パスワード管理ソフト最強のKeePassを脅かす「Bitwarden(ビットウォーデン)」。
パソコンとスマホの生体認証にも対応していて、セキュリティ重視のKeePass以上に使いやすいだろう。
オープンソース(中身のコードをガチ勢多数が閲覧でき、不正が仕込めない)なのに、
- 自動入力はポポンっと入力
- 日本語対応(Bitwarden公式ホームページ以外)
- 無料
- スマホ・パソコンで生体認証(2021年1月から)
- 対応端末盛りだくさん
- 自分含めた2人まで家族などと共有可能(有料で増やせる)
- 利便性がすごい
- 管理画面が軽い
- ただし添付ファイル(免許証画像などで使う)は有料(1GB:追加可能)
を兼ね備えてしまったため、今から使うなら1PasswordやLastPassという選択肢はない。
魅力の方はこちらで述べているので一読されたし。
それでは、「アカウント作成」と「拡張機能」・「Webブラウザ」・「デスクトップアプリ」の基本的な使い方を説明していく。
仕様
自動入力は拡張機能必須で、Webブラウザ・デスクトップアプリは登録・コピペしかできない。
「拡張機能・Webブラウザ・デスクトップアプリで情報を登録」→「各ブラウザの拡張機能で自動入力」といった使い方になる。
実際のところ拡張機能で完結するため、デスクトップアプリを選ぶ意味はほぼ無いだろう。
パソコンでの生体認証にデスクトップアプリを使うため、拡張機能のみではなくデスクトップアプリ+拡張機能が利便性最強になった。後で生体認証に触れるが、今すぐならパソコンで生体認証まで飛ぼう。
拡張機能の他にWebブラウザ、デスクトップアプリでの情報登録方法を書いておいたので、迷ったら冒頭の「目次」を活用して飛ぼう。
アカウント作成
公式サイトにアクセスし、「Get Started(はじめに)」をクリック。
公式サイトBitwarden Open Source Password Manager | Bitwarden
ステップ1
- メールアドレス
- 名前
- マスターパスワード
を入力し、「マスターパスワードのヒント」は基本無視。
無視しないのなら「自分以外がわからないように」、高度なフェイクを使おう。
仮にヒントを「誕生日」にするとしたら、「上から2番目の引き出し」と記入しておき、自宅の引き出しに「誕生日」と記入したメモを仕込んでおく。コツはどこかのタイミングでオフラインを通す。
ダイスウェアを使った方法が簡単かつ効果的、しかも覚えやすく現状最強。
参考【三種の極意】パスワードの付け方テクニック集 | やりすぎセキュリティ
やってみないとわかりにくいが、ようは単語(日本語)を複数用意して、連結させて20桁付近にするだけである。
monowasure musikago katura
ただの単語じゃセキュリティ低くない?
昔(2017年まで)はそうだったけど、今は「桁数以外どうでもいい」でOK (*゚▽゚)
ステップ2
すると「アカウント作成しました!(英語)」という緑が乱入し、ログイン画面が表示される。
まだログインする必要はないので、このまま読み進めよう。
ちなみに、パスワードのヒントは登録したメールアドレスが必須。
※VPNをお使いの方はチェックボックスが表示されず、ログインできないかもしれない。サーバー変更だ!
拡張機能をダウンロード
以下のリンクから「お使いのブラウザ拡張機能(アドオン)」をダウンロードしよう。
公式サイトDownload | Bitwarden
拡張機能で情報を登録しない方は、このタイミングで次の章「Webブラウザでログイン情報を登録」か、「デスクトップアプリのダウンロード」まで読み飛ばそう。通常は拡張機能で困らない。
SafariやFirefoxも存在するが、ここではGoogle ChromeのExtension(拡張機能)で紹介する。
基本的な使い方はどれも一緒だ。
ステップ1
案内に従いダウンロード → インストールしていこう。
権限は
- 閲覧履歴の読み取り
- コピーして貼り付けるデータの読み取りと修正
となっているので了承してインストールし、「プライバシーへの取り組み」を見れば権限の詳細を確認可能だ。
そうすると「Browser Extension Installed!(ブラウザがインストールされました)」ページに飛ばされるが無視。
ブラウザ右上の①「bitwardenマーク」をクリックして②「ログイン」だ。
ステップ2
ログインすると「保管庫」の中が表示される。
最初から整理しておけば後々楽なので、先にフォルダを作成しに
- ①「設定」
- ②「フォルダー」
へ進む。
拡張機能ウィンドウ左上のマークをクリックすると、別ウィンドウになって設定が捗るぞ!
ステップ3
右上にある①「+」をクリックし、フォルダの名前を付けよう。
ここではTwitterのアカウント情報を登録する前提で進め、フォルダ名を「SNS」にする。
ステップ4
Twitterログイン画面を開いた状態で①「タブ」に移動し、②「+」か「ログイン情報を追加」をクリック。
「保管庫」からの登録と違い「タブ」から登録すると、そのページの名前とURLを最初から読み取ってもらえる。
別ウィンドウで拡張機能を開いたのが仇となり、TwitterではなくChrome関係ページの名前とURL情報が読み込まれてしまう。仕方がないので、ブラウザ右上のbitwardenマークから普通に登録していこう。
ステップ5
出現した登録フォームに情報を入れよう。
「タイプ」でフォームを変えられるが今回は「ログイン」のままで、
- 複数アカウントでもわかるような「名前」
- ログインで使う「ユーザ名」
- ログインで使う「パスワード」
を入力しよう。
既存のアカウントならパスワードを生成せず、使っていたものを入力。
ステップ6
次にさきほど作成したフォルダに変更し、必要なら暗号化されたメモ欄に
- バックアップコード
- 偽名
- 偽情報
などを記入して最後に保存。
追加すると、なんとサイトアイコン(ファビコン)も表示される。
Webブラウザでログイン情報を登録
Bitwarden ウェブ保管庫からログインして「保管庫」 ページまで進もう。
「カード」や「メモ」も登録できるが、ここではログイン情報を登録していく。
ステップ1
といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。
フォルダー横の①「+」をクリック →②名前を入力 →③「保存」。
ここでは「SNS」というフォルダを作成し、Twitterアカウントを登録する例で進める。
ステップ2
「アイテムの追加」をクリックして登録フォームを召喚。
ステップ3
- 名前:複数アカウントでもわかるようなもの
- ユーザー名・パスワード:いつも使っているものを入力
- URI(URLと同じものだと思ってOK):ログインページのURLを入力
- フォルダー:さきほど準備した「SNS」フォルダーを選択
- メモ:暗号化されており、適当に入力
終わったら左下の方の「保存」。
追加すると、なんとサイトアイコン(ファビコン)も表示される。
デスクトップアプリのダウンロード
まずは公式サイトへアクセス。
公式サイトDownload | Bitwarden
Windows版を説明するのでDESKTOPのWindowsをクリックし、終わったら「Bitwarden-Installer-○.○.○(インストーラー)」を開こう。
インストール
ステップ1
インストーラーを開くと不安を煽るユーザーアカウント制御が出現するので「はい」をクリック。
ステップ2
「インストール先を選ぶ」表示は、とくに何も思わないならそのままインストールを押そう。
セットアップまで日本語表示なのは、すごく珍しい!
