【SSS】Bitwardenのダウンロードと自動入力の使い方

Bitwardenパソコン関係の使い方
この記事は約19分で読めます。

パスワード管理ソフト最強のKeePassを脅かす「Bitwarden(ビットウォーデン)」。

パソコンとスマホの生体認証にも対応していて、セキュリティ重視のKeePass以上に使いやすいだろう。

オープンソース(中身のコードをガチ勢多数が閲覧でき、不正が仕込めない)なのに、

  • 自動入力はポポンっと入力
  • 日本語対応(Bitwarden公式ホームページ以外)
  • 無料
  • スマホ・パソコンで生体認証(2021年1月から)
  • 対応端末盛りだくさん
  • 自分含めた2人まで家族などと共有可能(有料で増やせる)
  • 利便性がすごい
  • 管理画面が軽い
  • ただし添付ファイル(免許証画像などで使う)は有料(1GB:追加可能)
ブックマークで自動入力

を兼ね備えてしまったため、今から使うなら1PasswordやLastPassという選択肢はない。

魅力の方はこちらで述べているので一読されたし。

それでは、「アカウント作成」と「拡張機能」・「Webブラウザ」・「デスクトップアプリ」の基本的な使い方を説明していく。

スポンサーリンク

仕様

自動入力は拡張機能必須で、Webブラウザ・デスクトップアプリは登録・コピペしかできない。

「拡張機能・Webブラウザ・デスクトップアプリで情報を登録」→「各ブラウザの拡張機能で自動入力」といった使い方になる。

実際のところ拡張機能で完結するため、デスクトップアプリを選ぶ意味はほぼ無いだろう

2021年1月追記

パソコンでの生体認証にデスクトップアプリを使うため、拡張機能のみではなくデスクトップアプリ拡張機能が利便性最強になった。後で生体認証に触れるが、今すぐならパソコンで生体認証まで飛ぼう。

拡張機能の他にWebブラウザ、デスクトップアプリでの情報登録方法を書いておいたので、迷ったら冒頭の「目次」を活用して飛ぼう。

スポンサーリンク

アカウント作成

公式サイトにアクセスし、「Get Started(はじめに)」をクリック。

公式サイトBitwarden Open Source Password Manager | Bitwarden

Get Startedへ

ステップ1

  • メールアドレス
  • 名前
  • マスターパスワード

を入力し、「マスターパスワードのヒント」は基本無視。

無視しないのなら「自分以外がわからないように」、高度なフェイクを使おう。

高度なフェイクとは

仮にヒントを「誕生日」にするとしたら、「上から2番目の引き出し」と記入しておき、自宅の引き出しに「誕生日」と記入したメモを仕込んでおく。コツはどこかのタイミングでオフラインを通す。

アカウント情報を入力

ダイスウェアを使った方法が簡単かつ効果的、しかも覚えやすく現状最強。

参考【三種の極意】パスワードの付け方テクニック集 | やりすぎセキュリティ

やってみないとわかりにくいが、ようは単語(日本語)を複数用意して、連結させて20桁付近にするだけである。

24桁の例:実際はスペースなし

monowasure musikago katura

かわいい
かわいい

ただの単語じゃセキュリティ低くない?

ぷっぷ
ぷっぷ

昔(2017年まで)はそうだったけど、今は「桁数以外どうでもいい」でOK (*゚▽゚)


ステップ2

すると「アカウント作成しました!(英語)」という緑が乱入し、ログイン画面が表示される。

まだログインする必要はないので、このまま読み進めよう。

ちなみに、パスワードのヒントは登録したメールアドレスが必須。

Web保管庫ログイン画面
スポンサーリンク

拡張機能をダウンロード

以下のリンクから「お使いのブラウザ拡張機能(アドオン)」をダウンロードしよう。

公式サイトDownload | Bitwarden

拡張機能で情報を登録しない方は、このタイミングで次の章「Webブラウザでログイン情報を登録」か、「デスクトップアプリのダウンロード」まで読み飛ばそう。通常は拡張機能で困らない。

SafariやFirefoxも存在するが、ここではGoogle ChromeのExtension(拡張機能)で紹介する。

基本的な使い方はどれも一緒だ。

該当の拡張機能をインストール

ステップ1

案内に従いダウンロード → インストールしていこう。

権限は

  • 閲覧履歴の読み取り
  • コピーして貼り付けるデータの読み取りと修正

となっているので了承してインストールし、「プライバシーへの取り組み」を見れば権限の詳細を確認可能だ。

ちなみに、1PasswordやLastPassの権限は「アクセスしたウェブサイト上にある自分の全データの読み取りと変更」である。

そうすると「Browser Extension Installed!(ブラウザがインストールされました)」ページに飛ばされるが無視。

ブラウザ右上の「bitwardenマーク」をクリックして「ログイン」だ。

拡張機能でログインする

ステップ2

ログインすると「保管庫」の中が表示される。

最初から整理しておけば後々楽なので、先にフォルダを作成しに

  • 「設定」
  • 「フォルダー」

へ進む。

拡張機能ウィンドウ左上のマークをクリックすると、別ウィンドウになって設定が捗るぞ!

保管庫から設定へ
フォルダーをクリック

ステップ3

右上にある「+」をクリックし、フォルダの名前を付けよう。

ここではTwitterのアカウント情報を登録する前提で進め、フォルダ名を「SNS」にする。

フォルダーを追加
わかりやすい名前を付けよう

ステップ4

Twitterログイン画面を開いた状態で「タブ」に移動し、「+」か「ログイン情報を追加」をクリック。

「保管庫」からの登録と違い「タブ」から登録すると、そのページの名前とURLを最初から読み取ってもらえる。

タブへ進む
タブに滞在してから追加する
バグ:2018年から2021年も確認(もはや仕様)

別ウィンドウで拡張機能を開いたのが仇となり、TwitterではなくChrome関係ページの名前とURL情報が読み込まれてしまう。仕方がないので、ブラウザ右上のbitwardenマークから普通に登録していこう。


ステップ5

出現した登録フォームに情報を入れよう。

「タイプ」でフォームを変えられるが今回は「ログイン」のままで、

  • 複数アカウントでもわかるような「名前」
  • ログインで使う「ユーザ名」
  • ログインで使う「パスワード」

を入力しよう。

既存のアカウントならパスワードを生成せず、使っていたものを入力。

ユーザー・パスワードなどを入力

ステップ6

次にさきほど作成したフォルダに変更し、必要なら暗号化されたメモ欄に

  • バックアップコード
  • 偽名
  • 偽情報

などを記入して最後に保存

メモなどを入力

追加すると、なんとサイトアイコン(ファビコン)も表示される。

登録した情報を確かめるため、「簡単な使い方・自動入力」の章まで読み飛ばそう。
スポンサーリンク

Webブラウザでログイン情報を登録

Bitwarden ウェブ保管庫からログインして「保管庫」 ページまで進もう。

「カード」や「メモ」も登録できるが、ここではログイン情報を登録していく。

Web保管庫ログイン画面

ステップ1

といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。

フォルダー横の「+」をクリック →名前を入力 →「保存」。

ここでは「SNS」というフォルダを作成し、Twitterアカウントを登録する例で進める。

フォルダーを追加する

ステップ2

「アイテムの追加」をクリックして登録フォームを召喚。

アイテムを追加

ステップ3

  • 名前:複数アカウントでもわかるようなもの
  • ユーザー名・パスワード:いつも使っているものを入力
  • URI(URLと同じものだと思ってOK):ログインページのURLを入力
  • フォルダー:さきほど準備した「SNS」フォルダーを選択
  • メモ:暗号化されており、適当に入力

終わったら左下の方の「保存」。

ログイン情報を登録する

追加すると、なんとサイトアイコン(ファビコン)も表示される。

先に自動入力の設定をするので、「簡単な使い方・自動入力」の章まで読み飛ばそう。
スポンサーリンク

デスクトップアプリのダウンロード

まずは公式サイトへアクセス。

公式サイトDownload | Bitwarden

Windows版を説明するのでDESKTOPのWindowsをクリックし、終わったら「Bitwarden-Installer-○.○.○(インストーラー)」を開こう。

各OSのデスクトップアプリを選択

インストール

ステップ1

インストーラーを開くと不安を煽るユーザーアカウント制御が出現するので「はい」をクリック。

アプリ実行を許可

ステップ2

「インストール先を選ぶ」表示は、とくに何も思わないならそのままインストールを押そう。

ぷっぷ
ぷっぷ

セットアップまで日本語表示なのは、すごく珍しい!

