能をダウンロード
以下のリンクから「お使いのブラウザ拡張機能(アドオン)」をダウンロードしよう。
公式サイトDownload | Bitwarden
拡張機能で情報を登録しない方は、このタイミングで次の章「Webブラウザでログイン情報を登録」か、「デスクトップアプリのダウンロード」まで読み飛ばそう。通常は拡張機能で困らない。
SafariやFirefoxも存在するが、ここではGoogle ChromeのExtension(拡張機能)で紹介する。
基本的な使い方はどれも一緒だ。
ステップ1
案内に従いダウンロード → インストールしていこう。
権限は
- 閲覧履歴の読み取り
- コピーして貼り付けるデータの読み取りと修正
となっているので了承してインストールし、「プライバシーへの取り組み」を見れば権限の詳細を確認可能だ。
そうすると「Browser Extension Installed!(ブラウザがインストールされました)」ページに飛ばされるが無視。
ブラウザ右上の①「bitwardenマーク」をクリックして②「ログイン」だ。
ステップ2
ログインすると「保管庫」の中が表示される。
最初から整理しておけば後々楽なので、先にフォルダを作成しに
- ①「設定」
- ②「フォルダー」
へ進む。
拡張機能ウィンドウ左上のマークをクリックすると、別ウィンドウになって設定が捗るぞ!
ステップ3
右上にある①「+」をクリックし、フォルダの名前を付けよう。
ここではTwitterのアカウント情報を登録する前提で進め、フォルダ名を「SNS」にする。
ステップ4
Twitterログイン画面を開いた状態で①「タブ」に移動し、②「+」か「ログイン情報を追加」をクリック。
「保管庫」からの登録と違い「タブ」から登録すると、そのページの名前とURLを最初から読み取ってもらえる。
別ウィンドウで拡張機能を開いたのが仇となり、TwitterではなくChrome関係ページの名前とURL情報が読み込まれてしまう。仕方がないので、ブラウザ右上のbitwardenマークから普通に登録していこう。
ステップ5
出現した登録フォームに情報を入れよう。
「タイプ」でフォームを変えられるが今回は「ログイン」のままで、
- 複数アカウントでもわかるような「名前」
- ログインで使う「ユーザ名」
- ログインで使う「パスワード」
を入力しよう。
既存のアカウントならパスワードを生成せず、使っていたものを入力。
ステップ6
次にさきほど作成したフォルダに変更し、必要なら暗号化されたメモ欄に
- バックアップコード
- 偽名
- 偽情報
などを記入して最後に保存。
追加すると、なんとサイトアイコン(ファビコン)も表示される。
Webブラウザでログイン情報を登録
Bitwarden ウェブ保管庫からログインして「保管庫」 ページまで進もう。
「カード」や「メモ」も登録できるが、ここではログイン情報を登録していく。
ステップ1
といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。
フォルダー横の①「+」をクリック →②名前を入力 →③「保存」。
ここでは「SNS」というフォルダを作成し、Twitterアカウントを登録する例で進める。
ステップ2
「アイテムの追加」をクリックして登録フォームを召喚。
ステップ3
- 名前:複数アカウントでもわかるようなもの
- ユーザー名・パスワード:いつも使っているものを入力
- URI(URLと同じものだと思ってOK):ログインページのURLを入力
- フォルダー:さきほど準備した「SNS」フォルダーを選択
- メモ:暗号化されており、適当に入力
終わったら左下の方の「保存」。
追加すると、なんとサイトアイコン(ファビコン)も表示される。
デスクトップアプリのダウンロード
まずは公式サイトへアクセス。
公式サイトDownload | Bitwarden
Windows版を説明するのでDESKTOPのWindowsをクリックし、終わったら「Bitwarden-Installer-○.○.○(インストーラー)」を開こう。
インストール
ステップ1
インストーラーを開くと不安を煽るユーザーアカウント制御が出現するので「はい」をクリック。
ステップ2
「インストール先を選ぶ」表示は、とくに何も思わないならそのままインストールを押そう。
セットアップまで日本語表示なのは、すごく珍しい!
