パスワード管理ソフト最強のKeePassを脅かす「Bitwarden(ビットウォーデン)」。
パソコン版に生体認証はなく※2020年7月29日に対応済み(スマホは元々対応)、導入はちょっと早いかもしれないがKeePass以上に伸びしろがある。
オープンソースなのに、
- いきなり日本語対応
- 無料
- 対応端末盛りだくさん
- 自分含めた2人まで家族などと共有可能(有料で増やせる)
- 自社クラウド以外に外部クラウドも選択可能(超上級者向け+専門的なクラウド代)
- 使いやすい
- 利便性
- ただし添付ファイル(免許証画像などで使う)は有料(1GB:追加可能)
を兼ね備えてしまったため、今から使うなら1PasswordやLastPassという選択肢はない。
魅力の方はこちらで述べているので一読されたし。
それでは、「アカウント作成」と「拡張機能(Google Chrome)」・「Webブラウザ」・「デスクトップアプリ(Windows)」の基本的な使い方を説明していく。
自動入力はこのような感じだ。ブックマークで飛べば、そのままポポンっと入力される。
Webブラウザ版以外は日本語化されており非常に使いやすい。
もちろん日本語に翻訳して解説するので、とても優しい記事だ。
仕様
自動入力は拡張機能必須で、Webブラウザ・デスクトップアプリは登録・コピペしかできない。
「Webブラウザ・デスクトップアプリで情報を登録」→「各ブラウザの拡張機能で自動入力」といった使い方になる。
実際のところアカウントを作成すればWebブラウザにログインでき、拡張機能を入れておけば翻訳された状態で情報登録・自動入力できるので、デスクトップアプリを選ぶ意味は薄れている。
拡張機能だけで十分だとは思うが、Webブラウザとデスクトップアプリでの情報登録方法を書いておいたので、迷ったら冒頭の「目次」を活用して飛ぼう。
アカウント作成
公式サイトにアクセスし、「Create a FREE Account(無料アカウントを作成)」をクリック。
公式サイトOpen Source Password Management Solutions | Bitwarden
「メールアドレス」と「マスターパスワード」を入力し、「マスターパスワードのヒント」は基本無視、意味のある文字列なら「自分以外がわからないように」高度なフェイクを使おう。
すると「アカウント作成しました!(英語)」という緑が乱入し、ログイン画面が表示される。
まだログインする必要はないので、このまま読み進めよう。
ちなみに、パスワードのヒントは登録したメールアドレスが必須。
拡張機能をダウンロード
以下のリンクから「お使いのブラウザ拡張機能」をダウンロードしよう。
公式サイトOpen Source Password Management Solutions | Bitwarden
SafariやFirefoxも存在するが、ここではGoogle ChromeのExtension(拡張機能)で紹介する。
インストールすると使い方のページへ飛ばされるが、Chrome右上の①bitwardenマークをクリックしてログインだ。
拡張機能で情報を登録しない方は、このタイミングで次の章「Webブラウザでログイン情報を登録」か、「デスクトップアプリのダウンロード」まで読み飛ばそう。通常拡張機能で困らないが、パソコンで生体認証を使いたい場合はデスクトップ版しかまだ対応していないのでデスクトップ推奨(拡張機能は今後)。
ログインすると「保管庫」の中が表示される。
最初から整理しておけば後々楽なので、先にフォルダを作成しに①「設定」→ ②「フォルダー」へ進む。
右上にある①「+」をクリックし、フォルダの名前を付けよう。
ここではTwitterのアカウント情報を登録する前提で進め、フォルダ名を「SNS」にする。
次に、Twitterログイン画面を開いた状態で①「タブ」に移動し、②「+」か「ログイン情報を追加」をクリック。
出現した登録フォームに情報を入れよう。
「タイプ」でフォームを変えられるが今回は「ログイン」にし、登録情報判別のための「名前」、ログインで使う「ユーザ名」と「パスワード」を入力しよう。
さきほど作成したフォルダに変更し、必要なら暗号化されたメモ欄にバックアップコード・偽名・偽情報などを記入しよう。
追加すると、なんとサイトアイコン(ファビコン)も表示される。
Webブラウザでログイン情報を登録
Bitwarden Web Vaultからログインして「My Vault(私の保管庫)」 ページまで進もう。
「カード」や「セキュアメモ」情報も登録できるが、ここではログイン情報を登録していく。
最初から整理しておけば後々楽なので、先にフォルダを作成しよう。
FROLDERS(フォルダー)横の①「+」をクリックすると「ADD FOLDER(フォルダーの追加)」表示がでるので、名前を入れて「Save(保存)」。
ここでは「SNS」というフォルダを作成し、Twitterアカウントを登録する例で進める。
TYPES(タイプ)の①「Login」を選択し、②「Add Item(アイテムの追加)」をクリックすると登録フォームが出現。
「Name(名前)」にはこの情報だと判別できるものを、「Username(ユーザーネーム)」と「Password(パスワード)」は入力する部分、「URI(URLと同じものだと思ってOK)」にはログインページのURLを入れよう。
さきほど準備したフォルダーを「SNS」に変更し、最後に「Save(保存)」だ。
追加すると、なんとサイトアイコン(ファビコン)も表示される。
デスクトップアプリのダウンロード
まずは公式サイトへアクセス。
公式サイトOpen Source Password Management Solutions | Bitwarden
Windows版を説明するのでDESKTOPのWindowsをクリックし、終わったら「Bitwarden-Installer-○.○.○(インストーラー)」を開こう。
インストール
インストーラーを開くと不安を煽るユーザーアカウント制御が出現するので「はい」をクリック。
「インストール先フォルダを変更する表示」がでるが、とくに何も思わないならそのままインストールを押そう。
セットアップまで日本語表示なのは、すごく珍しい!