インストール

ステップ3

これでインストールが終了したので、「Bitwardenを実行」にチェックを入れたまま「完了」へ。

完了へ

ステップ4

bitwardenが起動したら、アカウント情報を入力してログイン。

デスクトップアプリログイン

デスクトップアプリでログイン情報を登録

「カード」や「セキュアメモ」情報も登録できるが、ここではログイン情報を登録していく。

ステップ1

といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。

フォルダー横の「+」をクリック、「名前」を入れて「フロッピーディスクマーク」を押そう。

このマークは「保存」という意味だ。

※「SNS」というフォルダを作成し、Twitterアカウント登録の例で進行。

フォルダーを追加

ステップ2

タイプの「ログイン」を選択し(無視でも可)、「アイテムの追加」か「+」で登録フォームを出現させる。

アイテムの追加


ステップ3

「タイプ」でフォームを変えられるが今回は「ログイン」のままで、

  • 複数アカウントでもわかるような「名前」
  • ログインで使う「ユーザ名」
  • ログインで使う「パスワード」

を入力しよう。

既存のアカウントならパスワードを生成せず、使っていたものを入力。

ログイン情報登録

ステップ4

URLも登録しておきたいので「URI(URLと同じものだと思ってOK)」へ入力、さきほど準備したフォルダーもSNSに変えておこう。

暗号化されたメモ欄には

  • バックアップコード
  • 偽情報

要するに使った情報を入れ、最後にフロッピーディスクマークをクリックして「保存」だ。

関連記事【合法】正しく偽名・偽個人情報を入力して本名を守る|やりすぎセキュリティ

URLとフォルダも指定する

登録すると「追加されたアイテム」が緑色で乱入してくる。

なんとTwitterアイコン(ファビコン)まで表示されるようだ。

追加されるとこのような表示になる
スポンサーリンク

簡単な使い方・自動入力を有効化

自動入力は拡張機能専用かつ初期設定で有効化されていないため、拡張機能を開こう。

Web版やデスクトップアプリ版しか使わない方も、自動入力の便利さに手を出すといい。

ステップ1

  • 「設定」
  • 下の方にあるその他の「オプション」
  • 「ページ読み込み時の自動入力を有効化」にチェック
  • 「戻る」(保管庫へ)
保管庫から設定へ
オプションへ
チェックして保管庫に戻る

ステップ2

「保管庫」に戻り、さきほど登録したTwitter情報のリンク(開く)をクリックしてアクセスしよう。

  1. bitwardenマーク
  2. 保管庫
  3. フォルダ(ログインなどでも可)
  4. 該当のリンク
  5. 入力後は手動Enter(エンター)かログインボタンをクリック

上記の動作が基本だ。フォルダわけもジワジワ生きてくるだろう。

もちろんデスクトップアプリやWebブラウザ、さらには直接URLにアクセスした場合も自動入力してくれるので、ブックマークからアクセスすればクリック回数は1回だけだ。

自動入力
ダメな時の自動入力方法(ショートカット推奨)
  • Windows:Ctrl+Shift+L
  • Mac:Cmd+Shift+L
  • 有料でTOTP(ワンタイムパスワード)設定済み:自動入力後に貼り付けするだけ
  • 右クリック → Bitwarden → 自動入力
  • 右上拡張機能のBitwardenマーク → 該当の情報をクリック

カスタムフィールドをイジれば可能だが、Webページの裏方(HTML)を触るため慣れるまですぐできない。

ただ、極めるとそれに見合ったリターンを楽しめる(例:PayPay銀行)。

ぷっぷ
ぷっぷ

面倒なら先程のショートカットやコピペでごまかしてね∩(・∀・∩

複数項目自動入力

また、ブックマークなどからページへ進み入力情報が複数あった場合、最後に入力した情報が自動入力される(仕様)。

Androidアプリも使用感がほぼ一緒なので、スマホもスムーズに使えるだろう。

スマホ自動入力

移転(情報のエクスポート:書き出し → Bitwardenへ読み込み:インポート)するならこのタイミングだろう。

LastPass改悪でBitwarden大注目

このタイミングだと

  • 2段階認証
  • 紛失時対策のリカバリーコード
  • 生体認証

主要なものを設定していないが、相性が悪いと無駄な作業となるのでブックマークだけしておき、後でするといい。

※移転するだけでLastPassや1Passwordから情報が消えることはないため、Bitwardenに読み込みさせるだけでOK。

スポンサーリンク

2段階認証

メールアドレス・マスターパスワードのみではなく、2段階認証を設定してもう一つ保護階層を増やしていく

例えメールアドレスとマスターパスワードが不正アクセス騒ぎで漏洩しても、設定しておけば30秒ごとに変わる2段階認証が仕事をしてくれる。

しかも、同じ端末であればログアウトしない限り再度入力を求められず便利。

Webブラウザからしか登録できないので、Bitwarden ウェブ保管庫へログインしよう。

上記リンクは偽サイトかもしれない(本物だ)。

Web保管庫ログイン画面

ステップ1

  • 「設定」
  • 「2段階認証」
  • 「管理」
  • マスターパスワード入力

アプリが有能なのでそれで進行するが、無い方はメールでも妥協可能。

YubiKeyなどは有料(この業界あるある)。

2段階認証の種類を選ぶ

ステップ2

  • 「認証アプリで読み取り」(スキャン)
  • 「認証アプリに表示された6桁のコードを入力」
  • 「有効化」

読み取れなければカメラを掃除するか、QRコード下の文字列を入力しよう。

各アプリ手動入力機能の場所は以下のとおり。

  • Google 認証システム:「+」→「セットアップキーを入力」
  • IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
  • Authy:Add account表示下の「ENTER KEY MANUALLY」
  • Microsoft Authenticator:「+」→「その他」→「またはコードを手動で入力」
QRコードをスキャンして有効化

小ネタとして、2つの端末で読み取っておけば、1つ端末を紛失しても2つ目の端末でコードの確認が可能。

インストールしていなければ、将来を考えて2段階認証アプリを探すといい。

有効化されました」と出るが、左下は無効化なので押さず、普通に閉じよう。

この後に「リカバリーコード」を取得するので、ブラウザは閉じない

  • Google 認証システム:乗り換え前端末を処分せず新スマホ移行まで所持
  • IIJ SmartKey:乗り換え前端末を処分せず新スマホ移行まで所持
  • Authy:今まで使っていた電話番号+バックアップパスワードで端末いらず

確実を狙うなら機種変更時に今まで使っていた端末を持ち、新スマホへ情報を移す流れとなる。

その場合は購入時に売却・処分はできない。

それが嫌なら、バックアップ可能なAuthyMicrosoft Authenticatorだ。

というか、次に取得するリカバリーコードだけを財布かなにかに入れておけば、紛失時にも対応可能。

無効化は押さずに閉じる

リカバリーコード

バックアップコードともいい、「2段階認証アプリの入った端末を紛失してもログインできるようにする」ため「2段階認証を無効化できるコード」を取得しよう。

2段階認証は強力すぎて詰む可能性があるからだ。

ステップ1

2段階認証設定ページに「リカバリーコードを確認」とあるのでクリック。

リカバリーコードを確認へ

ステップ2

  • マスターパスワードの入力
  • 32桁のリカバリーコードをコピーか印刷

保存はアナログの方が良く、普通にリカバリーコードのみを財布やタンスに入れておくと良い(火事非対応)。

リカバリーコードをコピーか印刷
やってはいけないこと
  • マスターパスワードは頭の中限定、リカバリーコードと一緒に保管or記入しない
    • メールアドレスは記入してもいい(公開情報のため・例:家族や友人が知っている)
  • スマホのみにリカバリーコードの画像を保存
    • スマホを紛失したら無意味なので、パソコンやクラウドにも保存しておくといい
      • そのクラウドに2段階認証が設定されていると、スマホがないとやはりログイン不能
覚えておくと良いこと
  • 紙や印刷は経年劣化で消える恐れがあるため、複数隠すのを推奨
  • このコードをBitwardenに保存してOK。同じ端末限定だが、「ログインに2段階認証を求めない」ようにしていれば、2段階認証の再設定が可能
    • その設定は2段階認証入力時にある「情報を保存する」にチェックを入れるだけ
ぷっぷ
ぷっぷ

「詰んでいるか」気になるなら、コメント欄でお待ちしていまーす∩(・∀・∩

そして、このリカバリーコードを使用するページは専用のページでしか使えないので、下記リンクも保存しておこう。

https://vault.bitwarden.com/#/recover-2fa

もしくはブックマーク二段階認証ログインの回復 | Bitwarden ウェブ保管庫

メールアドレスに関しては大多数が家族や友人にバックアップされているため、聞けばなんとかなる。

かわいい
かわいい

非人道的

リカバリーはメールアドレスも必要

スポンサーリンク

パソコンで生体認証

デスクトップアプリを経由して認証するため、拡張機能でもアプリをインストールしている前提で進めていく。

公式Download | Bitwarden

拡張機能に関しては、Chromium系(Chrome・BRAVE・Edgeなど)とFirefoxしか使えず、Safariは今のところ未対応(2021年8月26日時点)。

参考Browser Extensions(Noteの部分)

対応認証方法
  • Windows(WindowsHello):顔・指紋
  • Mac:TouchID(指紋)

ステップ1

デスクトップアプリを開き、

  • 「ファイル」
  • 「設定」へ

ファイル→設定へ

ステップ2

  • ブラウザ統合を有効にする
  • Windows Hello でロック解除

※順序を逆にした場合、生体認証チェックが先に来てちょっと面倒。

拡張機能を使わないのなら、ブラウザ統合はいらない。

また、「Windows Hello でロック解除」が表示されない場合は、最新の Visual C++ をダウンロードしてこよう。

※この情報はコメント欄で小林さんに教えてもらった。

3種類あるけど?