ステップ3
これでインストールが終了したので、「Bitwardenを実行」にチェックを入れたまま「完了」へ。
ステップ4
bitwardenが起動したら、アカウント情報を入力してログイン。
デスクトップアプリでログイン情報を登録
「カード」や「セキュアメモ」情報も登録できるが、ここではログイン情報を登録していく。
ステップ1
といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。
フォルダー横の①「+」をクリック、②「名前」を入れて③「フロッピーディスクマーク」を押そう。
このマークは「保存」という意味だ。
※「SNS」というフォルダを作成し、Twitterアカウント登録の例で進行。
ステップ2
タイプの①「ログイン」を選択し(無視でも可)、②「アイテムの追加」か「+」で登録フォームを出現させる。
ステップ3
「タイプ」でフォームを変えられるが今回は「ログイン」のままで、
- 複数アカウントでもわかるような「名前」
- ログインで使う「ユーザ名」
- ログインで使う「パスワード」
を入力しよう。
既存のアカウントならパスワードを生成せず、使っていたものを入力。
ステップ4
URLも登録しておきたいので「URI(URLと同じものだと思ってOK)」へ入力、さきほど準備したフォルダーもSNSに変えておこう。
暗号化されたメモ欄には
- バックアップコード
- 偽情報
要するに使った情報を入れ、最後にフロッピーディスクマークをクリックして「保存」だ。
登録すると「追加されたアイテム」が緑色で乱入してくる。
なんとTwitterアイコン(ファビコン)まで表示されるようだ。
簡単な使い方・自動入力を有効化
自動入力は拡張機能専用かつ初期設定で有効化されていないため、拡張機能を開こう。
Web版やデスクトップアプリ版しか使わない方も、自動入力の便利さに手を出すといい。
ステップ1
- ①「設定」
- ②下の方にあるその他の「オプション」
- ③「ページ読み込み時の自動入力を有効化」にチェック
- ④「戻る」(保管庫へ)
ステップ2
「保管庫」に戻り、さきほど登録したTwitter情報のリンク(開く)をクリックしてアクセスしよう。
- bitwardenマーク
- 保管庫
- フォルダ(ログインなどでも可)
- 該当のリンク
- 入力後は手動Enter(エンター)かログインボタンをクリック
上記の動作が基本だ。フォルダわけもジワジワ生きてくるだろう。
もちろんデスクトップアプリやWebブラウザ、さらには直接URLにアクセスした場合も自動入力してくれるので、ブックマークからアクセスすればクリック回数は1回だけだ。
- Windows:Ctrl+Shift+L
- Mac:Cmd+Shift+L
- 有料でTOTP(ワンタイムパスワード)設定済み:自動入力後に貼り付けするだけ
- 右クリック → Bitwarden → 自動入力
- 右上拡張機能のBitwardenマーク → 該当の情報をクリック
カスタムフィールドをイジれば可能だが、Webページの裏方(HTML)を触るため慣れるまですぐできない。
ただ、極めるとそれに見合ったリターンを楽しめる(例:PayPay銀行)。
面倒なら先程のショートカットやコピペでごまかしてね∩(・∀・∩
また、ブックマークなどからページへ進み入力情報が複数あった場合、最後に入力した情報が自動入力される(仕様)。
Androidアプリも使用感がほぼ一緒なので、スマホもスムーズに使えるだろう。
移転(情報のエクスポート:書き出し → Bitwardenへ読み込み:インポート)するならこのタイミングだろう。
このタイミングだと
- 2段階認証
- 紛失時対策のリカバリーコード
- 生体認証
と主要なものを設定していないが、相性が悪いと無駄な作業となるのでブックマークだけしておき、後でするといい。
※移転するだけでLastPassや1Passwordから情報が消えることはないため、Bitwardenに読み込みさせるだけでOK。
2段階認証
メールアドレス・マスターパスワードのみではなく、2段階認証を設定してもう一つ保護階層を増やしていく。
例えメールアドレスとマスターパスワードが不正アクセス騒ぎで漏洩しても、設定しておけば30秒ごとに変わる2段階認証が仕事をしてくれる。
しかも、同じ端末であればログアウトしない限り再度入力を求められず便利。
Webブラウザからしか登録できないので、Bitwarden ウェブ保管庫へログインしよう。
ステップ1
- ①「設定」
- ②「2段階認証」
- ③「管理」
- マスターパスワード入力
アプリが有能なのでそれで進行するが、無い方はメールでも妥協可能。