これでインストールが終了したので、「Bitwardenを実行」にチェックを入れたまま「完了」へ。
bitwardenが起動したら、アカウント情報を入力して進もう。
デスクトップアプリでログイン情報を登録
「カード」や「セキュアメモ」情報も登録できるが、ここではログイン情報を登録していく。
最初から整理しておけば後々楽なので、先にフォルダを作成しよう。
フォルダー横の①「+」をクリックすると「フォルダーの追加」表示が出現し、名前を入れてフロッピーディスクマークを押そう。
このマークは「保存」という意味だ。
ここでは「SNS」というフォルダを作成し、Twitterアカウントを登録する例で進める。
タイプの①「ログイン」を選択し、②「アイテムの追加」か「+」で登録フォームを出現させる。
「タイプ」を今回は「ログイン」にし、登録情報判別のための「名前」、ログインで使う「ユーザー名」と「パスワード」を入力しよう。
URLも登録しておきたいので、下の方に進んで「URI(URLと同じものだと思ってOK)」に入力、さきほど準備したフォルダーもSNSに変えておこう。
最後にフロッピーディスクマークをクリックして「保存」だ。
登録すると「追加されたアイテム」が緑色で乱入してくる。
なんとTwitterアイコン(ファビコン)まで表示されるようだ。
簡単な使い方・自動入力
それでは拡張機能を開こう。
自動入力はまだ実験中なので、初期設定で有効化されていない。
①「設定」→ 下の方にあるその他の②「オプション」→ ③「ページ読み込み時の自動入力を有効化」にチェックを入れる。
「保管庫」に戻り、さきほど登録したTwitter情報のリンク(開く)をクリックしてアクセスしよう。
- bitwardenマーク
- 保管庫
- フォルダ
- 該当のリンク
- 入力後は手動Enter(エンター)かログインボタンをクリック
上記の動作が基本だ。フォルダわけもジワジワ生きてくるだろう。
もちろんデスクトップアプリやWebブラウザ、さらには直接URLにアクセスした場合も自動入力してくれるので、ブックマークからアクセスすればクリック回数は1回だけだ。
ちなみにAndroidアプリと使用感がほぼ一緒なので、スマホもスムーズに使えるだろう。
2段階認証
この機能は「ログアウト」中か他の端末でログインする際に、「マスターパスワード」と「2段階認証番号」を求めるようにするために使用する。
同じ端末なら「ログアウト」しないかぎり「マスターパスワード」だけなので、煩わしさはない。
Webブラウザからしか登録できないのでログインしよう。
Bitwarden Web Vaultにそのままアクセスするか、
- 拡張機能なら「設定」→「2段階認証」
- デスクトップアプリなら上段に表示されている「アカウント」にカーソルを合わせる →「2段階認証」
で、Web保管庫に進もう。
ログインしたMy Vault(私の保管庫)から「Settings」をクリック。
詳しくは割愛するが、「My Account(マイアカウント)」で名前・メール・マスターパスワードを変更できる。
「Two-step Login(2段階ログイン)」をクリック。
豊富な種類の2段階認証を選択でき、プレミアム以外は「Authenticator App(認証アプリ)」か「Email」のみで、当然のように「Authenticator App(認証アプリ)」をクリックしよう。
ここでもマスターパスワード入力を求められるので入力。
①QRコードを2段階認証アプリで読み取り、読み取れなければQRコードの下にある文字列を入力。
②2段階認証アプリに表示された6桁のコードを入力し、③「Enable(有効)」をクリックしよう。
有効化されると「2段階認証アプリ設定完了表示が出現」するのだが、「Disable」は「無効」という意味なので、隣の「Close(閉じる)」か右上の「×」で閉じよう。
この後に「リカバリーコード」を取得するので、ブラウザは閉じない。
リカバリーコード
バックアップコードともいい、「2段階認証アプリの入った端末を紛失してもログインできるようにする」ため「2段階認証を無効化できるコード」を取得しよう。
「View Recovery Code(リカバリーコードを表示する)」をクリック。
マスターパスワードの入力をして、32桁のリカバリーコードが表示されたらコピー。
もちろんいつも使用している端末が1つしかなく、それを紛失したのなら別デバイス扱いで2段階認証を求められる。
そのような環境はbitwarden以外にも保存しよう。
そして、このリカバリーコードを使用するページは専用のページでしか使えないので、下記リンクも保存しておこう。