ほとんどの人は「x64: vc_redist.x64.exe」の64bit版で解決、x86は32bitの古いタイプのことで、10年以上前の古いパソコンレベルなら要確認。ARM64もほぼ無視。

時間をかければできなくはないため、するなら後回し。

これを有効化すると英単語が複数出てきて、それをブラウザとデスクトップアプリで見比べることになる。

つまり、スペルがわからない日本人は激ムズ。

ぷっぷ
ぷっぷ

すごい面倒くさい(´ε`;)

ブラウザ統合を有効

ステップ3

Windows Helloの認証をする。

Windows Helloで生体認証を設定していないのなら、すぐ終わるので準備してこよう。

有能テクニック

Enter を押すと、OKを押したことになる。

Enterを押すかOK

ステップ4

そのまま下の方にある「ログイン時に自動的に起動」をチェック。

拡張機能の生体認証はデスクトップアプリ経由のため、デスクトップアプリを使わなくても起動しておく必要があるのだ。

さらに、デスクトップアプリを閉じると認証できないので(常駐必須)、「トレイアイコンへ閉じる」もチェックしておくと便利。

※ログインは不要、起動だけでOK。

というか、トレイアイコン系は全部チェックでいいかもしれない。

ログイン時に自動的に起動をチェック


ステップ5

拡張機能へログインし、

  • 「設定」
  • 「生体認証でロック解除」
  • OK(Enter を押す推奨)
生体認証でロック解除にチェック
Enterを押すかOK

これで同じ端末からロック解除する際、生体認証で入れるようになった。

もちろん生体認証情報はその端末にしか存在しないので、他の端末ではマスターパスワード入力となる。

拡張機能生体認証でロック解除
デスクトップアプリWindowsHelloでロック解除
スポンサーリンク

家族を組織として共有・管理

無料プランは自分を含めた2人まで使え、家族プランなら5人も付いて月1ドルで共有・管理できる。

家族にパスワード管理ソフトを勧めてもまったく使う気を感じられないなら、いずれ自分で管理するといい。そうすることで、自分のセキュリティレベルまで家族を引っ張り上げられる。

もちろんチームや企業の6人以上プランも存在。

自分が死んだら家族悶絶
スポンサーリンク

完璧への階段

複数項目入力など、銀行で重宝する機能をマスターするならカスタムフィールドを設定しよう。

HTML(Webサイトの裏側)に触れるが、そもそも複数項目サイトが少ないので、意外と早く終わる。

複数項目自動入力

アカウント情報変更や意図的に負荷をかけることができる設定はこちら。

バックアップをするならこちら。

スマホアプリ版も同じような使い方なので、このまま導入してみてはいかがだろうか。

Bitwardenに移転するなら、この記事を参照するといい。

コメント

  1. ぷっぷぷっぷ より:

    匿名さんへ
    こちらの設定ミスによるファイアウォールでブロックしまくってしまいごめんなさい!
    現在は正常に書き込めるはずなので、今後もよろしくお願いします(´ε` )

    Chrome拡張版のエクスポートは右下の「設定」マーク → 中間ほどにある「保管庫のエクスポート」

    スマホアプリは搭載されていないので、Web保管庫から「Tools」 → 「Export Vault」でどちらもマスターパスワード入力後、「.csv」を排出できます!

    思いっきりバックアップの案内を忘れており、この記事に追記か新しい記事にわかりやすく画像で説明する予定なので、文字だけでわかりづらければそちらの記事が登場するまでお待ちください!

    ただ、現在はファイアウォールで弾かれたコメント対応に追われているため、10月になる前目安で進行していきたいと思います。

    以下匿名さんの原文。

    いつも読ませていただきありがとうございます。
    セキュリティ分野で一般の人が読み書きできるところが少なく、更新楽しみにしております。

    質問ですがbitwardenはバックアップやエクスポートはできませんか?
    クラウド側のトラブルでログインできなくなるのが怖いのですが、自鯖を立ち上げる余裕がないので導入躊躇しています。

    Chrome版とスマホ版試しに入れましたが項目見つからないでした。

  2. ぷっぷぷっぷ より:

    新たにバックアップの仕方の記事を作成しました!

    https://excesssecurity.com/bitwarden-backup/

  3. tanuki より:

    bitwardenはいいですね。
    PCで指紋認証をしようとenpassに乗り換えかけたのですが、なにかの拍子でこちらにたどり着きました。
    id manager→roboform→lastpassと放浪してきましたが、bitwardenで落ち着きそうです。
    Thank you!

    • ぷっぷぷっぷ より:

      顔認証ではenpassが有利なのかな?
      そうですかー見つけてしまいましたね・・・(*´∀`)

      _人人人人人人人人人人人_
      > オープンソース最強 <
       ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^ ̄

      でもbitwardenはPCの指紋・顔認証に対応していないので(記事上はあくまで願望)、そこは注意です!

      ちなみに、1ヶ月前にWindowsHelloで指紋認証が議論されているようですけど、なんか発展していないような……。

      さらに発掘したら、どうやらWindowsHelloの実装は難しい模様。ちょっと記事訂正しようかな・・・願望が強すぎる(゚~゚o)ウゥーン
      それでも私は期待を諦めないけども、投票自体もあまり重要視されていない事項のようで、まだ実装の気配はなさそう(一番多いところが144票なのにWindowsHelloは9票……)。
      参考(英語)Support Windows Hello Unlocking

  4. 匿名 より:

    chromeの拡張機能の『タブ』についてですが、
    過去入力したのが近い順でパスワードが表示されてしまうのですが、
    普通に名前の順で表示を固定させることはできないのでしょうか

    • ぷっぷぷっぷ より:

      う~ん(-“-;)  タブがちょっとわからないので確認とりますが、コレのことだと断定して話を進めます。

      拡張機能のタブ動作

      どこかで固定できず、使用した最新のものが一番上にくるのは「仕様」としてみたような気がするのですが、ハッキリとわかりませんでした。
      でもこれのことかなー?

      In the case of multiple logins matching the current website, the last used login will be used for the auto-fill operation.

      現在のウェブサイトに一致する複数のログインの場合、最後に使用されたログインが自動入力操作に使用されます。

      引用Auto-fill logins using the browser extension | Bitwarden Help & Support

      拡張機能及びWeb保管庫の設定を調べてみた結果、それらしき設定は見当たらないのでおそらく固定できないのは仕様だと思われます。
      ただ、上記の翻訳を見るかぎり「現在」と書いてあるので、もしかしたら仕様変更される望みは残っているのかも(*゚▽゚)

      それにしても、画像のように裏アカウントにログインする際、間違えて表のアカウントにログインして事故りそうですね……
      私だったら端末ごと、またはブラウザごとに裏アカウントを使用するので、極力人間のバグを回避するような防御を使います!

      なんか匿名さんが「裏アカウント使用します」みたいな話になっちゃったけど、現状は我慢して使うしかなさそうー。

  5. 通りすがりの、新米Bitwardener より:

    どうも、おひさしぶりになります。質問しようとしたんですが、そちらは自己解決しました(^O^;)

    色々サイトありますが、以前見やすかったので参考にして今回はいくつか登録してお試しで使っています。
    Enpassがちょっと気になりますが、こちらは無料なので不満が出るまでは使ってみようかと。

    余談ですが、自分もブラウザごとに用途分けたりしてますw
    自分が一番信用できませんからねぇ…

    • ぷっぷぷっぷ より:

      以前見やすかったので」 !?(゚~゚o)
      やはり日本語になったバージョンで、画像差し替えニーズがありますね! あれから結構年月たっちゃってるし、今アクセス数全記事暴落中なので書き直さないと~(´ε`;)
      EnpassはすっかりBitwardenのせいで名前を聞かなくなっちゃいましたね。
      完全にこのサイトのBitwarden布教活動が響いている気がする!

      余談ですが、自分もブラウザごとに用途分けたりしてますw
      自分が一番信用できませんからねぇ…

      TwitterとかはChromeだとこっち、Firefoxだとこっち、スマホでは何もしないとか私も徹底しております∩(・∀・∩ (スマホ操作面倒でやりたくない確率90%だけど……)
      ヒューマンエラーがヤバいと気づいてからが、セキュリティにどっぷり浸かるきっかけですね!

  6. 通りすがりの、新米19号 より:

    相変わらずお返事早いですね(^^)
    台風来てるし、もし該当地域ならゆっくりしてください←詮索ではないです:D

    > 「以前見やすかったので」 !?(゚~゚o)
    誤解招いてすいませんm(_ _;)m
    「(このサイトを)以前(訪問した時に、全体的に)見やすかったので、(他サイトではなくこちらのサイトを参考にして以下略)」
    という感じです。コミュ力底辺ですいません。

    せっかくなんで余談置いておきますが(返信不要です)、Enpassは最近のメジャーバージョンアップ(V5系→V6)がよくなかったようです。試してみましたが、自分もいきなりエラー頂いたので調べるのも面倒で辞めました。

    良い週末をお過ごしください~(^_^)/~

    • ぷっぷぷっぷ より:

      いえ、私が面白そうなところを勝手に発展させたのがいけなかったです( Ꙭ) 台風もご安心を!
      となると、画像の差し替えはサボれますね……サボろう!