ステップ3
これでインストールが終了したので、「Bitwardenを実行」にチェックを入れたまま「完了」へ。
ステップ4
bitwardenが起動したら、アカウント情報を入力してログイン。
デスクトップアプリでログイン情報を登録
「カード」や「セキュアメモ」情報も登録できるが、ここではログイン情報を登録していく。
ステップ1
といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。
フォルダー横の①「+」をクリック、②「名前」を入れて③「フロッピーディスクマーク」を押そう。
このマークは「保存」という意味だ。
※「SNS」というフォルダを作成し、Twitterアカウント登録の例で進行。
ステップ2
タイプの①「ログイン」を選択し(無視でも可)、②「アイテムの追加」か「+」で登録フォームを出現させる。
ステップ3
「タイプ」でフォームを変えられるが今回は「ログイン」のままで、
- 複数アカウントでもわかるような「名前」
- ログインで使う「ユーザ名」
- ログインで使う「パスワード」
を入力しよう。
既存のアカウントならパスワードを生成せず、使っていたものを入力。
ステップ4
URLも登録しておきたいので「URI(URLと同じものだと思ってOK)」へ入力、さきほど準備したフォルダーもSNSに変えておこう。
暗号化されたメモ欄には
- バックアップコード
- 偽情報
要するに使った情報を入れ、最後にフロッピーディスクマークをクリックして「保存」だ。
登録すると「追加されたアイテム」が緑色で乱入してくる。
なんとTwitterアイコン(ファビコン)まで表示されるようだ。
簡単な使い方・自動入力を有効化
自動入力は拡張機能専用かつ初期設定で有効化されていないため、拡張機能を開こう。
Web版やデスクトップアプリ版しか使わない方も、自動入力の便利さに手を出すといい。
ステップ1
- ①「設定」
- ②下の方にあるその他の「オプション」
- ③「ページ読み込み時の自動入力を有効化」にチェック
- ④「戻る」(保管庫へ)
ステップ2
「保管庫」に戻り、さきほど登録したTwitter情報のリンク(開く)をクリックしてアクセスしよう。
- bitwardenマーク
- 保管庫
- フォルダ(ログインなどでも可)
- 該当のリンク
- 入力後は手動Enter(エンター)かログインボタンをクリック
上記の動作が基本だ。フォルダわけもジワジワ生きてくるだろう。
もちろんデスクトップアプリやWebブラウザ、さらには直接URLにアクセスした場合も自動入力してくれるので、ブックマークからアクセスすればクリック回数は1回だけだ。
- Windows:Ctrl+Shift+L
- Mac:Cmd+Shift+L
- 有料でTOTP(ワンタイムパスワード)設定済み:自動入力後に貼り付けするだけ
- 右クリック → Bitwarden → 自動入力
- 右上拡張機能のBitwardenマーク → 該当の情報をクリック
カスタムフィールドをイジれば可能だが、Webページの裏方(HTML)を触るため慣れるまですぐできない。
ただ、極めるとそれに見合ったリターンを楽しめる(例:PayPay銀行)。
面倒なら先程のショートカットやコピペでごまかしてね∩(・∀・∩
また、ブックマークなどからページへ進み入力情報が複数あった場合、最後に入力した情報が自動入力される(仕様)。
Androidアプリも使用感がほぼ一緒なので、スマホもスムーズに使えるだろう。
移転(情報のエクスポート:書き出し → Bitwardenへ読み込み:インポート)するならこのタイミングだろう。
このタイミングだと
- 2段階認証
- 紛失時対策のリカバリーコード
- 生体認証
と主要なものを設定していないが、相性が悪いと無駄な作業となるのでブックマークだけしておき、後でするといい。
※移転するだけでLastPassや1Passwordから情報が消えることはないため、Bitwardenに読み込みさせるだけでOK。
2段階認証
メールアドレス・マスターパスワードのみではなく、2段階認証を設定してもう一つ保護階層を増やしていく。
例えメールアドレスとマスターパスワードが不正アクセス騒ぎで漏洩しても、設定しておけば30秒ごとに変わる2段階認証が仕事をしてくれる。
しかも、同じ端末であればログアウトしない限り再度入力を求められず便利。
Webブラウザからしか登録できないので、Bitwarden ウェブ保管庫へログインしよう。
ステップ1
- ①「設定」
- ②「2段階認証」
- ③「管理」
- マスターパスワード入力
アプリが有能なのでそれで進行するが、無い方はメールでも妥協可能。
YubiKeyなどは有料(この業界あるある)。
ステップ2
- ①「認証アプリで読み取り」(スキャン)
- ②「認証アプリに表示された6桁のコードを入力」
- ③「有効化」
読み取れなければカメラを掃除するか、QRコード下の文字列を入力しよう。
各アプリ手動入力機能の場所は以下のとおり。
- Google 認証システム:「+」→「セットアップキーを入力」
- IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
- Authy:Add account表示下の「ENTER KEY MANUALLY」
- Microsoft Authenticator:「+」→「その他」→「またはコードを手動で入力」
小ネタとして、2つの端末で読み取っておけば、1つ端末を紛失しても2つ目の端末でコードの確認が可能。
インストールしていなければ、将来を考えて2段階認証アプリを探すといい。
「有効化されました」と出るが、左下は無効化なので押さず、普通に閉じよう。
この後に「リカバリーコード」を取得するので、ブラウザは閉じない。
- Google 認証システム:乗り換え前端末を処分せず新スマホ移行まで所持
- IIJ SmartKey:乗り換え前端末を処分せず新スマホ移行まで所持
- Authy:今まで使っていた電話番号+バックアップパスワードで端末いらず
確実を狙うなら機種変更時に今まで使っていた端末を持ち、新スマホへ情報を移す流れとなる。
その場合は購入時に売却・処分はできない。
それが嫌なら、バックアップ可能なAuthyやMicrosoft Authenticatorだ。
というか、次に取得するリカバリーコードだけを財布かなにかに入れておけば、紛失時にも対応可能。
リカバリーコード
バックアップコードともいい、「2段階認証アプリの入った端末を紛失してもログインできるようにする」ため「2段階認証を無効化できるコード」を取得しよう。
2段階認証は強力すぎて詰む可能性があるからだ。
ステップ1
2段階認証設定ページに「リカバリーコードを確認」とあるのでクリック。
ステップ2
- マスターパスワードの入力
- 32桁のリカバリーコードをコピーか印刷
保存はアナログの方が良く、普通にリカバリーコードのみを財布やタンスに入れておくと良い(火事非対応)。
「詰んでいるか」気になるなら、コメント欄でお待ちしていまーす∩(・∀・∩
そして、このリカバリーコードを使用するページは専用のページでしか使えないので、下記リンクも保存しておこう。
https://vault.bitwarden.com/#/recover-2fa
もしくはブックマーク二段階認証ログインの回復 | Bitwarden ウェブ保管庫
メールアドレスに関しては大多数が家族や友人にバックアップされているため、聞けばなんとかなる。
非人道的
パソコンで生体認証
デスクトップアプリを経由して認証するため、拡張機能でもアプリをインストールしている前提で進めていく。
拡張機能に関しては、Chromium系(Chrome・BRAVE・Edgeなど)とFirefoxしか使えず、Safariは今のところ未対応(2021年8月26日時点)。
参考Browser Extensions(Noteの部分)
ステップ1
デスクトップアプリを開き、
- ①「ファイル」
- ②「設定」へ
ステップ2
- ① ブラウザ統合を有効にする
- ② Windows Hello でロック解除
※順序を逆にした場合、生体認証チェックが先に来てちょっと面倒。
拡張機能を使わないのなら、ブラウザ統合はいらない。
また、「Windows Hello でロック解除」が表示されない場合は、最新の Visual C++ をダウンロードしてこよう。
※この情報はコメント欄で小林さんに教えてもらった。
ほとんどの人は「x64: vc_redist.x64.exe」の64bit版で解決、x86は32bitの古いタイプのことで、10年以上前の古いパソコンレベルなら要確認。ARM64もほぼ無視。
時間をかければできなくはないため、するなら後回し。
これを有効化すると英単語が複数出てきて、それをブラウザとデスクトップアプリで見比べることになる。
つまり、スペルがわからない日本人は激ムズ。
すごい面倒くさい(´ε`;)
ステップ3
Windows Helloの認証をする。
Windows Helloで生体認証を設定していないのなら、すぐ終わるので準備してこよう。
Enter を押すと、OKを押したことになる。
ステップ4
そのまま下の方にある「ログイン時に自動的に起動」をチェック。
拡張機能の生体認証はデスクトップアプリ経由のため、デスクトップアプリを使わなくても起動しておく必要があるのだ。
さらに、デスクトップアプリを閉じると認証できないので(常駐必須)、「トレイアイコンへ閉じる」もチェックしておくと便利。
※ログインは不要、起動だけでOK。
というか、トレイアイコン系は全部チェックでいいかもしれない。
ステップ5
拡張機能へログインし、
- ①「設定」
- ②「生体認証でロック解除」
- OK(Enter を押す推奨)
これで同じ端末からロック解除する際、生体認証で入れるようになった。
もちろん生体認証情報はその端末にしか存在しないので、他の端末ではマスターパスワード入力となる。
家族を組織として共有・管理
無料プランは自分を含めた2人まで使え、家族プランなら5人も付いて月1ドルで共有・管理できる。
家族にパスワード管理ソフトを勧めてもまったく使う気を感じられないなら、いずれ自分で管理するといい。そうすることで、自分のセキュリティレベルまで家族を引っ張り上げられる。
もちろんチームや企業の6人以上プランも存在。
完璧への階段
複数項目入力など、銀行で重宝する機能をマスターするならカスタムフィールドを設定しよう。
HTML(Webサイトの裏側)に触れるが、そもそも複数項目サイトが少ないので、意外と早く終わる。
アカウント情報変更や意図的に負荷をかけることができる設定はこちら。
バックアップをするならこちら。
スマホアプリ版も同じような使い方なので、このまま導入してみてはいかがだろうか。
Bitwardenに移転するなら、この記事を参照するといい。
コメント
匿名さんへ
こちらの設定ミスによるファイアウォールでブロックしまくってしまいごめんなさい!