リカバリーコード以外にも「メールアドレス」を要求されるので、複雑なメアドならこちらも保存だ。
パソコンで生体認証
2020年11月の時点でデスクトップアプリしか対応していないが、今後は拡張機能も対応していくそうだ。
- Windows(WindowsHello):顔
- Mac:TouchID(指紋)
Windows版に指紋と書かれていないが、「WindowsHelloで認証」みたいな仕様のため、WindowsHelloに指紋を登録すればいける可能性がある……と予想した通りいける模様。
Windowsを使っていますが、設定で「Windows Helloでロック解除」をオンにして一度WindowsHelloで認証すると、次回ソフト起動時から使えるようになりました。
引用:セキュリティ猫さんのコメント
端末が対応している指紋とPINどちらでも認証ができましたが、この2つの場合はデフォルトでは指紋で認証されるようです。
また、生体認証を使えるパソコンがないので、設定方法は使える英語で申し訳ないが公式参照。どうしてもわからなければコメント欄で言ってもらえれば翻訳する。
家族を組織として共有・管理
無料プランは自分を含めた2人まで使え、家族プランなら5人も付いて月1ドルで共有・管理できる。
家族にパスワード管理ソフトを勧めてもまったく使う気を感じられないなら、いずれ自分で管理するといい。そうすることで、自分のセキュリティレベルまで家族を引っ張り上げられる。
もちろんチームや企業の6人以上プランも存在。
完璧への階段
今後パソコンで顔や指紋認証が使えるようになると、自社クラウド以外の弱点がなくなり、同業者を寄せ付けなくなる。※実装済み。
管理者からすれば「考えていないわけがない」が、ただの願望で実装される保証はない。しばらくは適当に使い続け、bitwardenの成長を楽しもう。
以下の画像のように2つ以上の項目に対応させたり、チェック項目にチェックを付けるなら次の記事をどうぞ。
アカウント情報変更や意図的に負荷をかけることができる設定はこちら。
バックアップをするならこちら。
スマホアプリ版も同じような使い方なので、このまま導入してみてはいかがだろうか。
パスワード管理ソフトが完璧でも、めちゃくちゃな使い方をしていれば意味がないので、興味があればこちらの記事を参照されたし。
コメント
匿名さんへ
こちらの設定ミスによるファイアウォールでブロックしまくってしまいごめんなさい!
現在は正常に書き込めるはずなので、今後もよろしくお願いします(´ε` )
Chrome拡張版のエクスポートは右下の「設定」マーク → 中間ほどにある「保管庫のエクスポート」
スマホアプリは搭載されていないので、Web保管庫から「Tools」 → 「Export Vault」でどちらもマスターパスワード入力後、「.csv」を排出できます!
思いっきりバックアップの案内を忘れており、この記事に追記か新しい記事にわかりやすく画像で説明する予定なので、文字だけでわかりづらければそちらの記事が登場するまでお待ちください!
ただ、現在はファイアウォールで弾かれたコメント対応に追われているため、10月になる前目安で進行していきたいと思います。
以下匿名さんの原文。
いつも読ませていただきありがとうございます。
セキュリティ分野で一般の人が読み書きできるところが少なく、更新楽しみにしております。
質問ですがbitwardenはバックアップやエクスポートはできませんか?
クラウド側のトラブルでログインできなくなるのが怖いのですが、自鯖を立ち上げる余裕がないので導入躊躇しています。
Chrome版とスマホ版試しに入れましたが項目見つからないでした。
新たにバックアップの仕方の記事を作成しました!
https://excesssecurity.com/bitwarden-backup/
bitwardenはいいですね。
PCで指紋認証をしようとenpassに乗り換えかけたのですが、なにかの拍子でこちらにたどり着きました。
id manager→roboform→lastpassと放浪してきましたが、bitwardenで落ち着きそうです。
Thank you!
顔認証ではenpassが有利なのかな?
そうですかー見つけてしまいましたね・・・(*´∀`)
_人人人人人人人人人人人_
> オープンソース最強 <
 ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^ ̄
でもbitwardenはPCの指紋・顔認証に対応していないので(記事上はあくまで願望)、そこは注意です!