      EnPassの情報もありがとうございます! エラーもらって対応できるよう、やっぱり情報提供してくれるサイトがないと不安ですよね。
      やりすぎセキュリティみたいな(棒
      ありがとうございました∩(・∀・∩

  7. Tub より:

    こんにちは。
    このサイトを参考に少し前にBitwardenとAuthyを導入してみました。
    (解説は非常にわかりやすかったです、書いていただきありがとうございます。)
    いくつかわからないことがあるので、質問させてください。
    既に同じことを解説している記事があったら申し訳ありません。

    1. Bitwardenに突然アクセスできなくなった時に備えて、KeePassにデータをバックアップをしようと考えています。その時、Bitwardenからエクスポートした暗号化されていないcsvファイルを一時的にPCに保存する必要があると思うのですが、これはセキュリティ的に大丈夫なのでしょうか。
    悪意のあるソフトがPCに入っていたら元から終わっているのでそれは考えないとしても、削除したcsvファイルがまだSSD/HDDに残っていて復元ソフトでデータを復元されたり、アンチウイルスソフトやバックアップソフトなど悪意のないソフトがcsvファイルを勝手にネットにアップロードしてしまったりしたら危険な気がします。
    安全なバックアップ方法はありますか?
    UbuntuのLive USBを作ってパスワードバックアップはその環境で行うのが良いかなと考えたものの、Live USB環境でダウンロードしたファイルがどこに保存されるのかよく分からないです。
    (RAMに保存されると思っていましたが、Live USBで設定を保存可能という記事も見かけるのでUSBメモリーやHDDに保存される可能性もある…?)

    2. Bitwarden自体のアカウントの2段階認証を有効化するか迷っています。
    もし有効化したあと、Authyを設定した端末とリカバリーコードを書いた紙を火災や津波などで全て同時に失ってしまったら諦めるしかなくなってしまうのでしょうか?

    • ぷっぷぷっぷ より:

      1. Bitwardenに突然アクセスできなくなった時に備えて、KeePassにデータをバックアップをしようと考えています。その時、Bitwardenからエクスポートした暗号化されていないcsvファイルを一時的にPCに保存する必要があると思うのですが、これはセキュリティ的に大丈夫なのでしょうか。

      Tubさんの言うとおり、一回記憶装置に暗号化されていない状態でどうしても出てきてしまうのは、正しい危機意識です。
      この部分はどうしようもない部分ですね(゚~゚o)
      現状諦めていて、バックアップの記事の方にも注意点として記述しているのでいいかなーと放置しておりました。
      UbuntuのLIVE USBというのは知りませんが、何かあるなら私も知りたいかも!

      2. Bitwarden自体のアカウントの2段階認証を有効化するか迷っています。
      もし有効化したあと、Authyを設定した端末とリカバリーコードを書いた紙を火災や津波などで全て同時に失ってしまったら諦めるしかなくなってしまうのでしょうか?

      ですね(´ε`;) それでも私は有効化!
      Account情報は頭に入っているとして、逃げる際には、

      • リカバリーコードを書いた紙、またはその情報の入ったUSBメモリ(要暗号化)
      • 2段階認証アプリの入った端末

      のどちらかを持って逃げるのが一番お金のかからない最善です。

      1. 外出時に被災 → 家にリカバリーコード → スマホは手元にある
      2. 外出時に被災 → 家にスマホとリカバリーコード

      1.はスマホからログインできるようにしている人が大多数なのでほぼ大丈夫だとして、2.を防ぐには「高層階に住む」・「滅多に外出する必要のないパソコン関係の仕事(所持して避難できる可能性が高い)」の構築しか今のところ最善に近いかも。
      つまりお金!

      他には津波が広範囲攻撃なので、防げるのが銀行の貸し金庫(セレブ用)とか近くかつ不動(流される可能性アリ)だと思われるものしかないです。
      ここらへんはbitwardenやKeePassでできないので、他で固める形がいいでしょう。
      土砂崩れ対策も家からやらないと、何も防ぎようがないシリーズかも。

      火事も同じような感じですが、別の場所に預ける……現実的には実家など信頼できる友人でしょうか。
      それでもその家に泥棒に入られると最悪極まりないので、KeePassの入ったUSBメモリではなく(突破される可能性がある)Authyだけ入ったゴミのような端末かリカバリーコードだけ(一つだけじゃなんの役にも立たない)を置いておくといいです。
      敷地内の土に湿気を完璧に防いで埋めるといったものや(ジップロックでも大丈夫なのか不明。税金逃れみたいなことしててなんかヤダ)、サマリーポケットなど月額で安いものに預けるのもいいですが、この貸し倉庫精密機器NGですのでリカバリーコードしか預けられず、USBメモリや2段階認証の入った端末は預けられないので注意( Ꙭ)

      といった感じで、同時に失わないよう家をどうにかするといったことになりそうです。

      • Tub より:

        返信していただきありがとうございます!

        > UbuntuのLIVE USBというのは知りませんが、何かあるなら私も知りたいかも!

        ごめんなさい、勘違いしていたようです。
        調べてみたら、

        Live USB: 普通にHDDにOSをインストールするのと同じ手順でOSをインストールしたUSBメモリ、再起動してもデータはUSBメモリに残る
        インストール用メディア: OSインストールなどのために使用する仮環境を起動できるメディア、再起動するとデータが消える

        ということみたいです。
        (参考にしたページの一つ: https://blog.mktia.com/how-to-make-ubuntu-live-usb/ )

        自分が言いたかったのはLive USBではなく、「インストール用メディア」でした。
        Ubuntuのインストール用メディアを作ってそこから起動し、Try Ubuntu without installingを選択すれば、信頼できないソフトが入っていない+ファイルがRAMにしか保存されない環境ができるので、暗号化されていないcsvをダウンロードしても安全かなと考えました。
        まだ間違っていたら申し訳ありません。

        > 2段階認証

        やはりアクセス不能になる可能性はありますか…。
        自分は学生なので大胆なことはできませんし、書いていただいたような災害対策をできるようになるまでBitwarden自体の2段階認証は使わないことにしようと思います。 (フィッシングなどが怖いですが。)

        • ぷっぷぷっぷ より:

          えっ( Ꙭ)
          LIVE USBってもしかして差し込んでそこから起動させればUbuntu、そこから起動させなければWindowsを使うことができるものなのかな。
          これすごい興味あるから後で調べておこう∩(・∀・∩(そんな簡単にOS選択できると思ってなかった)

          自分が言いたかったのはLive USBではなく、「インストール用メディア」でした。
          Ubuntuのインストール用メディアを作ってそこから起動し、Try Ubuntu without installingを選択すれば、信頼できないソフトが入っていない+ファイルがRAMにしか保存されない環境ができるので、暗号化されていないcsvをダウンロードしても安全かなと考えました。

          Ubuntu自体何も知らないので、詳しくは何も答えられないのです(´ε`;)
          もしその環境ができるとしたら私にも「まっさらで安全にしか見えない」です!

          2段階認証がなくてもbitwardenには意図的に負荷をかける設定や、マスターパスワードに自信があるなら普通のサービスより全然マシのはずです。
          ましてやUbuntu使いはセキュリティ上位勢だと思いますし、大丈夫な可能性は高いと思いますと後押ししておきます∩(・∀・∩

          • Tub より:

            > LIVE USBってもしかして差し込んでそこから起動させればUbuntu、そこから起動させなければWindowsを使うことができるものなのかな。

            そうです。(さっき試してみました。)
            インストール用メディアから起動すると再起動後にデータが消える、Live USBは再起動してもデータが消えないというのも合っていました。多分…。

            余談: 複数のOSが入ったLive USBを作ればマルチブートできるかなと思い、USBメモリにUbuntuとRaspberry Pi OSのPC版をインストールして (USBメモリにUbuntuとRaspberry Pi OS、SSDにWindowsという状態) 試してみましたが、それはできませんでした。 そもそもUSBでマルチブートができないのか、インストール方法やOS選びが悪かったのかは分かりません。できたら面白そうなので色々やってみます。

            > 2段階認証がなくてもbitwardenには意図的に負荷をかける設定や、マスターパスワードに自信があるなら普通のサービスより全然マシのはずです。
            ましてやUbuntu使いはセキュリティ上位勢だと思いますし、大丈夫な可能性は高いと思いますと後押ししておきます∩(・∀・∩

            マスターパスワードはパスワードジェネレータで生成したそこそこ長いもので反復回数も多めに設定してあるので辞書攻撃や総当り攻撃は大丈夫だと思っています。
            それよりも、複雑さは関係ないフィッシングやキーロガーなどが怖い…。
            自分は信頼できないフリーソフトや拡張機能をポイポイ入れてしまうようなダメな人なので、セキュリティ上位勢とは言えないと思います。(´・ω・`)
            Ubuntuは使うだけなら誰でもできますし..

            • ぷっぷぷっぷ より:

              キーロガー確かにずっと存在していて嫌だなー(´ε`;)早く過去の遺産になってくれないかな……

              マルチブート……じゃなくて私はデュアルブートにすっごい興味があるので(初めて知りました)、これはロードマップ行きー∩(・∀・∩

  8. からす より:

    初めまして。
    いつも貴サイト様には大変お世話になっております。

    この記事を参考にして、早速Bitwardenを導入してみました。
    とても使い勝手もよく、感謝しております。

    Bitwardenのリカバリーコードの扱いについて少し悩んでおります。
    記事中で『BitwardenのリカバリーコードをBitwardenで保管しても、多分意味はある』と書いておられます。
    私も最初はこの通りにしようかと思ったのですが、そもそもリカバリーコードは2段階認証ができないときのために使うものだという風に認識しております。
    その上で、Bitwardenに保管するということは、「そもそも2段階認証なしでアクセスできる端末が手元にある以上はリカバリーコードを使う状況が起こらないのではないか」と考えた次第であります。

    ぶっきらぼうな聞き方となってしまいますが、BitwardenにBitwardenのリカバリーコードを保管したとして、それを使うシチュエーションというのは起こりうるものなのでしょうか?