現在は正常に書き込めるはずなので、今後もよろしくお願いします(´ε` )
Chrome拡張版のエクスポートは右下の「設定」マーク → 中間ほどにある「保管庫のエクスポート」
スマホアプリは搭載されていないので、Web保管庫から「Tools」 → 「Export Vault」でどちらもマスターパスワード入力後、「.csv」を排出できます!
思いっきりバックアップの案内を忘れており、この記事に追記か新しい記事にわかりやすく画像で説明する予定なので、文字だけでわかりづらければそちらの記事が登場するまでお待ちください!
ただ、現在はファイアウォールで弾かれたコメント対応に追われているため、10月になる前目安で進行していきたいと思います。
以下匿名さんの原文。
いつも読ませていただきありがとうございます。
セキュリティ分野で一般の人が読み書きできるところが少なく、更新楽しみにしております。
質問ですがbitwardenはバックアップやエクスポートはできませんか?
クラウド側のトラブルでログインできなくなるのが怖いのですが、自鯖を立ち上げる余裕がないので導入躊躇しています。
Chrome版とスマホ版試しに入れましたが項目見つからないでした。
新たにバックアップの仕方の記事を作成しました!
https://excesssecurity.com/bitwarden-backup/
bitwardenはいいですね。
PCで指紋認証をしようとenpassに乗り換えかけたのですが、なにかの拍子でこちらにたどり着きました。
id manager→roboform→lastpassと放浪してきましたが、bitwardenで落ち着きそうです。
Thank you!
顔認証ではenpassが有利なのかな?
そうですかー見つけてしまいましたね・・・(*´∀`)
_人人人人人人人人人人人_
> オープンソース最強 <
 ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^ ̄
でもbitwardenはPCの指紋・顔認証に対応していないので(記事上はあくまで願望)、そこは注意です!
ちなみに、1ヶ月前にWindowsHelloで指紋認証が議論されているようですけど、なんか発展していないような……。
さらに発掘したら、どうやらWindowsHelloの実装は難しい模様。ちょっと記事訂正しようかな・・・願望が強すぎる(゚~゚o)ウゥーン
それでも私は期待を諦めないけども、投票自体もあまり重要視されていない事項のようで、まだ実装の気配はなさそう(一番多いところが144票なのにWindowsHelloは9票……)。
参考(英語)Support Windows Hello Unlocking
chromeの拡張機能の『タブ』についてですが、
過去入力したのが近い順でパスワードが表示されてしまうのですが、
普通に名前の順で表示を固定させることはできないのでしょうか
う~ん(-“-;) タブがちょっとわからないので確認とりますが、コレのことだと断定して話を進めます。
どこかで固定できず、使用した最新のものが一番上にくるのは「仕様」としてみたような気がするのですが、ハッキリとわかりませんでした。
でもこれのことかなー?
引用Auto-fill logins using the browser extension | Bitwarden Help & Support
拡張機能及びWeb保管庫の設定を調べてみた結果、それらしき設定は見当たらないのでおそらく固定できないのは仕様だと思われます。
ただ、上記の翻訳を見るかぎり「現在」と書いてあるので、もしかしたら仕様変更される望みは残っているのかも(*゚▽゚)
それにしても、画像のように裏アカウントにログインする際、間違えて表のアカウントにログインして事故りそうですね……
私だったら端末ごと、またはブラウザごとに裏アカウントを使用するので、極力人間のバグを回避するような防御を使います!
なんか匿名さんが「裏アカウント使用します」みたいな話になっちゃったけど、現状は我慢して使うしかなさそうー。
どうも、おひさしぶりになります。質問しようとしたんですが、そちらは自己解決しました(^O^;)
色々サイトありますが、以前見やすかったので参考にして今回はいくつか登録してお試しで使っています。
Enpassがちょっと気になりますが、こちらは無料なので不満が出るまでは使ってみようかと。
余談ですが、自分もブラウザごとに用途分けたりしてますw
自分が一番信用できませんからねぇ…
「以前見やすかったので」 !?(゚~゚o)
やはり日本語になったバージョンで、画像差し替えニーズがありますね! あれから結構年月たっちゃってるし、今アクセス数全記事暴落中なので書き直さないと~(´ε`;)
EnpassはすっかりBitwardenのせいで名前を聞かなくなっちゃいましたね。
完全にこのサイトのBitwarden布教活動が響いている気がする!
TwitterとかはChromeだとこっち、Firefoxだとこっち、スマホでは何もしないとか私も徹底しております∩(・∀・∩ (スマホ操作面倒でやりたくない確率90%だけど……)
ヒューマンエラーがヤバいと気づいてからが、セキュリティにどっぷり浸かるきっかけですね!
相変わらずお返事早いですね(^^)
台風来てるし、もし該当地域ならゆっくりしてください←詮索ではないです:D
> 「以前見やすかったので」 !?(゚~゚o)
誤解招いてすいませんm(_ _;)m
「(このサイトを)以前(訪問した時に、全体的に)見やすかったので、(他サイトではなくこちらのサイトを参考にして以下略)」
という感じです。コミュ力底辺ですいません。
せっかくなんで余談置いておきますが(返信不要です)、Enpassは最近のメジャーバージョンアップ(V5系→V6)がよくなかったようです。試してみましたが、自分もいきなりエラー頂いたので調べるのも面倒で辞めました。
良い週末をお過ごしください~(^_^)/~
いえ、私が面白そうなところを勝手に発展させたのがいけなかったです( Ꙭ) 台風もご安心を!
となると、画像の差し替えはサボれますね……サボろう!
EnPassの情報もありがとうございます! エラーもらって対応できるよう、やっぱり情報提供してくれるサイトがないと不安ですよね。
やりすぎセキュリティみたいな(棒
ありがとうございました∩(・∀・∩
こんにちは。
このサイトを参考に少し前にBitwardenとAuthyを導入してみました。
(解説は非常にわかりやすかったです、書いていただきありがとうございます。)
いくつかわからないことがあるので、質問させてください。
既に同じことを解説している記事があったら申し訳ありません。
1. Bitwardenに突然アクセスできなくなった時に備えて、KeePassにデータをバックアップをしようと考えています。その時、Bitwardenからエクスポートした暗号化されていないcsvファイルを一時的にPCに保存する必要があると思うのですが、これはセキュリティ的に大丈夫なのでしょうか。
悪意のあるソフトがPCに入っていたら元から終わっているのでそれは考えないとしても、削除したcsvファイルがまだSSD/HDDに残っていて復元ソフトでデータを復元されたり、アンチウイルスソフトやバックアップソフトなど悪意のないソフトがcsvファイルを勝手にネットにアップロードしてしまったりしたら危険な気がします。
安全なバックアップ方法はありますか?
UbuntuのLive USBを作ってパスワードバックアップはその環境で行うのが良いかなと考えたものの、Live USB環境でダウンロードしたファイルがどこに保存されるのかよく分からないです。
(RAMに保存されると思っていましたが、Live USBで設定を保存可能という記事も見かけるのでUSBメモリーやHDDに保存される可能性もある…?)
2. Bitwarden自体のアカウントの2段階認証を有効化するか迷っています。
もし有効化したあと、Authyを設定した端末とリカバリーコードを書いた紙を火災や津波などで全て同時に失ってしまったら諦めるしかなくなってしまうのでしょうか?
Tubさんの言うとおり、一回記憶装置に暗号化されていない状態でどうしても出てきてしまうのは、正しい危機意識です。
この部分はどうしようもない部分ですね(゚~゚o)
現状諦めていて、バックアップの記事の方にも注意点として記述しているのでいいかなーと放置しておりました。
UbuntuのLIVE USBというのは知りませんが、何かあるなら私も知りたいかも!
ですね(´ε`;) それでも私は有効化!
Account情報は頭に入っているとして、逃げる際には、
のどちらかを持って逃げるのが一番お金のかからない最善です。
1.はスマホからログインできるようにしている人が大多数なのでほぼ大丈夫だとして、2.を防ぐには「高層階に住む」・「滅多に外出する必要のないパソコン関係の仕事(所持して避難できる可能性が高い)」の構築しか今のところ最善に近いかも。
つまりお金!