ちなみに、1ヶ月前にWindowsHelloで指紋認証が議論されているようですけど、なんか発展していないような……。
さらに発掘したら、どうやらWindowsHelloの実装は難しい模様。ちょっと記事訂正しようかな・・・願望が強すぎる(゚~゚o)ウゥーン
それでも私は期待を諦めないけども、投票自体もあまり重要視されていない事項のようで、まだ実装の気配はなさそう(一番多いところが144票なのにWindowsHelloは9票……)。
参考(英語)Support Windows Hello Unlocking
chromeの拡張機能の『タブ』についてですが、
過去入力したのが近い順でパスワードが表示されてしまうのですが、
普通に名前の順で表示を固定させることはできないのでしょうか
う~ん(-“-;) タブがちょっとわからないので確認とりますが、コレのことだと断定して話を進めます。
どこかで固定できず、使用した最新のものが一番上にくるのは「仕様」としてみたような気がするのですが、ハッキリとわかりませんでした。
でもこれのことかなー?
引用Auto-fill logins using the browser extension | Bitwarden Help & Support
拡張機能及びWeb保管庫の設定を調べてみた結果、それらしき設定は見当たらないのでおそらく固定できないのは仕様だと思われます。
ただ、上記の翻訳を見るかぎり「現在」と書いてあるので、もしかしたら仕様変更される望みは残っているのかも(*゚▽゚)
それにしても、画像のように裏アカウントにログインする際、間違えて表のアカウントにログインして事故りそうですね……
私だったら端末ごと、またはブラウザごとに裏アカウントを使用するので、極力人間のバグを回避するような防御を使います!
なんか匿名さんが「裏アカウント使用します」みたいな話になっちゃったけど、現状は我慢して使うしかなさそうー。
どうも、おひさしぶりになります。質問しようとしたんですが、そちらは自己解決しました(^O^;)
色々サイトありますが、以前見やすかったので参考にして今回はいくつか登録してお試しで使っています。
Enpassがちょっと気になりますが、こちらは無料なので不満が出るまでは使ってみようかと。
余談ですが、自分もブラウザごとに用途分けたりしてますw
自分が一番信用できませんからねぇ…
「以前見やすかったので」 !?(゚~゚o)
やはり日本語になったバージョンで、画像差し替えニーズがありますね! あれから結構年月たっちゃってるし、今アクセス数全記事暴落中なので書き直さないと~(´ε`;)
EnpassはすっかりBitwardenのせいで名前を聞かなくなっちゃいましたね。
完全にこのサイトのBitwarden布教活動が響いている気がする!
TwitterとかはChromeだとこっち、Firefoxだとこっち、スマホでは何もしないとか私も徹底しております∩(・∀・∩ (スマホ操作面倒でやりたくない確率90%だけど……)
ヒューマンエラーがヤバいと気づいてからが、セキュリティにどっぷり浸かるきっかけですね!
相変わらずお返事早いですね(^^)
台風来てるし、もし該当地域ならゆっくりしてください←詮索ではないです:D
> 「以前見やすかったので」 !?(゚~゚o)
誤解招いてすいませんm(_ _;)m
「(このサイトを)以前(訪問した時に、全体的に)見やすかったので、(他サイトではなくこちらのサイトを参考にして以下略)」
という感じです。コミュ力底辺ですいません。
せっかくなんで余談置いておきますが(返信不要です)、Enpassは最近のメジャーバージョンアップ(V5系→V6)がよくなかったようです。試してみましたが、自分もいきなりエラー頂いたので調べるのも面倒で辞めました。
良い週末をお過ごしください~(^_^)/~
いえ、私が面白そうなところを勝手に発展させたのがいけなかったです( Ꙭ) 台風もご安心を!
となると、画像の差し替えはサボれますね……サボろう!
EnPassの情報もありがとうございます! エラーもらって対応できるよう、やっぱり情報提供してくれるサイトがないと不安ですよね。
やりすぎセキュリティみたいな(棒
ありがとうございました∩(・∀・∩
こんにちは。
このサイトを参考に少し前にBitwardenとAuthyを導入してみました。
(解説は非常にわかりやすかったです、書いていただきありがとうございます。)
いくつかわからないことがあるので、質問させてください。
既に同じことを解説している記事があったら申し訳ありません。
1. Bitwardenに突然アクセスできなくなった時に備えて、KeePassにデータをバックアップをしようと考えています。その時、Bitwardenからエクスポートした暗号化されていないcsvファイルを一時的にPCに保存する必要があると思うのですが、これはセキュリティ的に大丈夫なのでしょうか。
悪意のあるソフトがPCに入っていたら元から終わっているのでそれは考えないとしても、削除したcsvファイルがまだSSD/HDDに残っていて復元ソフトでデータを復元されたり、アンチウイルスソフトやバックアップソフトなど悪意のないソフトがcsvファイルを勝手にネットにアップロードしてしまったりしたら危険な気がします。
安全なバックアップ方法はありますか?