    読みづらい文章となってしまって大変申し訳ありません。
    よろしければ返信のほどお願い致します。

    • ぷっぷぷっぷ より:

      Bitwardenにログインする際、2段階認証コードを入力する欄の下に「情報を登録する」という欄にチェックを入れることで、同じ端末でログインする限り2段階認証の入力を一定期間スキップできます
      これは別のサービスでもよくあるやつですね∩(・∀・∩
      例としていつもはパソコンでログインしている=パソコンでのログインでのみ2段階認証が一定期間スキップされるとして、
      スマホを紛失してリカバリーコードを見なければならない場合、いつもログインしているパソコンのみ2段階認証がスキップされる状態なので、Bitwardenにあるリカバリーコードを閲覧できるチャンスを残すことができます。
      この効果1つしかメリットはないのですが(想像できるのがこれくらい)、Bitwardenに置いたところでほぼ意味がないわりにソコソコ良い効果なので、適当に入れておくといいです!(リカバリーコードを盗まれたとしても、それはすでにBitwardenに侵入されているため)
      当然リカバリーコードは別の何か……やりすぎセキュリティ的にはKeePassあたりに突っ込んでおくといい感じだと思います( ・ω・)/
      ややこしい話ですみません(´ε`;)

      • からす より:

        ご返信ありがとうございます。m(__)m

        >スマホを紛失してリカバリーコードを見なければならない場合、いつもログインしているパソコンのみ2段階認証がスキップされる状態なので、Bitwardenにあるリカバリーコードを閲覧できるチャンスを残すことができます。

        確かに! 言われてみればその通りでした。
        もしスマホをなくして、2段階認証を無効化したくても、WebからBitwardenにアクセスするとき2段階認証を求められますしね。その時、拡張機能からなら2段階認証が必要ないため、そこでリカバリーコードを見て、無効化の申請をするチャンスができるわけですね。

        >当然リカバリーコードは別の何か……やりすぎセキュリティ的にはKeePassあたりに突っ込んでおくといい感じだと思います( ・ω・)/
        2段階認証についての別記事で、そのことについても触れてあったため検討しておりました。BitwardenのリカバリーコードをKeePassに保存して、KeePassに何かあったときのリカバリーコード的なものはどこに保存すればいいんだ…?と堂々巡りになってしまって、一旦考えるのをやめてしまいましたが(;’∀’)

        お早い返信ありがとうございました

        • ぷっぷぷっぷ より:

          いえいえ!
          このようなややこしすぎるテクニックは結構聞かれるので、これからもどんどん聞いてOKです∩(・∀・∩
          ※現在コミュニティ作成(もう出来てるけど非公開:設備投資ごっこ)でセキュリティテクニックを聞く場所みたいなところを別に作成しているので、見やすい位置に案内を置いてもっと聞きやすく・見やすくする予定です。

  9. からす より:

    先日はご回答ありがとうございました。

    Bitwardenを使う上で、どうしてもクラウドの性質上、情報漏洩することが気がかりです。
    そこで、Bitwardenと併せて他のパスワード管理ソフトを使い、パスワードをそれぞれに半分ずつ入れるという案を考えました。

    使う度に2つのパスワード管理ソフトにアクセスしなければならないため、手間は増えてしまうのですが、こうすればBitwarden+他のパスワード管理ソフトが同時に情報漏洩を起こさなければ大丈夫だと思いました。

    もしよろしければ、この案についてどうお考えになられるかコメントを頂戴してもよろしいでしょうか。
    要領を得ない質問で、お手間をおかけ致しますこと、先にお詫び申し上げます。

    • ぷっぷぷっぷ より:

      KeePassの記事ですが、私はKeePassとBitwardenを併用しているので逆のことをすれば行けます!
      この方法は他の方もこっそりやっているはず(以前にもコメントで会話した記憶がある)なので、セキュリティ意識の高い人は気にかけている悩みですね(゚~゚o)
      参考【問題】KeePassのクラウド同期、紛失したらどうなる?
      ※この記事を再度見てみるとややこしい上もっとわかりやすく今であれば書き直しできるので(しません)、あんまり見る必要ないかも。

      また、LastPassが何回か漏洩騒ぎを起こされていますが、基本的に裏口から漏洩されても正面でなければ暗号化されている状態となっているはずのため、パスワード変更の猶予は年レベルであるはずです(実際に暗号化されていることを保証はできませんが)。
      なので、利便性を犠牲にしないのであれば

      • Bitwardenメイン → 併用最低限情報LastPass(簡単にできる)
      • Bitwardenメイン → 併用最低限情報KeePass(クラウドの設定はややこしいけどクラウド会社を選べる&ローカルも可能)

      となっています!

      基本的に何らかの端末を紛失して別の端末からログインすることを想定しているため、結局はクラウドを使うことにはなる。

      ※1Passwordは有料なので除外

      Bitwardenと併せて他のパスワード管理ソフトを使い、パスワードをそれぞれに半分ずつ入れるという案を考えました。

      あ、よく読んでなかった(´ε`;)
      半分はちょっとイマイチなような。
      私の例を出しますので、なんとなく参考にしてください。

      • パソコンからのKeePassはSyncクラウドに保存
      • スマホは落としやすいため、最小限のデータしか入っていないスマホ用KeePassを別に作成してDropboxに保存。Argon2なので落としてから年くらい放置しても余裕と判断(寿命までいってほしいけど絶対途中で新技術がでてくるので注意 量子とか?)
      • パソコンやスマホを同時に災害などで失った場合 → あらかじめ準備しておいたBitwardenにクラウドログイン情報を保存しておく(2段階認証はあえてしないか、気合でどうにかする:難題)→ クラウドにKeePassがあるのでKeePassを開ける

      という形で、半分ではなくスマホ用とパソコン用でデータをわけるといいかも。
      パソコンばっかり使う人はスマホでAmazon情報いらなかったりするので、主にパソコンで作業するアカウント情報を消しまくります!
      また、漏洩された方に登録していたアカウント情報が完全に解読されて侵入されたとしても、2段階認証が仕事をしますので時間稼ぎは有効です。
      これはもう2段階認証を褒めちぎるしかありません。ブチブチ

  10. madao より:

    Bitwarden関連の記事を読ませていだだき、PC関係に疎い自分でもなんとか導入できました。
    大変分かりやすい説明に助かりました。ありがとうございます。

    • ぷっぷぷっぷ より:

      セキュリティが爆発的に向上するのに導入が難しく感じてしていない人に押し付けるのがやりすぎセキュリティの趣旨なので、本当にうれしいお言葉ありがとうございます!
      励みになります(*゚▽゚)

  11. tomtom100 より:

    昨今のパスワード漏洩事件であれこれ悩んでいるうちに貴HPにたどり着き、早速BitwardenとAuthyをインストールしてみました。以下の点で良く理解できておらず、アドバイスを頂けたら幸いです。
    1.証券会社(まずSBI証券で試しています)のTopページにてパスワード入力する際、複数アカウントを持っている場合は、最初に自動的に特定のユーザー名とパスワードが自動入力されてしまいますが、その後入力欄を右クリックしてbitwarden→所望のアカウントを選択して入力しています。この手順が一番簡単な手順でしょうか?
    2.Topページではなく、取引画面や契約者情報の変更画面等、いくつかの画面にてログイとは別に”取引パスワード”を請求されますが、これをBitwardenから引き出して入力させる方法はありますか?inputIDでは#pwd3.inputPass02
    カスタムフィールドに登録してみましたがうまく読み出せないです。複数のホームページで本人確認の為、”取引パスワード”の入力を請求されるところも対処の方法が良くわからず、試行錯誤しております。アドバイスを頂けたら幸いです。

    • ぷっぷぷっぷ より:

      私はメインをKeePass・緊急用をBitwardenとして使っているのでうろ覚えで申し訳ありません(´ε`;)

      1. 以前も似たようなコメントをされたことがあったので、これが役に立つかも? マウス無しだとCtrl+Shift+Y → 入力したい項目にTABで移動 → Enter
      2. SBI証券に土足で上がり込めないので推測ですが、以下の総当りでテスト

      カスタムフィールドを「テキスト」の「名前」部分に以下総当りでテスト入力。

      • pwd3
      • .inputPass02
      • inputPass02

      入力したい取引パスワードを「値」に入力でどうなりますか?
      大体は「名前」に入力したい項目をF12のデベロッパーツールで覗き見し、その項目にカーソルをあわせた状態で表示される「ID」を「名前」に入力するといけるはず!

      • tomtom100 より:

        ぷっぷさん、アドバイスありがとうございます。結局”ログイン”とは別に”取引”なるフォルダを作り、カスタムフィールドにtr_passで行けました!複数口座も入力欄右クリック→Bitwarden→希望のフォルダ選択で対応できました。ご報告まで。Bitwardenやみつきになりますねw

        • ぷっぷぷっぷ より:

          ガ━━(゚Д゚;)━━ン!
          なにはともあれ解決してよかったです?

          Bitwardenやみつきになりますねw

          いやいや!KeePassだって負けていませんよー∩(・∀・∩
          自動入力ショートカットを入力時に毎回入力する必要はありますが、ログインは自動で押せるし、拡張機能はいらないし、今回のSBI証券みたいな方法も簡単にできますし、最初の導入の面倒ささえ除外すればすっごくオススメですよ!