他には津波が広範囲攻撃なので、防げるのが銀行の貸し金庫(セレブ用)とか近くかつ不動(流される可能性アリ)だと思われるものしかないです。
ここらへんはbitwardenやKeePassでできないので、他で固める形がいいでしょう。
土砂崩れ対策も家からやらないと、何も防ぎようがないシリーズかも。
火事も同じような感じですが、別の場所に預ける……現実的には実家など信頼できる友人でしょうか。
それでもその家に泥棒に入られると最悪極まりないので、KeePassの入ったUSBメモリではなく(突破される可能性がある)Authyだけ入ったゴミのような端末かリカバリーコードだけ(一つだけじゃなんの役にも立たない)を置いておくといいです。
敷地内の土に湿気を完璧に防いで埋めるといったものや(ジップロックでも大丈夫なのか不明。税金逃れみたいなことしててなんかヤダ)、サマリーポケットなど月額で安いものに預けるのもいいですが、この貸し倉庫精密機器NGですのでリカバリーコードしか預けられず、USBメモリや2段階認証の入った端末は預けられないので注意( Ꙭ)
といった感じで、同時に失わないよう家をどうにかするといったことになりそうです。
返信していただきありがとうございます!
> UbuntuのLIVE USBというのは知りませんが、何かあるなら私も知りたいかも!
ごめんなさい、勘違いしていたようです。
調べてみたら、
Live USB: 普通にHDDにOSをインストールするのと同じ手順でOSをインストールしたUSBメモリ、再起動してもデータはUSBメモリに残る
インストール用メディア: OSインストールなどのために使用する仮環境を起動できるメディア、再起動するとデータが消える
ということみたいです。
(参考にしたページの一つ: https://blog.mktia.com/how-to-make-ubuntu-live-usb/ )
自分が言いたかったのはLive USBではなく、「インストール用メディア」でした。
Ubuntuのインストール用メディアを作ってそこから起動し、Try Ubuntu without installingを選択すれば、信頼できないソフトが入っていない+ファイルがRAMにしか保存されない環境ができるので、暗号化されていないcsvをダウンロードしても安全かなと考えました。
まだ間違っていたら申し訳ありません。
> 2段階認証
やはりアクセス不能になる可能性はありますか…。
自分は学生なので大胆なことはできませんし、書いていただいたような災害対策をできるようになるまでBitwarden自体の2段階認証は使わないことにしようと思います。 (フィッシングなどが怖いですが。)
えっ( Ꙭ)
LIVE USBってもしかして差し込んでそこから起動させればUbuntu、そこから起動させなければWindowsを使うことができるものなのかな。
これすごい興味あるから後で調べておこう∩(・∀・∩(そんな簡単にOS選択できると思ってなかった)
Ubuntu自体何も知らないので、詳しくは何も答えられないのです(´ε`;)
もしその環境ができるとしたら私にも「まっさらで安全にしか見えない」です!
2段階認証がなくてもbitwardenには意図的に負荷をかける設定や、マスターパスワードに自信があるなら普通のサービスより全然マシのはずです。
ましてやUbuntu使いはセキュリティ上位勢だと思いますし、大丈夫な可能性は高いと思いますと後押ししておきます∩(・∀・∩
> LIVE USBってもしかして差し込んでそこから起動させればUbuntu、そこから起動させなければWindowsを使うことができるものなのかな。
そうです。(さっき試してみました。)
インストール用メディアから起動すると再起動後にデータが消える、Live USBは再起動してもデータが消えないというのも合っていました。多分…。
余談: 複数のOSが入ったLive USBを作ればマルチブートできるかなと思い、USBメモリにUbuntuとRaspberry Pi OSのPC版をインストールして (USBメモリにUbuntuとRaspberry Pi OS、SSDにWindowsという状態) 試してみましたが、それはできませんでした。 そもそもUSBでマルチブートができないのか、インストール方法やOS選びが悪かったのかは分かりません。できたら面白そうなので色々やってみます。
> 2段階認証がなくてもbitwardenには意図的に負荷をかける設定や、マスターパスワードに自信があるなら普通のサービスより全然マシのはずです。
ましてやUbuntu使いはセキュリティ上位勢だと思いますし、大丈夫な可能性は高いと思いますと後押ししておきます∩(・∀・∩
マスターパスワードはパスワードジェネレータで生成したそこそこ長いもので反復回数も多めに設定してあるので辞書攻撃や総当り攻撃は大丈夫だと思っています。
それよりも、複雑さは関係ないフィッシングやキーロガーなどが怖い…。
自分は信頼できないフリーソフトや拡張機能をポイポイ入れてしまうようなダメな人なので、セキュリティ上位勢とは言えないと思います。(´・ω・`)
Ubuntuは使うだけなら誰でもできますし..
キーロガー確かにずっと存在していて嫌だなー(´ε`;)早く過去の遺産になってくれないかな……
マルチブート……じゃなくて私はデュアルブートにすっごい興味があるので(初めて知りました)、これはロードマップ行きー∩(・∀・∩
初めまして。
いつも貴サイト様には大変お世話になっております。
この記事を参考にして、早速Bitwardenを導入してみました。
とても使い勝手もよく、感謝しております。
Bitwardenのリカバリーコードの扱いについて少し悩んでおります。
記事中で『BitwardenのリカバリーコードをBitwardenで保管しても、多分意味はある』と書いておられます。
私も最初はこの通りにしようかと思ったのですが、そもそもリカバリーコードは2段階認証ができないときのために使うものだという風に認識しております。
その上で、Bitwardenに保管するということは、「そもそも2段階認証なしでアクセスできる端末が手元にある以上はリカバリーコードを使う状況が起こらないのではないか」と考えた次第であります。
ぶっきらぼうな聞き方となってしまいますが、BitwardenにBitwardenのリカバリーコードを保管したとして、それを使うシチュエーションというのは起こりうるものなのでしょうか?
読みづらい文章となってしまって大変申し訳ありません。
よろしければ返信のほどお願い致します。
Bitwardenにログインする際、2段階認証コードを入力する欄の下に「情報を登録する」という欄にチェックを入れることで、同じ端末でログインする限り2段階認証の入力を一定期間スキップできます。
これは別のサービスでもよくあるやつですね∩(・∀・∩
例としていつもはパソコンでログインしている=パソコンでのログインでのみ2段階認証が一定期間スキップされるとして、
スマホを紛失してリカバリーコードを見なければならない場合、いつもログインしているパソコンのみ2段階認証がスキップされる状態なので、Bitwardenにあるリカバリーコードを閲覧できるチャンスを残すことができます。
この効果1つしかメリットはないのですが(想像できるのがこれくらい)、Bitwardenに置いたところでほぼ意味がないわりにソコソコ良い効果なので、適当に入れておくといいです!(リカバリーコードを盗まれたとしても、それはすでにBitwardenに侵入されているため)
当然リカバリーコードは別の何か……やりすぎセキュリティ的にはKeePassあたりに突っ込んでおくといい感じだと思います( ・ω・)/
ややこしい話ですみません(´ε`;)
ご返信ありがとうございます。m(__)m
>スマホを紛失してリカバリーコードを見なければならない場合、いつもログインしているパソコンのみ2段階認証がスキップされる状態なので、Bitwardenにあるリカバリーコードを閲覧できるチャンスを残すことができます。
確かに! 言われてみればその通りでした。
もしスマホをなくして、2段階認証を無効化したくても、WebからBitwardenにアクセスするとき2段階認証を求められますしね。その時、拡張機能からなら2段階認証が必要ないため、そこでリカバリーコードを見て、無効化の申請をするチャンスができるわけですね。
>当然リカバリーコードは別の何か……やりすぎセキュリティ的にはKeePassあたりに突っ込んでおくといい感じだと思います( ・ω・)/
2段階認証についての別記事で、そのことについても触れてあったため検討しておりました。BitwardenのリカバリーコードをKeePassに保存して、KeePassに何かあったときのリカバリーコード的なものはどこに保存すればいいんだ…?と堂々巡りになってしまって、一旦考えるのをやめてしまいましたが(;’∀’)
お早い返信ありがとうございました
いえいえ!
このようなややこしすぎるテクニックは結構聞かれるので、これからもどんどん聞いてOKです∩(・∀・∩
※現在コミュニティ作成(もう出来てるけど非公開:設備投資ごっこ)でセキュリティテクニックを聞く場所みたいなところを別に作成しているので、見やすい位置に案内を置いてもっと聞きやすく・見やすくする予定です。
先日はご回答ありがとうございました。
Bitwardenを使う上で、どうしてもクラウドの性質上、情報漏洩することが気がかりです。
そこで、Bitwardenと併せて他のパスワード管理ソフトを使い、パスワードをそれぞれに半分ずつ入れるという案を考えました。
使う度に2つのパスワード管理ソフトにアクセスしなければならないため、手間は増えてしまうのですが、こうすればBitwarden+他のパスワード管理ソフトが同時に情報漏洩を起こさなければ大丈夫だと思いました。
もしよろしければ、この案についてどうお考えになられるかコメントを頂戴してもよろしいでしょうか。
要領を得ない質問で、お手間をおかけ致しますこと、先にお詫び申し上げます。
KeePassの記事ですが、私はKeePassとBitwardenを併用しているので逆のことをすれば行けます!