YubiKeyなどは有料(この業界あるある)。
ステップ2
- ①「認証アプリで読み取り」(スキャン)
- ②「認証アプリに表示された6桁のコードを入力」
- ③「有効化」
読み取れなければカメラを掃除するか、QRコード下の文字列を入力しよう。
各アプリ手動入力機能の場所は以下のとおり。
- Google 認証システム:「+」→「セットアップキーを入力」
- IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
- Authy:Add account表示下の「ENTER KEY MANUALLY」
- Microsoft Authenticator:「+」→「その他」→「またはコードを手動で入力」
小ネタとして、2つの端末で読み取っておけば、1つ端末を紛失しても2つ目の端末でコードの確認が可能。
インストールしていなければ、将来を考えて2段階認証アプリを探すといい。
「有効化されました」と出るが、左下は無効化なので押さず、普通に閉じよう。
この後に「リカバリーコード」を取得するので、ブラウザは閉じない。
- Google 認証システム:乗り換え前端末を処分せず新スマホ移行まで所持
- IIJ SmartKey:乗り換え前端末を処分せず新スマホ移行まで所持
- Authy:今まで使っていた電話番号+バックアップパスワードで端末いらず
確実を狙うなら機種変更時に今まで使っていた端末を持ち、新スマホへ情報を移す流れとなる。
その場合は購入時に売却・処分はできない。
それが嫌なら、バックアップ可能なAuthyやMicrosoft Authenticatorだ。
というか、次に取得するリカバリーコードだけを財布かなにかに入れておけば、紛失時にも対応可能。
リカバリーコード
バックアップコードともいい、「2段階認証アプリの入った端末を紛失してもログインできるようにする」ため「2段階認証を無効化できるコード」を取得しよう。
2段階認証は強力すぎて詰む可能性があるからだ。
ステップ1
2段階認証設定ページに「リカバリーコードを確認」とあるのでクリック。
ステップ2
- マスターパスワードの入力
- 32桁のリカバリーコードをコピーか印刷
保存はアナログの方が良く、普通にリカバリーコードのみを財布やタンスに入れておくと良い(火事非対応)。
「詰んでいるか」気になるなら、コメント欄でお待ちしていまーす∩(・∀・∩
そして、このリカバリーコードを使用するページは専用のページでしか使えないので、下記リンクも保存しておこう。
https://vault.bitwarden.com/#/recover-2fa
もしくはブックマーク二段階認証ログインの回復 | Bitwarden ウェブ保管庫
メールアドレスに関しては大多数が家族や友人にバックアップされているため、聞けばなんとかなる。
非人道的
パソコンで生体認証
デスクトップアプリを経由して認証するため、拡張機能でもアプリをインストールしている前提で進めていく。
拡張機能に関しては、Chromium系(Chrome・BRAVE・Edgeなど)とFirefoxしか使えず、Safariは今のところ未対応(2021年8月26日時点)。
参考Browser Extensions(Noteの部分)
ステップ1
デスクトップアプリを開き、
- ①「ファイル」
- ②「設定」へ
ステップ2
- ① ブラウザ統合を有効にする
- ② Windows Hello でロック解除
※順序を逆にした場合、生体認証チェックが先に来てちょっと面倒。
拡張機能を使わないのなら、ブラウザ統合はいらない。
また、「Windows Hello でロック解除」が表示されない場合は、最新の Visual C++ をダウンロードしてこよう。
※この情報はコメント欄で小林さんに教えてもらった。
ほとんどの人は「x64: vc_redist.x64.exe」の64bit版で解決、x86は32bitの古いタイプのことで、10年以上前の古いパソコンレベルなら要確認。ARM64もほぼ無視。
時間をかければできなくはないため、するなら後回し。
これを有効化すると英単語が複数出てきて、それをブラウザとデスクトップアプリで見比べることになる。
つまり、スペルがわからない日本人は激ムズ。
すごい面倒くさい(´ε`;)
ステップ3
Windows Helloの認証をする。
Windows Helloで生体認証を設定していないのなら、すぐ終わるので準備してこよう。
Enter を押すと、OKを押したことになる。
ステップ4
そのまま下の方にある「ログイン時に自動的に起動」をチェック。
拡張機能の生体認証はデスクトップアプリ経由のため、デスクトップアプリを使わなくても起動しておく必要があるのだ。