  12. にゃんにゃん+ より:

    はじめまして。いつも楽しく読ませて頂いています。参考になることが多く、興味深いです。

    最近気になっていることをぷっぷさんにもお聞きしたくコメントしますね。

    私は bitwarden を使用してます。特徴の一つにオープンソースがありますが、セキュリティの観点からは本当に安全か疑問に思う時もあります。
    ソースを世界中に公開することは、プライバシーや製作側の信頼性向上に寄与します。ですがそれは同時に犯罪者にも自宅の全構造を公開してるとも言えます。
    多くの善意な人は脆弱性をもし見つけたら報告し、問題を解決するでしょう。ですが、悪意ある人はそれを利用して悪さを企むのではないか。そんなふうに思う時もあります。

    たとえ公表してなくても脆弱性を見つけられ攻撃されることはありますが、その頻度や深刻さは大きいものならないか心配です。
    ぷっぷさんの見解を聞かせて貰えれば幸いです。

    • ぷっぷぷっぷ より:

      GitHub(よくソースコードが公開されているところ)自体使わないので仕様がわからないのですが、マージ(誰かが作った「このコードに変更したほうが良くない?」)という提案を許可したら管理者がマージ(合体的な意味)で結合してソースコードを進化させるといったものがあったと思うので、権限による管理は存在していると思います(もしなかった場合マージを勝手にするはず)。
      Wikipediaみたいに誰かが変更したりしあったりの応酬になった話とかも聞かないですし、選ばれた人(権限を持っている人)しか最終的には処置できない仕様だと思います。
      ※GitHubの仕様を一切知らない人の回答のため、話半分で聞いてください。
      参考Organization のリポジトリ権限レベル – GitHub Docs

      なので、最終的には管理者による「このコードにバックドア仕掛けられてないよね?」チェックはあると思います。
      といってもにゃんにゃん+さんの懸念は大変よくわかります。
      その場合、非公開コードの実質なんでもありデメリットと比べて「どっちがいいか」で判断するといいです(世間的にはオープンソースがセキュリティポイント高め)。

      もちろんオープンソースではないものを完全否定しているわけではなく、あるんだったらオープンソースが一番生活しやすいと思います(全部オープンソースにするとほぼ代替品なので妥協が生じる)。
      また、オープンソースによる誰でも閲覧の数の暴力で、脆弱性発見と進化はオープンソースのほうが早いような気がしています(感想)。

    • 横からコメント より:

      「オープンソースだから安全」、「クローズドソースだから安全」、どちらも時々に見かける話ですが、まあそんな単純な話はありません。クローズドソースであってもIEやFlash Playerのように、たまに深刻なゼロデイ脆弱性が発見されるものありますし、オープンソースも同様です。
      結局のところ、セキュリティにちゃんとコストを費やして開発しているか、という話に尽きます。
      オープンソースの一番の優位点はやはり理論上自分でソースコードを検証できることでしょう。その技術に長じていればちゃんとコードを読まなくともざっくり見た感触で、ある程度品質がわかるかもしれません。ただしこれは私のような非技術者には関係ありません。
      となると、非技術者にとっては自分以外の何かを信頼する必要があります。
      何を信頼するか、というのはいろんな基準がありえます。複数の要素を総合して自分なりに判断するしかないですね。オープンソースだと開発状況もかなりオープンなことが多いので、判断材料を得やすいというのも良いところです。
      私は「ローカル保存ゆえに攻撃手段が非常に限定される」「オープンソースかつコミュニティに熱気があるため悪意のあるコードはまず混ざっていない」という点でKeePassを使っています。Bitwardenに関しては、バグ報償金プログラムを設けていたり、外部セキュリティ会社による監査が複数回行われていたりすることが、良い判断材料になりそうです(中身は読んでないのでちゃんとした監査なのかは知りません)。
      なお、にゃんにゃん+さんは「悪意ある人はそれを利用して悪さを企む」ことを心配されているようですが、一般論として、素直に報告して報償金をもらった方が得になれば、悪用の可能性は大きく下がるでしょう。

      • 横からコメント補足 より:

        ダメな信頼例。

        有名セキュリティ企業が作ったパスワードマネージャーだから信頼できる。オープンソースではないから攻撃方法も見つけづらいはず!

        グーグルのProject Zero、トレンドマイクロのパスワード管理ツールの脆弱性を報告
        https://japan.zdnet.com/article/35076105/
        > 任意のコマンド実行を可能にするものを発見するまでに30秒程度しかかからなかった。
        > 前代未聞のとんでもない作りだ
        > 何と言ってよいか分からない。しっかりしたセキュリティコンサルタントの監査を受けずに、こんなものを『デフォルトで』すべての顧客のマシンにインストールするなんて
        > インターネット上のどこからでも、すべてのパスワードをこっそり盗めるだけでなく、ユーザーの関与なしに任意のコードを実行できるようになっている。

        注:トレンドマイクロは日本シェア1位のセキュリティソフト、ウイルスバスターの開発会社

      • にゃんにゃん+ より:

        お二人からもコメント頂けて嬉しいです。ありがとうございました!
        たしかに「オープンソースの管理」という点は私はよく理解してませんでした。プログラミングしてないので見る機会など hosts ファイルくらいなので笑

        報奨金制度は効果があると Apple 社が脱獄対策に使って証明したことがありますね。また数の暴力による高速進化も非公開の所より早いのは違いないです(かわいそうなので Flash くんには触れません)。

        オープンソースだろうが無かろうがリスクはある。正しい知識と理解を持ち、対策を取る。セキュリティ全般に言えることですね。
        とても参考になりました。ありがとうございます。まあ冷静に考えて、オープンソース側も無対策で放置するはずありませんよね笑(管理が放棄されていなければ)

        • ぷっぷぷっぷ より:

          あー(´ε`;)
          オープンソースあるあるとして「更新が急に止まる」がありますので、そこは本当に注意してください。
          大体「ないと困る」系は分岐とかして復活しますけど、それでも復活までにかなりの年月かかるのもあるあるです。
          流石に更新が1年以上超えてしていないのなら「これは代替を探さなければ」となりますので、その時は面倒ですが乗り換えしましょう!

          バグ報償金プログラムは本当に素敵なプログラムで、悪い人視点から見れば

          • 人集めなくていい
          • 自分だけができればすぐお金GET
          • 要するにお手軽

          なので、組織系以外には効果ありそうで本当に素敵システム(*゚▽゚)

      • ぷっぷぷっぷ より:

        かっこいい横からのコメントありがとうございます!
        「コードが読めない場合は他の要素で信頼するしかない」というすっごいわかりやすいスマートな回答を、今後パクらせていただきます∩(・∀・∩

  13. セキュリティ猫 より:

    はじめまして。こちらのサイトの記事などを参考にパスワード管理ソフトや2段階認証アプリを使い始め、快適にセキュアライフを送っています。

    Bitwardenをパソコンとスマートフォン両方で使用していますが、こちらの記事にある通りパソコン版では生体認証が使えずログインが少しだけ面倒…
    と思っていたのですが、Bitwardenの公式サイトによるとデスクトップ版ではWindows、MacOSともに既に対応済みのようです。
    さっそくデスクトップ版で生体認証を有効にして使ってみましたが、スムーズに認証されました。

    Say Hello to Windows Hello and Touch ID in the Bitwarden Desktop App
    https://bitwarden.com/blog/post/introducing-desktop-biometrics/
    Unlocking with biometrics
    https://bitwarden.com/help/article/biometrics/

    ブラウザ拡張機能では未対応ですが、これも対応を検討しているそうです。

    もしかしたら既に把握されているかもしれませんが、記事に記載が無かったのでこちらに書き込ませていただきました。

    • ぷっぷぷっぷ より:

      リンク先まで丁寧な情報提供感謝します∩(・∀・∩
      普通に気づいていなかったので、明日かできれば今日追記させていただきます!
      ちゃんと生体情報をBitwardenでは受信しないとも書いてあるー

      • ぷっぷぷっぷ より:

        冒頭の部分を多少変更や、新しい章を作成して追記しました。
        パソコンで生体認証
        検索ランク下がって今のBitwardenへ色々と対応しないといけないので、その時にもっと詳しく設定にも対応する予定です。
        ちなみに、セキュリティ猫さんはWindowsの指紋認証で登録できたのか、まだ見ていたら教えてもらえると助かります∩(・∀・∩

        • セキュリティ猫 より:

          Windowsを使っていますが、設定で「Windows Helloでロック解除」をオンにして一度WindowsHelloで認証すると、次回ソフト起動時から使えるようになりました。
          端末が対応している指紋とPINどちらでも認証ができましたが、この2つの場合はデフォルトでは指紋で認証されるようです。

          もう一つ、個人向けBitwardenプランですが、今はこちらのサイトの記事の内容と異なっているようです。
          記事作成以降に料金体系の変更があったのだろうと思いますが、一応こちらもお知らせしておきます。

          あと最近使っていて気づいたのですが、Firefoxブラウザ拡張版だとプライベートウィンドウでBitwardenがうまく機能しないらしく、地味に面倒くさいですね…
          Extension won’t load in Firefox’s private mode
          https://bitwarden.com/help/article/extension-wont-load-in-private-mode/

          • ぷっぷぷっぷ より:

            やっぱり指紋認証できるのですね!公式にHelloしか書いてないから不安になっちゃった(´ε`;)
            PINはいいや!