この方法は他の方もこっそりやっているはず(以前にもコメントで会話した記憶がある)なので、セキュリティ意識の高い人は気にかけている悩みですね(゚~゚o)
参考【問題】KeePassのクラウド同期、紛失したらどうなる?
※この記事を再度見てみるとややこしい上もっとわかりやすく今であれば書き直しできるので(しません)、あんまり見る必要ないかも。
また、LastPassが何回か漏洩騒ぎを起こされていますが、基本的に裏口から漏洩されても正面でなければ暗号化されている状態となっているはずのため、パスワード変更の猶予は年レベルであるはずです(実際に暗号化されていることを保証はできませんが)。
なので、利便性を犠牲にしないのであれば
となっています!
※1Passwordは有料なので除外
あ、よく読んでなかった(´ε`;)
半分はちょっとイマイチなような。
私の例を出しますので、なんとなく参考にしてください。
という形で、半分ではなくスマホ用とパソコン用でデータをわけるといいかも。
パソコンばっかり使う人はスマホでAmazon情報いらなかったりするので、主にパソコンで作業するアカウント情報を消しまくります!
また、漏洩された方に登録していたアカウント情報が完全に解読されて侵入されたとしても、2段階認証が仕事をしますので時間稼ぎは有効です。
これはもう2段階認証を褒めちぎるしかありません。ブチブチ
Bitwarden関連の記事を読ませていだだき、PC関係に疎い自分でもなんとか導入できました。
大変分かりやすい説明に助かりました。ありがとうございます。
セキュリティが爆発的に向上するのに導入が難しく感じてしていない人に押し付けるのがやりすぎセキュリティの趣旨なので、本当にうれしいお言葉ありがとうございます!
励みになります(*゚▽゚)
昨今のパスワード漏洩事件であれこれ悩んでいるうちに貴HPにたどり着き、早速BitwardenとAuthyをインストールしてみました。以下の点で良く理解できておらず、アドバイスを頂けたら幸いです。
1.証券会社(まずSBI証券で試しています)のTopページにてパスワード入力する際、複数アカウントを持っている場合は、最初に自動的に特定のユーザー名とパスワードが自動入力されてしまいますが、その後入力欄を右クリックしてbitwarden→所望のアカウントを選択して入力しています。この手順が一番簡単な手順でしょうか?
2.Topページではなく、取引画面や契約者情報の変更画面等、いくつかの画面にてログイとは別に”取引パスワード”を請求されますが、これをBitwardenから引き出して入力させる方法はありますか?inputIDでは#pwd3.inputPass02
カスタムフィールドに登録してみましたがうまく読み出せないです。複数のホームページで本人確認の為、”取引パスワード”の入力を請求されるところも対処の方法が良くわからず、試行錯誤しております。アドバイスを頂けたら幸いです。
私はメインをKeePass・緊急用をBitwardenとして使っているのでうろ覚えで申し訳ありません(´ε`;)
カスタムフィールドを「テキスト」の「名前」部分に以下総当りでテスト入力。
入力したい取引パスワードを「値」に入力でどうなりますか?
大体は「名前」に入力したい項目をF12のデベロッパーツールで覗き見し、その項目にカーソルをあわせた状態で表示される「ID」を「名前」に入力するといけるはず!
ぷっぷさん、アドバイスありがとうございます。結局”ログイン”とは別に”取引”なるフォルダを作り、カスタムフィールドにtr_passで行けました!複数口座も入力欄右クリック→Bitwarden→希望のフォルダ選択で対応できました。ご報告まで。Bitwardenやみつきになりますねw
ガ━━(゚Д゚;)━━ン!
なにはともあれ解決してよかったです?
いやいや!KeePassだって負けていませんよー∩(・∀・∩
自動入力ショートカットを入力時に毎回入力する必要はありますが、ログインは自動で押せるし、拡張機能はいらないし、今回のSBI証券みたいな方法も簡単にできますし、最初の導入の面倒ささえ除外すればすっごくオススメですよ!
はじめまして。いつも楽しく読ませて頂いています。参考になることが多く、興味深いです。
最近気になっていることをぷっぷさんにもお聞きしたくコメントしますね。
私は bitwarden を使用してます。特徴の一つにオープンソースがありますが、セキュリティの観点からは本当に安全か疑問に思う時もあります。
ソースを世界中に公開することは、プライバシーや製作側の信頼性向上に寄与します。ですがそれは同時に犯罪者にも自宅の全構造を公開してるとも言えます。
多くの善意な人は脆弱性をもし見つけたら報告し、問題を解決するでしょう。ですが、悪意ある人はそれを利用して悪さを企むのではないか。そんなふうに思う時もあります。
たとえ公表してなくても脆弱性を見つけられ攻撃されることはありますが、その頻度や深刻さは大きいものならないか心配です。
ぷっぷさんの見解を聞かせて貰えれば幸いです。
GitHub(よくソースコードが公開されているところ)自体使わないので仕様がわからないのですが、マージ(誰かが作った「このコードに変更したほうが良くない?」)という提案を許可したら管理者がマージ(合体的な意味)で結合してソースコードを進化させるといったものがあったと思うので、権限による管理は存在していると思います(もしなかった場合マージを勝手にするはず)。
Wikipediaみたいに誰かが変更したりしあったりの応酬になった話とかも聞かないですし、選ばれた人(権限を持っている人)しか最終的には処置できない仕様だと思います。
※GitHubの仕様を一切知らない人の回答のため、話半分で聞いてください。
参考Organization のリポジトリ権限レベル – GitHub Docs
なので、最終的には管理者による「このコードにバックドア仕掛けられてないよね?」チェックはあると思います。
といってもにゃんにゃん+さんの懸念は大変よくわかります。
その場合、非公開コードの実質なんでもありデメリットと比べて「どっちがいいか」で判断するといいです(世間的にはオープンソースがセキュリティポイント高め)。
もちろんオープンソースではないものを完全否定しているわけではなく、あるんだったらオープンソースが一番生活しやすいと思います(全部オープンソースにするとほぼ代替品なので妥協が生じる)。
また、オープンソースによる誰でも閲覧の数の暴力で、脆弱性発見と進化はオープンソースのほうが早いような気がしています(感想)。
「オープンソースだから安全」、「クローズドソースだから安全」、どちらも時々に見かける話ですが、まあそんな単純な話はありません。クローズドソースであってもIEやFlash Playerのように、たまに深刻なゼロデイ脆弱性が発見されるものありますし、オープンソースも同様です。
結局のところ、セキュリティにちゃんとコストを費やして開発しているか、という話に尽きます。
オープンソースの一番の優位点はやはり理論上自分でソースコードを検証できることでしょう。その技術に長じていればちゃんとコードを読まなくともざっくり見た感触で、ある程度品質がわかるかもしれません。ただしこれは私のような非技術者には関係ありません。
となると、非技術者にとっては自分以外の何かを信頼する必要があります。
何を信頼するか、というのはいろんな基準がありえます。複数の要素を総合して自分なりに判断するしかないですね。オープンソースだと開発状況もかなりオープンなことが多いので、判断材料を得やすいというのも良いところです。
私は「ローカル保存ゆえに攻撃手段が非常に限定される」「オープンソースかつコミュニティに熱気があるため悪意のあるコードはまず混ざっていない」という点でKeePassを使っています。Bitwardenに関しては、バグ報償金プログラムを設けていたり、外部セキュリティ会社による監査が複数回行われていたりすることが、良い判断材料になりそうです(中身は読んでないのでちゃんとした監査なのかは知りません)。
なお、にゃんにゃん+さんは「悪意ある人はそれを利用して悪さを企む」ことを心配されているようですが、一般論として、素直に報告して報償金をもらった方が得になれば、悪用の可能性は大きく下がるでしょう。
ダメな信頼例。
有名セキュリティ企業が作ったパスワードマネージャーだから信頼できる。オープンソースではないから攻撃方法も見つけづらいはず!
グーグルのProject Zero、トレンドマイクロのパスワード管理ツールの脆弱性を報告
https://japan.zdnet.com/article/35076105/
> 任意のコマンド実行を可能にするものを発見するまでに30秒程度しかかからなかった。
> 前代未聞のとんでもない作りだ
> 何と言ってよいか分からない。しっかりしたセキュリティコンサルタントの監査を受けずに、こんなものを『デフォルトで』すべての顧客のマシンにインストールするなんて
> インターネット上のどこからでも、すべてのパスワードをこっそり盗めるだけでなく、ユーザーの関与なしに任意のコードを実行できるようになっている。
注:トレンドマイクロは日本シェア1位のセキュリティソフト、ウイルスバスターの開発会社
お二人からもコメント頂けて嬉しいです。ありがとうございました!