UbuntuのLive USBを作ってパスワードバックアップはその環境で行うのが良いかなと考えたものの、Live USB環境でダウンロードしたファイルがどこに保存されるのかよく分からないです。
(RAMに保存されると思っていましたが、Live USBで設定を保存可能という記事も見かけるのでUSBメモリーやHDDに保存される可能性もある…?)
2. Bitwarden自体のアカウントの2段階認証を有効化するか迷っています。
もし有効化したあと、Authyを設定した端末とリカバリーコードを書いた紙を火災や津波などで全て同時に失ってしまったら諦めるしかなくなってしまうのでしょうか?
Tubさんの言うとおり、一回記憶装置に暗号化されていない状態でどうしても出てきてしまうのは、正しい危機意識です。
この部分はどうしようもない部分ですね(゚~゚o)
現状諦めていて、バックアップの記事の方にも注意点として記述しているのでいいかなーと放置しておりました。
UbuntuのLIVE USBというのは知りませんが、何かあるなら私も知りたいかも!
ですね(´ε`;) それでも私は有効化!
Account情報は頭に入っているとして、逃げる際には、
のどちらかを持って逃げるのが一番お金のかからない最善です。
1.はスマホからログインできるようにしている人が大多数なのでほぼ大丈夫だとして、2.を防ぐには「高層階に住む」・「滅多に外出する必要のないパソコン関係の仕事(所持して避難できる可能性が高い)」の構築しか今のところ最善に近いかも。
つまりお金!
他には津波が広範囲攻撃なので、防げるのが銀行の貸し金庫(セレブ用)とか近くかつ不動(流される可能性アリ)だと思われるものしかないです。
ここらへんはbitwardenやKeePassでできないので、他で固める形がいいでしょう。
土砂崩れ対策も家からやらないと、何も防ぎようがないシリーズかも。
火事も同じような感じですが、別の場所に預ける……現実的には実家など信頼できる友人でしょうか。
それでもその家に泥棒に入られると最悪極まりないので、KeePassの入ったUSBメモリではなく(突破される可能性がある)Authyだけ入ったゴミのような端末かリカバリーコードだけ(一つだけじゃなんの役にも立たない)を置いておくといいです。
敷地内の土に湿気を完璧に防いで埋めるといったものや(ジップロックでも大丈夫なのか不明。税金逃れみたいなことしててなんかヤダ)、サマリーポケットなど月額で安いものに預けるのもいいですが、この貸し倉庫精密機器NGですのでリカバリーコードしか預けられず、USBメモリや2段階認証の入った端末は預けられないので注意( Ꙭ)
といった感じで、同時に失わないよう家をどうにかするといったことになりそうです。
返信していただきありがとうございます!
> UbuntuのLIVE USBというのは知りませんが、何かあるなら私も知りたいかも!
ごめんなさい、勘違いしていたようです。
調べてみたら、
Live USB: 普通にHDDにOSをインストールするのと同じ手順でOSをインストールしたUSBメモリ、再起動してもデータはUSBメモリに残る
インストール用メディア: OSインストールなどのために使用する仮環境を起動できるメディア、再起動するとデータが消える
ということみたいです。
(参考にしたページの一つ: https://blog.mktia.com/how-to-make-ubuntu-live-usb/ )
自分が言いたかったのはLive USBではなく、「インストール用メディア」でした。
Ubuntuのインストール用メディアを作ってそこから起動し、Try Ubuntu without installingを選択すれば、信頼できないソフトが入っていない+ファイルがRAMにしか保存されない環境ができるので、暗号化されていないcsvをダウンロードしても安全かなと考えました。
まだ間違っていたら申し訳ありません。
> 2段階認証
やはりアクセス不能になる可能性はありますか…。
自分は学生なので大胆なことはできませんし、書いていただいたような災害対策をできるようになるまでBitwarden自体の2段階認証は使わないことにしようと思います。 (フィッシングなどが怖いですが。)
えっ( Ꙭ)
LIVE USBってもしかして差し込んでそこから起動させればUbuntu、そこから起動させなければWindowsを使うことができるものなのかな。
これすごい興味あるから後で調べておこう∩(・∀・∩(そんな簡単にOS選択できると思ってなかった)
Ubuntu自体何も知らないので、詳しくは何も答えられないのです(´ε`;)
もしその環境ができるとしたら私にも「まっさらで安全にしか見えない」です!