            もう一つ、個人向けBitwardenプランですが、今はこちらのサイトの記事の内容と異なっているようです。
            記事作成以降に料金体系の変更があったのだろうと思いますが、一応こちらもお知らせしておきます。

            差し支えなければ、どこの部分が変更されているか教えてもらえますでしょうか?
            プランと価格を見ましたが、特に変わっている部分がないような……。

            Firefoxのプライベートウィンドウの件は、聞かれたら思い出します!
            それにしても、この問題の「この記事は役に立ちましたか?」の評価低すぎ( Ꙭ)
            冒頭でFirefoxの問題のって書いてあるのに。

            • セキュリティ猫 より:

              そのリンク先の下の表にある「Max Users」が組織に追加できる人数ですよね?
              個人向けのFreeと、$10/年のPremiumはMax Usersが1人(組織向け無料プランに準じて2人?)となっていて、$40/年のFamilyが最大6人となっているように読めます。
              企業向けも$3/月のTeams、$5/月のEnterprise(いずれも1人あたり)となっていて、こちらもサイト記事(https://excesssecurity.com/bitwarden-organization/)と異なっているように思ったので…
              私の思い違いだとしたらすみません。

              • ぷっぷぷっぷ より:

                思い出した∩(・∀・∩
                「【家族・組織対応】パスワードをbitwardenで共有管理」で紹介しているプランは個人向けプランを2つ用意して、それをビジネスプランで合体させる方法です!
                なので、個人向けだと一人しか使えないため家族では使えないけど、家族を組織として扱ってビジネスプランを使う作戦の記事だということを思い出しました。
                このままで大丈夫そうです。
                完全に忘れてたけど(´ε`;)
                でも、ビジネスプランの無料は2人までですが、正真正銘の家族プランは5人から6人に増えているので、ここの部分は訂正します!
                ※値段も違った……家族プランは前まで一人1ドルだったけど、現在は6人までで月3.33ドル。3人までは値上げ、4人以上は結構な値下げ。

  14. たっこ より:

    ぷっぷさんはじめまして。

    当方はwindows10でEdgeを使用しております。
    パスワード管理ソフトの導入を考えてこちらにたどり着きました。
    と、いってもかなり初心者というか、シロートです。
    笑われるような質問になるかと思いますが、ご教授お願いします。

    例えばAmzonにログインするときユーザー名(Eメールアドレス)を入力し、
    次にパスワード(仮に1234とします)を入力してログインします。
    Bitwardenを導入してその設定するときに、Amazonのユーザー名とパスワードを記録すれば、次回からはAmazonにログインするとき、自動でユーザー名とパスワードが入力されてログイン出来る。ということでよろしいでしょうか?

    もしそうならば、Edgeにも同じように自動でログイン出来る機能があるので、Bitwardenを導入する必要があるのかなと思ってしまいます。これが1つめの疑問です。

    2つめの疑問はBitwardenにはパスワードの自動生成機能があると言うことですが、Amazonのパスワードは1234なので、不安だから自動生成を使用して、自動生成されたパスワードが「gHp%39@」となったとします。そしてAmzonをログアウトして、またログインするときは、自動でユーザー名とパスワード「gHp%39@」が入力されてログイン出来るということでしょうか?

    そしてやっぱり「gHp%9@」は短いからもっと長いパスワードを自動生成して「bp97B`%nk:ggDs」なってそれを使うなどと言った使い方も出来るのでしょうか?

    ちょっと自分でも上手く伝えることが出来なくてすみません。パスワードの自動生成についてご教授お願いできれば助かります。お願いします。

    • ぷっぷぷっぷ より:

      Edgeにも同じように自動でログイン出来る機能があるので、Bitwardenを導入する必要があるのかなと思ってしまいます。これが1つめの疑問です。

      1. ブラウザがEdgeに制限される

      ってだけかな(゚~゚o)
      パスワード平文保存とか端末に侵入されなければどうでもいい話なので、多分ブラウザEdge縛りになっちゃうしかないですね。
      ※エクスポート(書き出し)でブラウザの移転は結構簡単だろうけど、同じブラウザじゃないと同期されないから面倒。

      実際にパスワード管理部分がオープンソースなのかは知らないですが、EdgeもMicrosoftとはいえオープンソースですし、ブラウザ付属のパスワード入力が一番使いやすいのも事実です。
      「今すぐ乗り換えよう!」な人はどちらかといえばお金を払って他のパスワード管理ソフトを使っている方向けですね。
      今はどうかはわかりませんが、Google Chromeと同じ仲間であるEdgeもChromeと同じ仕様だと思われ(パスワード平文)、パソコン・スマホに侵入されないように扱えるのであればブラウザのパスワード管理でOKです。
      参考危険と言ったのは誰だ!GoogleChromeでパスワード管理
      ※共有PCなど誰でも触れる端末は100%ブラウザのパスワード管理はおすすめできません。
      早い話、危険な使い方をすると危険で、危険じゃない使い方をすれば危険ではない最低限の知識は持っていないといけないのがブラウザ付属系です。

      2つめの疑問はBitwardenにはパスワードの自動生成機能があると言うことですが、Amazonのパスワードは1234なので、不安だから自動生成を使用して、自動生成されたパスワードが「gHp%39@」となったとします。そしてAmzonをログアウトして、またログインするときは、自動でユーザー名とパスワード「gHp%39@」が入力されてログイン出来るということでしょうか?

      そしてやっぱり「gHp%9@」は短いからもっと長いパスワードを自動生成して「bp97B`%nk:ggDs」なってそれを使うなどと言った使い方も出来るのでしょうか?

      「Bitwardenに登録したパスワードを変更したら、AmazonのパスワードもBitwardenに新規作成したパスワードに変更される」ということでしたら「NO」です。
      Amazonのパスワードも変更する必要があります。
      どこのサービスも同じですがAmazonで解説。

      1. Amazonにログイン
      2. パスワード変更画面へ
      3. 新しいパスワードを入力する際、Bitwardenでパスワード新規生成
      4. それをAmazonに登録
      5. 拒否られずに登録できたらBitwardenのAmazonパスワードをそのまま上書き保存
      6. 過去のパスワードは履歴で確認できるので、万が一上書きしても問題なし

      「該当サービスでパスワードを変更する手続きをして、その際にBitwardenで作成したパスワードへ上書き」という流れになります∩(・∀・∩
      また、現代のパスワード強度トレンドは「記号含めた文字列」ではなく単純に「文字数」となっているので、文字数さえ多ければ大体なんでもいいです(安易なものはさすがにNG)。
      私はできる限り32桁以上にしているので(やりすぎ)、対応していればソレくらい入れるといいです。

      弾かれた場合はどんどん減らしたりしてOK!
      手動入力するかもしれないルーターパスワード系から記号を取っ払っちゃってもOK!
      日本のサービスでパスワードを登録する際、8文字までしか対応していない場合モニターを割ってもOK! オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.

      • たっこ より:

        ぷっぷさん、ご教授ありがとうございました。

        Bitwardenの自動生成の使い方よくわかりました。(これが一番知りたいところでした。)
        Bitwarden導入に傾いてきました。

        ところで、パスワードの使い回しは良くないといわれていますが、
        私は40ほどのサービス(アカウント)を利用しています。
        (実際同じものを使い回してるサービスもあります。)

        Bitwardenの場合、例えば18桁以上の強固な「マスターパスワード」があれば
        それら40のサービスも同じパスワードでもかまわないと考えてしまいそうですが、
        やはりそれぞれ別々のパスワードにするべきでしょうか。

        一つの方法として、それら40のサービスをすべてBitwardenのパスワード自動生成
        で、管理するというのもアリかと思ってしまいます。

        ぷっぷさんはどのようにして、サービスのパスワードを管理しておられますか?
        参考にさせて頂きたいので、良かったヒント、ご教授お願いします。

        • ぷっぷぷっぷ より:

          必ず別にしてください!
          Bitwardenがかなり安全でも、利用しているサービスでパスワードが漏洩した場合、そのサービス以外も大急ぎで変更しなきゃいけないのです(´ε`;)
          ※使い回しは漏洩してすらいないサービスに侵入されることがあり、被害者は気づかずサービス側にすごく迷惑。
          「同じパスワードは絶対存在させない」という方針はずっと守る必要があるため、思い出した過去のものからコツコツパスワード新規自動作成で埋めていきましょう∩(・∀・∩

          また、メールアドレスやユーザー名は基本的に使いまわして構いません。※公開情報のため
          コンパクトにするなら、プライベートとその他の2つのメールアドレスを持っているだけで、プライベートとビジネスとかが紐付けされず誰かわかりにくいのでおすすめ。
          例:匿名SNSのメールアドレスがどこかで漏洩! → プライベートと一緒にしていたから匿名なのにバレちゃった! がかなり緩和できる。

          ここから「ぷっぷイチオシ」の優良ヒント。

          すでに迷惑メールが届いているメールアドレスは漏洩済みのため、パスワード変更時にメールアドレスも新しいものに変更するといいです(地獄)。
          さらに、該当サービス利用中に電話番号変更や引っ越しなどで住所変更した際「どのサービスで変更前の電話番号や住所を使っていたか」検索できるようメモ欄に何かわかるような文章を入れておくと、未来で「ぷっぷナイス!」となることでしょう。
          例:「電話番号090-……」 ・「住所入れた」
          ※Bitwardenのメモ欄は検索にヒットしなかった気がするけど、該当サービスにログインしなくても過去の電話番号や住所を使っていることがわかり、楽にはなります。