たしかに「オープンソースの管理」という点は私はよく理解してませんでした。プログラミングしてないので見る機会など hosts ファイルくらいなので笑
報奨金制度は効果があると Apple 社が脱獄対策に使って証明したことがありますね。また数の暴力による高速進化も非公開の所より早いのは違いないです(かわいそうなので Flash くんには触れません)。
オープンソースだろうが無かろうがリスクはある。正しい知識と理解を持ち、対策を取る。セキュリティ全般に言えることですね。
とても参考になりました。ありがとうございます。まあ冷静に考えて、オープンソース側も無対策で放置するはずありませんよね笑(管理が放棄されていなければ)
あー(´ε`;)
オープンソースあるあるとして「更新が急に止まる」がありますので、そこは本当に注意してください。
大体「ないと困る」系は分岐とかして復活しますけど、それでも復活までにかなりの年月かかるのもあるあるです。
流石に更新が1年以上超えてしていないのなら「これは代替を探さなければ」となりますので、その時は面倒ですが乗り換えしましょう!
バグ報償金プログラムは本当に素敵なプログラムで、悪い人視点から見れば
なので、組織系以外には効果ありそうで本当に素敵システム(*゚▽゚)
かっこいい横からのコメントありがとうございます!
「コードが読めない場合は他の要素で信頼するしかない」というすっごいわかりやすいスマートな回答を、今後パクらせていただきます∩(・∀・∩
はじめまして。こちらのサイトの記事などを参考にパスワード管理ソフトや2段階認証アプリを使い始め、快適にセキュアライフを送っています。
Bitwardenをパソコンとスマートフォン両方で使用していますが、こちらの記事にある通りパソコン版では生体認証が使えずログインが少しだけ面倒…
と思っていたのですが、Bitwardenの公式サイトによるとデスクトップ版ではWindows、MacOSともに既に対応済みのようです。
さっそくデスクトップ版で生体認証を有効にして使ってみましたが、スムーズに認証されました。
Say Hello to Windows Hello and Touch ID in the Bitwarden Desktop App
https://bitwarden.com/blog/post/introducing-desktop-biometrics/
Unlocking with biometrics
https://bitwarden.com/help/article/biometrics/
ブラウザ拡張機能では未対応ですが、これも対応を検討しているそうです。
もしかしたら既に把握されているかもしれませんが、記事に記載が無かったのでこちらに書き込ませていただきました。
リンク先まで丁寧な情報提供感謝します∩(・∀・∩
普通に気づいていなかったので、明日かできれば今日追記させていただきます!
ちゃんと生体情報をBitwardenでは受信しないとも書いてあるー
冒頭の部分を多少変更や、新しい章を作成して追記しました。
パソコンで生体認証
検索ランク下がって今のBitwardenへ色々と対応しないといけないので、その時にもっと詳しく設定にも対応する予定です。
ちなみに、セキュリティ猫さんはWindowsの指紋認証で登録できたのか、まだ見ていたら教えてもらえると助かります∩(・∀・∩
Windowsを使っていますが、設定で「Windows Helloでロック解除」をオンにして一度WindowsHelloで認証すると、次回ソフト起動時から使えるようになりました。
端末が対応している指紋とPINどちらでも認証ができましたが、この2つの場合はデフォルトでは指紋で認証されるようです。
もう一つ、個人向けBitwardenプランですが、今はこちらのサイトの記事の内容と異なっているようです。
記事作成以降に料金体系の変更があったのだろうと思いますが、一応こちらもお知らせしておきます。
あと最近使っていて気づいたのですが、Firefoxブラウザ拡張版だとプライベートウィンドウでBitwardenがうまく機能しないらしく、地味に面倒くさいですね…
Extension won’t load in Firefox’s private mode
https://bitwarden.com/help/article/extension-wont-load-in-private-mode/
やっぱり指紋認証できるのですね!公式にHelloしか書いてないから不安になっちゃった(´ε`;)
PINはいいや!
差し支えなければ、どこの部分が変更されているか教えてもらえますでしょうか?
プランと価格を見ましたが、特に変わっている部分がないような……。
Firefoxのプライベートウィンドウの件は、聞かれたら思い出します!
それにしても、この問題の「この記事は役に立ちましたか?」の評価低すぎ( Ꙭ)
冒頭でFirefoxの問題のって書いてあるのに。
そのリンク先の下の表にある「Max Users」が組織に追加できる人数ですよね?
個人向けのFreeと、$10/年のPremiumはMax Usersが1人(組織向け無料プランに準じて2人?)となっていて、$40/年のFamilyが最大6人となっているように読めます。
企業向けも$3/月のTeams、$5/月のEnterprise(いずれも1人あたり)となっていて、こちらもサイト記事(https://excesssecurity.com/bitwarden-organization/)と異なっているように思ったので…
私の思い違いだとしたらすみません。
思い出した∩(・∀・∩
「【家族・組織対応】パスワードをbitwardenで共有管理」で紹介しているプランは個人向けプランを2つ用意して、それをビジネスプランで合体させる方法です!
なので、個人向けだと一人しか使えないため家族では使えないけど、家族を組織として扱ってビジネスプランを使う作戦の記事だということを思い出しました。
このままで大丈夫そうです。
完全に忘れてたけど(´ε`;)
でも、ビジネスプランの無料は2人までですが、正真正銘の家族プランは5人から6人に増えているので、ここの部分は訂正します!
※値段も違った……家族プランは前まで一人1ドルだったけど、現在は6人までで月3.33ドル。3人までは値上げ、4人以上は結構な値下げ。
ぷっぷさんはじめまして。
当方はwindows10でEdgeを使用しております。
パスワード管理ソフトの導入を考えてこちらにたどり着きました。
と、いってもかなり初心者というか、シロートです。
笑われるような質問になるかと思いますが、ご教授お願いします。
例えばAmzonにログインするときユーザー名(Eメールアドレス)を入力し、
次にパスワード(仮に1234とします)を入力してログインします。
Bitwardenを導入してその設定するときに、Amazonのユーザー名とパスワードを記録すれば、次回からはAmazonにログインするとき、自動でユーザー名とパスワードが入力されてログイン出来る。ということでよろしいでしょうか?
もしそうならば、Edgeにも同じように自動でログイン出来る機能があるので、Bitwardenを導入する必要があるのかなと思ってしまいます。これが1つめの疑問です。
2つめの疑問はBitwardenにはパスワードの自動生成機能があると言うことですが、Amazonのパスワードは1234なので、不安だから自動生成を使用して、自動生成されたパスワードが「gHp%39@」となったとします。そしてAmzonをログアウトして、またログインするときは、自動でユーザー名とパスワード「gHp%39@」が入力されてログイン出来るということでしょうか?
そしてやっぱり「gHp%9@」は短いからもっと長いパスワードを自動生成して「bp97B`%nk:ggDs」なってそれを使うなどと言った使い方も出来るのでしょうか?
ちょっと自分でも上手く伝えることが出来なくてすみません。パスワードの自動生成についてご教授お願いできれば助かります。お願いします。
ってだけかな(゚~゚o)
パスワード平文保存とか端末に侵入されなければどうでもいい話なので、多分ブラウザEdge縛りになっちゃうしかないですね。
※エクスポート(書き出し)でブラウザの移転は結構簡単だろうけど、同じブラウザじゃないと同期されないから面倒。
実際にパスワード管理部分がオープンソースなのかは知らないですが、EdgeもMicrosoftとはいえオープンソースですし、ブラウザ付属のパスワード入力が一番使いやすいのも事実です。
「今すぐ乗り換えよう!」な人はどちらかといえばお金を払って他のパスワード管理ソフトを使っている方向けですね。
今はどうかはわかりませんが、Google Chromeと同じ仲間であるEdgeもChromeと同じ仕様だと思われ(パスワード平文)、パソコン・スマホに侵入されないように扱えるのであればブラウザのパスワード管理でOKです。
参考危険と言ったのは誰だ!GoogleChromeでパスワード管理
※共有PCなど誰でも触れる端末は100%ブラウザのパスワード管理はおすすめできません。
早い話、危険な使い方をすると危険で、危険じゃない使い方をすれば危険ではない最低限の知識は持っていないといけないのがブラウザ付属系です。
「Bitwardenに登録したパスワードを変更したら、AmazonのパスワードもBitwardenに新規作成したパスワードに変更される」ということでしたら「NO」です。
Amazonのパスワードも変更する必要があります。
どこのサービスも同じですがAmazonで解説。
「該当サービスでパスワードを変更する手続きをして、その際にBitwardenで作成したパスワードへ上書き」という流れになります∩(・∀・∩
また、現代のパスワード強度トレンドは「記号含めた文字列」ではなく単純に「文字数」となっているので、文字数さえ多ければ大体なんでもいいです(安易なものはさすがにNG)。
私はできる限り32桁以上にしているので(やりすぎ)、対応していればソレくらい入れるといいです。
弾かれた場合はどんどん減らしたりしてOK!