2段階認証がなくてもbitwardenには意図的に負荷をかける設定や、マスターパスワードに自信があるなら普通のサービスより全然マシのはずです。
ましてやUbuntu使いはセキュリティ上位勢だと思いますし、大丈夫な可能性は高いと思いますと後押ししておきます∩(・∀・∩
> LIVE USBってもしかして差し込んでそこから起動させればUbuntu、そこから起動させなければWindowsを使うことができるものなのかな。
そうです。(さっき試してみました。)
インストール用メディアから起動すると再起動後にデータが消える、Live USBは再起動してもデータが消えないというのも合っていました。多分…。
余談: 複数のOSが入ったLive USBを作ればマルチブートできるかなと思い、USBメモリにUbuntuとRaspberry Pi OSのPC版をインストールして (USBメモリにUbuntuとRaspberry Pi OS、SSDにWindowsという状態) 試してみましたが、それはできませんでした。 そもそもUSBでマルチブートができないのか、インストール方法やOS選びが悪かったのかは分かりません。できたら面白そうなので色々やってみます。
> 2段階認証がなくてもbitwardenには意図的に負荷をかける設定や、マスターパスワードに自信があるなら普通のサービスより全然マシのはずです。
ましてやUbuntu使いはセキュリティ上位勢だと思いますし、大丈夫な可能性は高いと思いますと後押ししておきます∩(・∀・∩
マスターパスワードはパスワードジェネレータで生成したそこそこ長いもので反復回数も多めに設定してあるので辞書攻撃や総当り攻撃は大丈夫だと思っています。
それよりも、複雑さは関係ないフィッシングやキーロガーなどが怖い…。
自分は信頼できないフリーソフトや拡張機能をポイポイ入れてしまうようなダメな人なので、セキュリティ上位勢とは言えないと思います。(´・ω・`)
Ubuntuは使うだけなら誰でもできますし..
キーロガー確かにずっと存在していて嫌だなー(´ε`;)早く過去の遺産になってくれないかな……
マルチブート……じゃなくて私はデュアルブートにすっごい興味があるので(初めて知りました)、これはロードマップ行きー∩(・∀・∩
初めまして。
いつも貴サイト様には大変お世話になっております。
この記事を参考にして、早速Bitwardenを導入してみました。
とても使い勝手もよく、感謝しております。
Bitwardenのリカバリーコードの扱いについて少し悩んでおります。
記事中で『BitwardenのリカバリーコードをBitwardenで保管しても、多分意味はある』と書いておられます。
私も最初はこの通りにしようかと思ったのですが、そもそもリカバリーコードは2段階認証ができないときのために使うものだという風に認識しております。
その上で、Bitwardenに保管するということは、「そもそも2段階認証なしでアクセスできる端末が手元にある以上はリカバリーコードを使う状況が起こらないのではないか」と考えた次第であります。
ぶっきらぼうな聞き方となってしまいますが、BitwardenにBitwardenのリカバリーコードを保管したとして、それを使うシチュエーションというのは起こりうるものなのでしょうか?
読みづらい文章となってしまって大変申し訳ありません。
よろしければ返信のほどお願い致します。
Bitwardenにログインする際、2段階認証コードを入力する欄の下に「情報を登録する」という欄にチェックを入れることで、同じ端末でログインする限り2段階認証の入力を一定期間スキップできます。
これは別のサービスでもよくあるやつですね∩(・∀・∩
例としていつもはパソコンでログインしている=パソコンでのログインでのみ2段階認証が一定期間スキップされるとして、
スマホを紛失してリカバリーコードを見なければならない場合、いつもログインしているパソコンのみ2段階認証がスキップされる状態なので、Bitwardenにあるリカバリーコードを閲覧できるチャンスを残すことができます。
この効果1つしかメリットはないのですが(想像できるのがこれくらい)、Bitwardenに置いたところでほぼ意味がないわりにソコソコ良い効果なので、適当に入れておくといいです!(リカバリーコードを盗まれたとしても、それはすでにBitwardenに侵入されているため)
当然リカバリーコードは別の何か……やりすぎセキュリティ的にはKeePassあたりに突っ込んでおくといい感じだと思います( ・ω・)/
ややこしい話ですみません(´ε`;)
ご返信ありがとうございます。m(__)m
>スマホを紛失してリカバリーコードを見なければならない場合、いつもログインしているパソコンのみ2段階認証がスキップされる状態なので、Bitwardenにあるリカバリーコードを閲覧できるチャンスを残すことができます。
確かに! 言われてみればその通りでした。
もしスマホをなくして、2段階認証を無効化したくても、WebからBitwardenにアクセスするとき2段階認証を求められますしね。その時、拡張機能からなら2段階認証が必要ないため、そこでリカバリーコードを見て、無効化の申請をするチャンスができるわけですね。
>当然リカバリーコードは別の何か……やりすぎセキュリティ的にはKeePassあたりに突っ込んでおくといい感じだと思います( ・ω・)/
2段階認証についての別記事で、そのことについても触れてあったため検討しておりました。BitwardenのリカバリーコードをKeePassに保存して、KeePassに何かあったときのリカバリーコード的なものはどこに保存すればいいんだ…?と堂々巡りになってしまって、一旦考えるのをやめてしまいましたが(;’∀’)
お早い返信ありがとうございました
いえいえ!