さらに、デスクトップアプリを閉じると認証できないので(常駐必須)、「トレイアイコンへ閉じる」もチェックしておくと便利。
※ログインは不要、起動だけでOK。
というか、トレイアイコン系は全部チェックでいいかもしれない。
ステップ5
拡張機能へログインし、
- ①「設定」
- ②「生体認証でロック解除」
- OK(Enter を押す推奨)
これで同じ端末からロック解除する際、生体認証で入れるようになった。
もちろん生体認証情報はその端末にしか存在しないので、他の端末ではマスターパスワード入力となる。
家族を組織として共有・管理
無料プランは自分を含めた2人まで使え、家族プランなら5人も付いて月1ドルで共有・管理できる。
家族にパスワード管理ソフトを勧めてもまったく使う気を感じられないなら、いずれ自分で管理するといい。そうすることで、自分のセキュリティレベルまで家族を引っ張り上げられる。
もちろんチームや企業の6人以上プランも存在。
完璧への階段
複数項目入力など、銀行で重宝する機能をマスターするならカスタムフィールドを設定しよう。
HTML(Webサイトの裏側)に触れるが、そもそも複数項目サイトが少ないので、意外と早く終わる。
アカウント情報変更や意図的に負荷をかけることができる設定はこちら。
バックアップをするならこちら。
スマホアプリ版も同じような使い方なので、このまま導入してみてはいかがだろうか。
Bitwardenに移転するなら、この記事を参照するといい。
コメント
返信ありがとうございます。
マスターパスワードはアナログの紙(手書きなり印刷なり)に残してもいいんですか?
私が勘違いしているかもしれないので確認しますが、記事内リカバリーコードのところ、ステップ2の赤枠『やってはいけないこと』の“マスターパスワードは頭の中限定”は、頭の中限定に“してはいけない”と”すべき”どちらでしょう?
一時的な処置です∩(・∀・∩
忘れたら意味ないので……。
完全に覚えたら破棄しちゃってOK!
頭の中限定にすべきです!
リカバリーコードは紙に残してもそれだけで何もできないため、タンスの中に隠しておいても問題ありません(マスターパスワードとリカバリーコードは一緒に保管or記入禁止)。
『マスターパスワードは頭の中限定』とありますが、bitwardenの中にbitwardenのマスターパスワードを保存するのもダメなのでしょうか?
初心者からすると家の中に家の鍵がある状態で、泥棒がこの鍵を手に入れられるということは既に家の中のもの(各アカウントの情報)を好きにできる状況なので、別にイイのでは?と思ってしまいます。
マスターパスワードを忘れてしまった時に、指紋認証でロック解除すればマスターパスワードを確認できるので安心だと思うのですがどうでしょう?
もう1点質問があります。
これはbitwarden以外のアカウントについてもですが、2段階認証のバックアップコード(1回きりのヤツ)とシークレットキー(QRコードを文字化したヤツ)はメモに保存して問題ないですか?
これだと頭の中のマスターパスワードを忘れてしまった場合、Bitwardenに入れないので詰んでしまいます。
そうなると、必然的に何処かにマスターパスワードを残す必要がありますね。
これはその通りです∩(・∀・∩
アプリあるある、「たまにログアウトされてログインできない」はBitwardenで発生しないと思いますが、それだと毎回指紋認証でログインしがちになり、大体忘れます。
最近いろんなアプリで「忘れるから、定期的に暗証番号を入力させるよ表示」がでてるんで、多分人間の仕様で忘れます( Ꙭ)
そして、生涯に一回あるかもの端末リセットイベント、「初期化:紛失・盗難・水ポチャ・火事」・「新しい端末購入時、マスターパスワード入力(準備すれば防げる)」、これがきた時に詰みます。
どのサービスも、端末が切り替わった場合指紋認証ではなく正式なアカウント情報でのログインだったような。
確かに「忘れた時に指紋認証でロック解除、Bitwardenに入ってチラ見」は成り立ちますが、長期的に見ると破滅しそうなのでおすすめできません……。
です!
実際にスマホを紛失した際に、過去の自分へ感謝することになるでしょう(*゚▽゚)
アカウント作成時に少し手間取りました。
このページのアカウント作成ステップ2の箇所で
Bitwarden Captcha Required のチェックボックスが表示されず、ログインが完了出来ない状態になりました。
VPNでUSAサーバーから接続し直したところ、無事チェックボックスが表示されログイン出来ました。
VPNをお使いの方向けに注意を入れておきました!
助かります∩(・∀・∩