手動入力するかもしれないルーターパスワード系から記号を取っ払っちゃってもOK!
日本のサービスでパスワードを登録する際、8文字までしか対応していない場合モニターを割ってもOK! オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.
ぷっぷさん、ご教授ありがとうございました。
Bitwardenの自動生成の使い方よくわかりました。(これが一番知りたいところでした。)
Bitwarden導入に傾いてきました。
ところで、パスワードの使い回しは良くないといわれていますが、
私は40ほどのサービス(アカウント)を利用しています。
(実際同じものを使い回してるサービスもあります。)
Bitwardenの場合、例えば18桁以上の強固な「マスターパスワード」があれば
それら40のサービスも同じパスワードでもかまわないと考えてしまいそうですが、
やはりそれぞれ別々のパスワードにするべきでしょうか。
一つの方法として、それら40のサービスをすべてBitwardenのパスワード自動生成
で、管理するというのもアリかと思ってしまいます。
ぷっぷさんはどのようにして、サービスのパスワードを管理しておられますか?
参考にさせて頂きたいので、良かったヒント、ご教授お願いします。
必ず別にしてください!
Bitwardenがかなり安全でも、利用しているサービスでパスワードが漏洩した場合、そのサービス以外も大急ぎで変更しなきゃいけないのです(´ε`;)
※使い回しは漏洩してすらいないサービスに侵入されることがあり、被害者は気づかずサービス側にすごく迷惑。
「同じパスワードは絶対存在させない」という方針はずっと守る必要があるため、思い出した過去のものからコツコツパスワード新規自動作成で埋めていきましょう∩(・∀・∩
また、メールアドレスやユーザー名は基本的に使いまわして構いません。※公開情報のため
コンパクトにするなら、プライベートとその他の2つのメールアドレスを持っているだけで、プライベートとビジネスとかが紐付けされず誰かわかりにくいのでおすすめ。
例:匿名SNSのメールアドレスがどこかで漏洩! → プライベートと一緒にしていたから匿名なのにバレちゃった! がかなり緩和できる。
すでに迷惑メールが届いているメールアドレスは漏洩済みのため、パスワード変更時にメールアドレスも新しいものに変更するといいです(地獄)。
さらに、該当サービス利用中に電話番号変更や引っ越しなどで住所変更した際「どのサービスで変更前の電話番号や住所を使っていたか」検索できるようメモ欄に何かわかるような文章を入れておくと、未来で「ぷっぷナイス!」となることでしょう。
例:「電話番号090-……」 ・「住所入れた」
※Bitwardenのメモ欄は検索にヒットしなかった気がするけど、該当サービスにログインしなくても過去の電話番号や住所を使っていることがわかり、楽にはなります。
ぷっぷさん、ご教授誠にありがとうございます。
やっぱり使い回しはいけないのですね。各パスワードは別々にします。
(メルアド変更は、なかなか難しいのですが、考えてみます。)
これで、やっとBitwarden導入することにしました。
もしかしたら、またご教授お願いのメッセージ送るやもしれませんが、
そのときはよろしくお願いいたします。
ありがとうございました。
ホイ( ・ω・)/
Bitwardenの結構大きな機能追加アップデートが来ました!
組織向けの機能強化もいろいろありますが、個人ユーザーにとってはブラウザ拡張でも生体認証ができるようになったのが大きいですね
ただブラウザ拡張の生体認証は、ブラウザ拡張単体では機能しないので、そこは注意が必要かもしれません
あとはデータの暗号化エクスポートと有料アカウント向けに緊急アクセス設定が可能になったようです
Release Notes | Bitwarden Help & Support
https://bitwarden.com/help/article/releasenotes/#2021-01-19
おお、これでWindowsHelloを使った生体認証ができるのですね(追記:デスクトップ版はもうできているんでした)。
jsonと生体認証完全体はサボれないやつじゃーん(´ε`;)
そろそろBitwardenの良いところのみしか書いていない記事作るべきかなー
Bitwarden当初よりはるかに人気になったし。
パソコンで顔認証だとすっごい未来感ある
追記:パソコンで生体認証
と
bitwardenのバックアップ・エクスポート方法
この記事を見てからBitwarden使ってますが、とても使いやすいですね!
使っているうちに家族で共有したいパスワードも出てきたのですが、3人以上で共有するとなると無料ではできないんですよね。
そこで、セルフホストして無料で使えないかと思い調べていると、有料サーバースペックじゃないと動かないようで。。
それじゃ意味がないと思い探していたところ、機能そのままで軽量化したbitwarden_rsであればGCE(f1-micro1)で動くという情報を見つけました。
GCE無料枠でbitwardenセルフホストのやり方とか記事にしてもらえると嬉しいです。
うーん、色々面倒で断念してて、低リソース版でもやらないですね……
というか、GCP無料枠の権利をテストサイトで使いたいと思っていたので、それも理由にあります。
サーバー代がかなり安くなるのはメリットなんですが、Bitwarden関係だと他サービスの個人情報説明を省けなくて「、ただ説明して終わり」をしないことを考えると勉強代が大変です。
というわけで、残念ですがやらない方向で(´ε`;)
私がすぐにDocker!Ubuntu!とか構築できればいいんですが、Ubuntuの設定もわからないでござる。
以前からサイトをこっそりと拝見させてもらっています。
ここでお勧めされて以来パス管理はBitwardenにしていたため、PCのブラウザ切り替えのタイミングでアプリによる自動入力にも手を出しました。
何これしゅごい……(゚∀゚ )
これがあればブラウザーの自動入力機能をオフにしてもいいんだ……このサイトは自動入力していたのにあのサイトは自動入力できていないとかの設定ミスも避けられるんだ……!
ぷっぷさん、いや、ぷっぷ神様、ありがとうございます!!
いえいえ、凄いのはBitwardenですよ!∩(・∀・∩
むむ(゚~゚o)
アプリによる自動入力=デスクトップアプリのことだと思いますが、こちらに自動入力はないのでブラウザの自動入力は引き続き使うことになるような気がします!
いつも記事を読ませていただいております
今回windows10環境で
指紋認証によるwindowsの自動ログイン
さらに指紋認証による
bitwardenのvaultのロック解除までを設定する際にも
この記事が非常に参考になりました
途中で1箇所説明と違う所があり
bitwarden公式を見てきた結果
特定のパターンではこの記事の説明通りに
いかないケースがあると気付きましたので
どういうパターンがあるのかお知らせしたいと思います
一度ご検討いただきまして
記事に補足等していただけましたら
今後同じパターンで行き詰まった人の参考になるかもしれません
“パソコンで生体認証”のところの
ステップ2
(1)ブラウザ統合を有効にする
(2)Windows Hello でロック解除
ここの画面に関してですが
私の環境下では
“Windows Hello でロック解除”
のチェック欄が存在しませんでした
グレーアウトとかではなく
まったく存在しない状態です
もちろんwindows helloの設定は終わっていますので
いまさらなぜ出ないんだろう?
バージョンアップか何かで
windows hello対応が終了したのか?と
公式ヘルプを調べました所
以下の記載を見つけました
https://bitwarden.com/help/article/biometrics/
Enable Unlock with Biometrics
ここ(↑)のdesktopタブを選べば下記の一文が出てきます
Tip
Windows Users may need to install the Microsoft Visual C++ Redistributable
before Windows Hello can be turned on in Desktop Preferences.
ここ(↑)のリンク先であるここ(↓)からダウンロード・インストールを実行
https://support.microsoft.com/en-us/topic/the-latest-supported-visual-c-downloads-2647da03-1eea-4433-9aff-95f26a218cc0
この結果 無事”Windows Hello でロック解除”が出てきました
ご参考まで
これは記述確定ですね。
明日やっておきます!
先にテストしてから書いたせいなのかな、飛ばしちゃったと思われます(´ε`;)
にしても、この記事本当にわかりやすい。
書いた人センスある。
※追記しました!