このようなややこしすぎるテクニックは結構聞かれるので、これからもどんどん聞いてOKです∩(・∀・∩
※現在コミュニティ作成(もう出来てるけど非公開:設備投資ごっこ)でセキュリティテクニックを聞く場所みたいなところを別に作成しているので、見やすい位置に案内を置いてもっと聞きやすく・見やすくする予定です。
先日はご回答ありがとうございました。
Bitwardenを使う上で、どうしてもクラウドの性質上、情報漏洩することが気がかりです。
そこで、Bitwardenと併せて他のパスワード管理ソフトを使い、パスワードをそれぞれに半分ずつ入れるという案を考えました。
使う度に2つのパスワード管理ソフトにアクセスしなければならないため、手間は増えてしまうのですが、こうすればBitwarden+他のパスワード管理ソフトが同時に情報漏洩を起こさなければ大丈夫だと思いました。
もしよろしければ、この案についてどうお考えになられるかコメントを頂戴してもよろしいでしょうか。
要領を得ない質問で、お手間をおかけ致しますこと、先にお詫び申し上げます。
KeePassの記事ですが、私はKeePassとBitwardenを併用しているので逆のことをすれば行けます!
この方法は他の方もこっそりやっているはず(以前にもコメントで会話した記憶がある)なので、セキュリティ意識の高い人は気にかけている悩みですね(゚~゚o)
参考【問題】KeePassのクラウド同期、紛失したらどうなる?
※この記事を再度見てみるとややこしい上もっとわかりやすく今であれば書き直しできるので(しません)、あんまり見る必要ないかも。
また、LastPassが何回か漏洩騒ぎを起こされていますが、基本的に裏口から漏洩されても正面でなければ暗号化されている状態となっているはずのため、パスワード変更の猶予は年レベルであるはずです(実際に暗号化されていることを保証はできませんが)。
なので、利便性を犠牲にしないのであれば
となっています!
※1Passwordは有料なので除外
あ、よく読んでなかった(´ε`;)
半分はちょっとイマイチなような。
私の例を出しますので、なんとなく参考にしてください。
という形で、半分ではなくスマホ用とパソコン用でデータをわけるといいかも。
パソコンばっかり使う人はスマホでAmazon情報いらなかったりするので、主にパソコンで作業するアカウント情報を消しまくります!
また、漏洩された方に登録していたアカウント情報が完全に解読されて侵入されたとしても、2段階認証が仕事をしますので時間稼ぎは有効です。
これはもう2段階認証を褒めちぎるしかありません。ブチブチ
Bitwarden関連の記事を読ませていだだき、PC関係に疎い自分でもなんとか導入できました。
大変分かりやすい説明に助かりました。ありがとうございます。
セキュリティが爆発的に向上するのに導入が難しく感じてしていない人に押し付けるのがやりすぎセキュリティの趣旨なので、本当にうれしいお言葉ありがとうございます!
励みになります(*゚▽゚)
昨今のパスワード漏洩事件であれこれ悩んでいるうちに貴HPにたどり着き、早速BitwardenとAuthyをインストールしてみました。以下の点で良く理解できておらず、アドバイスを頂けたら幸いです。
1.証券会社(まずSBI証券で試しています)のTopページにてパスワード入力する際、複数アカウントを持っている場合は、最初に自動的に特定のユーザー名とパスワードが自動入力されてしまいますが、その後入力欄を右クリックしてbitwarden→所望のアカウントを選択して入力しています。この手順が一番簡単な手順でしょうか?
2.Topページではなく、取引画面や契約者情報の変更画面等、いくつかの画面にてログイとは別に”取引パスワード”を請求されますが、これをBitwardenから引き出して入力させる方法はありますか?inputIDでは#pwd3.inputPass02
カスタムフィールドに登録してみましたがうまく読み出せないです。複数のホームページで本人確認の為、”取引パスワード”の入力を請求されるところも対処の方法が良くわからず、試行錯誤しております。アドバイスを頂けたら幸いです。
私はメインをKeePass・緊急用をBitwardenとして使っているのでうろ覚えで申し訳ありません(´ε`;)
カスタムフィールドを「テキスト」の「名前」部分に以下総当りでテスト入力。
入力したい取引パスワードを「値」に入力でどうなりますか?
大体は「名前」に入力したい項目をF12のデベロッパーツールで覗き見し、その項目にカーソルをあわせた状態で表示される「ID」を「名前」に入力するといけるはず!
ぷっぷさん、アドバイスありがとうございます。結局”ログイン”とは別に”取引”なるフォルダを作り、カスタムフィールドにtr_passで行けました!複数口座も入力欄右クリック→Bitwarden→希望のフォルダ選択で対応できました。ご報告まで。Bitwardenやみつきになりますねw
ガ━━(゚Д゚;)━━ン!
なにはともあれ解決してよかったです?