          • たっこ より:

            ぷっぷさん、ご教授誠にありがとうございます。

            やっぱり使い回しはいけないのですね。各パスワードは別々にします。

            (メルアド変更は、なかなか難しいのですが、考えてみます。)

            これで、やっとBitwarden導入することにしました。

            もしかしたら、またご教授お願いのメッセージ送るやもしれませんが、

            そのときはよろしくお願いいたします。

            ありがとうございました。

  15. セキュリティ猫 より:

    Bitwardenの結構大きな機能追加アップデートが来ました!
    組織向けの機能強化もいろいろありますが、個人ユーザーにとってはブラウザ拡張でも生体認証ができるようになったのが大きいですね
    ただブラウザ拡張の生体認証は、ブラウザ拡張単体では機能しないので、そこは注意が必要かもしれません
    あとはデータの暗号化エクスポートと有料アカウント向けに緊急アクセス設定が可能になったようです
    Release Notes | Bitwarden Help & Support
    https://bitwarden.com/help/article/releasenotes/#2021-01-19

    • ぷっぷぷっぷ より:

      おお、これでWindowsHelloを使った生体認証ができるのですね(追記:デスクトップ版はもうできているんでした)。
      jsonと生体認証完全体はサボれないやつじゃーん(´ε`;)
      そろそろBitwardenの良いところのみしか書いていない記事作るべきかなー
      Bitwarden当初よりはるかに人気になったし。

      パソコンで顔認証だとすっごい未来感ある

      追記:パソコンで生体認証

      bitwardenのバックアップ・エクスポート方法

  16. メロン より:

    この記事を見てからBitwarden使ってますが、とても使いやすいですね!
    使っているうちに家族で共有したいパスワードも出てきたのですが、3人以上で共有するとなると無料ではできないんですよね。
    そこで、セルフホストして無料で使えないかと思い調べていると、有料サーバースペックじゃないと動かないようで。。
    それじゃ意味がないと思い探していたところ、機能そのままで軽量化したbitwarden_rsであればGCE(f1-micro1)で動くという情報を見つけました。

    GCE無料枠でbitwardenセルフホストのやり方とか記事にしてもらえると嬉しいです。

    • ぷっぷぷっぷ より:

      うーん、色々面倒で断念してて、低リソース版でもやらないですね……

      • ドメイン用意 年単位でお金がかかる。最安で10年1000円のxyzドメイン?
      • Whoisの説明もしないといけない(個人情報置くから)
      • 2段階認証のついたドメイン業者が日本に存在しない?(CloudflareとNamecheapしか知らない)
      • GCP無料枠の設定自体に前提知識がなく、調査する時間が一番キツイ

      というか、GCP無料枠の権利をテストサイトで使いたいと思っていたので、それも理由にあります。
      サーバー代がかなり安くなるのはメリットなんですが、Bitwarden関係だと他サービスの個人情報説明を省けなくて「、ただ説明して終わり」をしないことを考えると勉強代が大変です。
      というわけで、残念ですがやらない方向で(´ε`;)
      私がすぐにDocker!Ubuntu!とか構築できればいいんですが、Ubuntuの設定もわからないでござる。

  17. あかねこ より:

    以前からサイトをこっそりと拝見させてもらっています。
    ここでお勧めされて以来パス管理はBitwardenにしていたため、PCのブラウザ切り替えのタイミングでアプリによる自動入力にも手を出しました。

    何これしゅごい……(゚∀゚ )

    これがあればブラウザーの自動入力機能をオフにしてもいいんだ……このサイトは自動入力していたのにあのサイトは自動入力できていないとかの設定ミスも避けられるんだ……!
    ぷっぷさん、いや、ぷっぷ神様、ありがとうございます!!

    • ぷっぷぷっぷ より:

      いえいえ、凄いのはBitwardenですよ!∩(・∀・∩

      これがあればブラウザーの自動入力機能をオフにしてもいいんだ……このサイトは自動入力していたのにあのサイトは自動入力できていないとかの設定ミスも避けられるんだ……!

      むむ(゚~゚o)
      アプリによる自動入力=デスクトップアプリのことだと思いますが、こちらに自動入力はないのでブラウザの自動入力は引き続き使うことになるような気がします!

  18. 小林 より:

    いつも記事を読ませていただいております
    今回windows10環境で
    指紋認証によるwindowsの自動ログイン
    さらに指紋認証による
    bitwardenのvaultのロック解除までを設定する際にも
    この記事が非常に参考になりました

    途中で1箇所説明と違う所があり
    bitwarden公式を見てきた結果
    特定のパターンではこの記事の説明通りに
    いかないケースがあると気付きましたので
    どういうパターンがあるのかお知らせしたいと思います

    一度ご検討いただきまして
    記事に補足等していただけましたら
    今後同じパターンで行き詰まった人の参考になるかもしれません

    “パソコンで生体認証”のところの
    ステップ2

    (1)ブラウザ統合を有効にする
    (2)Windows Hello でロック解除

    ここの画面に関してですが
    私の環境下では
    “Windows Hello でロック解除”
    のチェック欄が存在しませんでした
    グレーアウトとかではなく
    まったく存在しない状態です

    もちろんwindows helloの設定は終わっていますので
    いまさらなぜ出ないんだろう?
    バージョンアップか何かで
    windows hello対応が終了したのか?と
    公式ヘルプを調べました所
    以下の記載を見つけました

    https://bitwarden.com/help/article/biometrics/
    Enable Unlock with Biometrics
    ここ(↑)のdesktopタブを選べば下記の一文が出てきます
    Tip
    Windows Users may need to install the Microsoft Visual C++ Redistributable
    before Windows Hello can be turned on in Desktop Preferences.

    ここ(↑)のリンク先であるここ(↓)からダウンロード・インストールを実行
    https://support.microsoft.com/en-us/topic/the-latest-supported-visual-c-downloads-2647da03-1eea-4433-9aff-95f26a218cc0

    この結果 無事”Windows Hello でロック解除”が出てきました
    ご参考まで

    • ぷっぷぷっぷ より:

      これは記述確定ですね。
      明日やっておきます!
      先にテストしてから書いたせいなのかな、飛ばしちゃったと思われます(´ε`;)
      にしても、この記事本当にわかりやすい。
      書いた人センスある。
      ※追記しました!

      • 小林 より:

        早速の対応ありがとうございます

        余談ながら
        「3種類あるけど」の所について

        2021年にもなればほとんどの人は64bitですね

        いまだ32bitなのは
        スペックの見方知らずに安さだけで選んだら売れ残り品掴んじゃった人か
        10年前のパソコンをOSアップグレードで延命措置してる人か
        どちらかだと思います

        で、「ARM64」
        これってそういう種類のCPUがあるんですよ
        CPUと言えば1番インテル、2番AMDみたいな位置づけですけど
        ARMという会社があってCPUを作っています
        ニンテンドーDSとか一部のスマホが採用してます。
        で、他ならぬマイクロソフトがARMを採用しています。
        surfaceってありますよね
        ipadのパクリくさいやつ
        あれが他ならぬARMです

        もちろんCPUが違う
        イコール命令セットが違う
        イコールOSそのものを作り直す必要がありました

        それがwindwos RTですね
        普通のパソコンショップとかじゃ売っていないです
        事実上surface専用のwindowsです
        しかも普通のwindowsよりも制限事項が多くて
        あんま評判よくないです
        wikiでも売れ残っただの在庫処分で大損したとかボロクソ書かれていますね
        (書いたの私じゃないですよ)

        ただ、windows11でまたARM版windowsにも転機が訪れるという
        記事も一部出ていますので
        https://pc.watch.impress.co.jp/docs/column/ubiq/1337627.html

        まあ年末から年明けぐらいには
        何か変化が出てくるかもしれません

        windows10が最後のwindowsとか言ってたくせに
        掌返しするような会社ですからね
        私はそもそも信用していませんので
        windows11もsurfaceも一切興味は無いです(笑

        要はマイクロソフトはスマホ市場でボロ負けしたのが
        よっぽどくやしかったらしいんですよね
        だからこういう未練がましい事をしている

        • ぷっぷぷっぷ より:

          5年以上前と記述してましたけど、5年は最近過ぎましたね(´ε`;)
          10年にしておきます。
          ARMの件は今後次第ということで!
          小ネタもありがとうございます∩(・∀・∩
          それと、「小林さんに教えてもらった」とも追記しておきました。

  19. 匿名 より:

    単純な質問なのですが、
    管理人さんにお聞きしたいことがあったのでコメントさせていたいだきました。

    ①PCから2段階認証設定済みのサービスにログインするとき、認証コードの入力はPC版のAuthyからコピペしていますか?

    ②やはりBitwardenにある認証コード入力機能はセキュリティ的(ID・パスワードとセットになるため)に使わないほうがいいのでしょうか?

    • ぷっぷぷっぷ より:
      1. いえ、スマホ版Authyです!これはパソコンを盗まれた際の時間稼ぎ保険ですね。最近は6桁入力嫌いです……
      2. これも①とほぼ同じ理由ですね。使わないほうが都合が良いのは確かです

      といっても、初心者ほど機種変更の仕方がそもそもわからなかったり、忘れたり十分危ういため、おっちょこちょいな方(いわゆるデジタル音痴)は絶対に一緒にしたほうがいいかな?(゚~゚o)
      私だったらそうしますね!

タイトルとURLをコピーしました