早速の対応ありがとうございます
余談ながら
「3種類あるけど」の所について
2021年にもなればほとんどの人は64bitですね
いまだ32bitなのは
スペックの見方知らずに安さだけで選んだら売れ残り品掴んじゃった人か
10年前のパソコンをOSアップグレードで延命措置してる人か
どちらかだと思います
で、「ARM64」
これってそういう種類のCPUがあるんですよ
CPUと言えば1番インテル、2番AMDみたいな位置づけですけど
ARMという会社があってCPUを作っています
ニンテンドーDSとか一部のスマホが採用してます。
で、他ならぬマイクロソフトがARMを採用しています。
surfaceってありますよね
ipadのパクリくさいやつ
あれが他ならぬARMです
もちろんCPUが違う
イコール命令セットが違う
イコールOSそのものを作り直す必要がありました
それがwindwos RTですね
普通のパソコンショップとかじゃ売っていないです
事実上surface専用のwindowsです
しかも普通のwindowsよりも制限事項が多くて
あんま評判よくないです
wikiでも売れ残っただの在庫処分で大損したとかボロクソ書かれていますね
(書いたの私じゃないですよ)
ただ、windows11でまたARM版windowsにも転機が訪れるという
記事も一部出ていますので
https://pc.watch.impress.co.jp/docs/column/ubiq/1337627.html
まあ年末から年明けぐらいには
何か変化が出てくるかもしれません
windows10が最後のwindowsとか言ってたくせに
掌返しするような会社ですからね
私はそもそも信用していませんので
windows11もsurfaceも一切興味は無いです(笑
要はマイクロソフトはスマホ市場でボロ負けしたのが
よっぽどくやしかったらしいんですよね
だからこういう未練がましい事をしている
5年以上前と記述してましたけど、5年は最近過ぎましたね(´ε`;)
10年にしておきます。
ARMの件は今後次第ということで!
小ネタもありがとうございます∩(・∀・∩
それと、「小林さんに教えてもらった」とも追記しておきました。
単純な質問なのですが、
管理人さんにお聞きしたいことがあったのでコメントさせていたいだきました。
①PCから2段階認証設定済みのサービスにログインするとき、認証コードの入力はPC版のAuthyからコピペしていますか?
②やはりBitwardenにある認証コード入力機能はセキュリティ的(ID・パスワードとセットになるため)に使わないほうがいいのでしょうか?
といっても、初心者ほど機種変更の仕方がそもそもわからなかったり、忘れたり十分危ういため、おっちょこちょいな方(いわゆるデジタル音痴)は絶対に一緒にしたほうがいいかな?(゚~゚o)
私だったらそうしますね!
とてもタメになる記事ありがとうございます!
ところで、上記参照してChrome拡張機能と、iphoneアプリ入れてみたのですが、
拡張機能って、毎日パソコン使わない時は小まめにログアウトした方がいいですか?
iphoneアプリの方も、小まめにログアウトする必要ありますか?
いわゆる利便性とセキュリティのトレードオフなので、お好みになります。
ですが、圧倒的に利便性が死んでしまうので、iPhoneに画面ロックをかけて生体認証かPasswordで対応、パソコンも同じ形でパソコン自体にロックをかけて対応するようにします!
ぷっぷさま
このサイトを参考に、夫婦でBitwardenとAuthyを導入しています。
(解説は非常にわかりやすいです!)
そして、別の記事でも、質問に対して、いつも明確な回答ありがとうございます。質問よろしくお願いします。
■質問
◎ Bitwardenのマスターパスワードの保管方法についての質問です。
・現在紙ベースで保管しています。しかし、火事になったり紛失したりした時のリスクを考えて、以下の①②の合わせ技による保管方法を考えました。
①僕のマスターパスワードを妻のBitwardenの保管庫の中のセキュアメモに記録
②妻のマスターパスワードを僕のBitwardenの保管庫の中のセキュアメモに記録
以上の①と②の合わせ技による保管方法は安全でしょうか(理に適っているでしょうか)?
それとも、辞めておいた方が良いでしょうか?
信用をクリアしてるのでありです∩(・∀・∩
究極を言うと、ねとふりさんのアカウントに侵入されても妻のアカウントに侵入されないようにすればいいので、ねとふりさんのアカウントに、妻が使っているBitwardenのメールアドレスを保存していなければOKです。
一般的なフリーメールかつ、短いとちょっと不安かもですが、それはそれで2段階認証があるので、そちらに仕事をさせます。
簡潔明瞭なご回答ありがとうございます!!
問題ないことが確認できたので、安心しました!!
■注意事項
①僕のbitwardenの保管庫の中のセキュアメモに、妻のメールアドレスは記録しないこと。
②妻のbitwardenの保管庫の中のセキュアメモに、僕のメールアドレスは記録しないこと。
■因みに(その①)
最後の最後に、もし万が一の万が一、仮にメールアドレスがバレたとしても、、、、。ぷっぷ様に教えていただいた、authyが、2段階認証で守ってくれるので、ガッチリ防御ですね!!
■因みに(その②)
1番大事なことは、夫婦仲ですが、そこはとても良いので大丈夫です(笑)
なるほど、2段階認証突破できないので、友達にメールアドレスだけ私の知らないものにしてもらって、マスターパスワードを教えておく……というのもありですね。
なるほど(゚~゚o)
逆に学んでしまった!
夫婦仲いいね∩(・∀・∩
いつも参考にさせていただいています。
bitwardenの入力にはかなり手間取っていた為、今回の手順を踏んでから驚くほど作業効率が上がりました。
分かりやすく丁寧な記事、ありがとうございました。
丁寧にしてよかった∩(・∀・∩
こんにちは!ビットワーデン使いまくってます!
一つお聞きしたいのですが、ビットワーデンにクレジットカード情報を保存することについて、ぷっぷさんはどのように思われますでしょうか?
例えば楽天カードの3Dセキュアなどを複雑にしてしまったので、
(3Dセキュアはネット決済の際にしか必要にならない)
ビットワーデンに楽天のログイン情報とか入れてるとこのメモに3Dセキュアも保存しちゃおうかと思っており、
同時にいちいちクレジットカードの番号を券面で確認するのも面倒なのでビットワーデンに保存しちゃいたいとも思ったり、
でもクレカ番号ビットワーデンに入れるのは万が一の時に心配かなとも思ったり、
ましてやクレカ番号と3Dセキュアの情報をビットワーデンに入れてたら、もしもの時3Dセキュアの意味が全くないかな・・・
なんて・・・
でもそもそもビットワーデンのマスターパスワード超強力にしてるから問題ない気もしないでもないけど・・・
やりすぎセキュリティの専門家の意見・考え方をお聞きしたいです。
えーと、どっちでもいいが正解ですね( Ꙭ)
ワンタイムパスワードをBitwardenで管理するのと同じじゃなくて、カード系は普通に入れちゃっていいと思います。
以下その理由
今だに「電話でしかストップ出来ない」とことかあったりしますけども、そのうちアプリでストップとかできるようになるでしょう。
最近カード番号を表面から消した的な会社は、5年はかかるでしょう!
当たり前ですが、ストップする際の窓口は24時間営業です。
だから、私は普通に入れちゃってます∩(・∀・∩
確かにすぐ止めれますもんね!
気づかない可能性もありますけど・・・でもどうせ限度額もあるし・・・
クレカの規約の補償は各社まちまちで
と書いてあったり・・・これって情報漏洩は補填されないのでは?
それか、ビットワーデンからもし漏れた場合も漏らした方の責任にされたり(ナイカナ?)
など気になる点はありますが、確率的には滅多に起こらないことですし、限度額もあるんで、気にせず登録した方が利便性上がって良さそうですね!
もうこれってクレカ周りだからという理由で、3Dセキュアも一緒に保存しちゃってていいと思っていいですよね?
(銀行口座の暗証番号だけ、頭で覚えて管理する。証券口座の取引パスワードも同様に頭で覚えて管理する。)
補償されると思ってた_(:3」∠)_
※自分が教えたわけではない・暗証番号も適当ではないから(利用者本人の過失が低いため)。
カード情報入れておかないと、いちいちお財布から出すの面倒なので、ほら、OKOK ∩(・∀・∩
です!
桁数少ないものは、覚えてももちろんOKです。
ありがとうございます!
コレで行きたいと思います!!
やったー!
アカウント作成時に少し手間取りました。
このページのアカウント作成ステップ2の箇所で
Bitwarden Captcha Required のチェックボックスが表示されず、ログインが完了出来ない状態になりました。
VPNでUSAサーバーから接続し直したところ、無事チェックボックスが表示されログイン出来ました。
VPNをお使いの方向けに注意を入れておきました!
助かります∩(・∀・∩