いやいや!KeePassだって負けていませんよー∩(・∀・∩
自動入力ショートカットを入力時に毎回入力する必要はありますが、ログインは自動で押せるし、拡張機能はいらないし、今回のSBI証券みたいな方法も簡単にできますし、最初の導入の面倒ささえ除外すればすっごくオススメですよ!
はじめまして。いつも楽しく読ませて頂いています。参考になることが多く、興味深いです。
最近気になっていることをぷっぷさんにもお聞きしたくコメントしますね。
私は bitwarden を使用してます。特徴の一つにオープンソースがありますが、セキュリティの観点からは本当に安全か疑問に思う時もあります。
ソースを世界中に公開することは、プライバシーや製作側の信頼性向上に寄与します。ですがそれは同時に犯罪者にも自宅の全構造を公開してるとも言えます。
多くの善意な人は脆弱性をもし見つけたら報告し、問題を解決するでしょう。ですが、悪意ある人はそれを利用して悪さを企むのではないか。そんなふうに思う時もあります。
たとえ公表してなくても脆弱性を見つけられ攻撃されることはありますが、その頻度や深刻さは大きいものならないか心配です。
ぷっぷさんの見解を聞かせて貰えれば幸いです。
GitHub(よくソースコードが公開されているところ)自体使わないので仕様がわからないのですが、マージ(誰かが作った「このコードに変更したほうが良くない?」)という提案を許可したら管理者がマージ(合体的な意味)で結合してソースコードを進化させるといったものがあったと思うので、権限による管理は存在していると思います(もしなかった場合マージを勝手にするはず)。
Wikipediaみたいに誰かが変更したりしあったりの応酬になった話とかも聞かないですし、選ばれた人(権限を持っている人)しか最終的には処置できない仕様だと思います。
※GitHubの仕様を一切知らない人の回答のため、話半分で聞いてください。
参考Organization のリポジトリ権限レベル – GitHub Docs
なので、最終的には管理者による「このコードにバックドア仕掛けられてないよね?」チェックはあると思います。
といってもにゃんにゃん+さんの懸念は大変よくわかります。
その場合、非公開コードの実質なんでもありデメリットと比べて「どっちがいいか」で判断するといいです(世間的にはオープンソースがセキュリティポイント高め)。
もちろんオープンソースではないものを完全否定しているわけではなく、あるんだったらオープンソースが一番生活しやすいと思います(全部オープンソースにするとほぼ代替品なので妥協が生じる)。
また、オープンソースによる誰でも閲覧の数の暴力で、脆弱性発見と進化はオープンソースのほうが早いような気がしています(感想)。
「オープンソースだから安全」、「クローズドソースだから安全」、どちらも時々に見かける話ですが、まあそんな単純な話はありません。クローズドソースであってもIEやFlash Playerのように、たまに深刻なゼロデイ脆弱性が発見されるものありますし、オープンソースも同様です。
結局のところ、セキュリティにちゃんとコストを費やして開発しているか、という話に尽きます。
オープンソースの一番の優位点はやはり理論上自分でソースコードを検証できることでしょう。その技術に長じていればちゃんとコードを読まなくともざっくり見た感触で、ある程度品質がわかるかもしれません。ただしこれは私のような非技術者には関係ありません。
となると、非技術者にとっては自分以外の何かを信頼する必要があります。
何を信頼するか、というのはいろんな基準がありえます。複数の要素を総合して自分なりに判断するしかないですね。オープンソースだと開発状況もかなりオープンなことが多いので、判断材料を得やすいというのも良いところです。
私は「ローカル保存ゆえに攻撃手段が非常に限定される」「オープンソースかつコミュニティに熱気があるため悪意のあるコードはまず混ざっていない」という点でKeePassを使っています。Bitwardenに関しては、バグ報償金プログラムを設けていたり、外部セキュリティ会社による監査が複数回行われていたりすることが、良い判断材料になりそうです(中身は読んでないのでちゃんとした監査なのかは知りません)。
なお、にゃんにゃん+さんは「悪意ある人はそれを利用して悪さを企む」ことを心配されているようですが、一般論として、素直に報告して報償金をもらった方が得になれば、悪用の可能性は大きく下がるでしょう。
ダメな信頼例。
有名セキュリティ企業が作ったパスワードマネージャーだから信頼できる。オープンソースではないから攻撃方法も見つけづらいはず!
グーグルのProject Zero、トレンドマイクロのパスワード管理ツールの脆弱性を報告
https://japan.zdnet.com/article/35076105/
> 任意のコマンド実行を可能にするものを発見するまでに30秒程度しかかからなかった。
> 前代未聞のとんでもない作りだ
> 何と言ってよいか分からない。しっかりしたセキュリティコンサルタントの監査を受けずに、こんなものを『デフォルトで』すべての顧客のマシンにインストールするなんて
> インターネット上のどこからでも、すべてのパスワードをこっそり盗めるだけでなく、ユーザーの関与なしに任意のコードを実行できるようになっている。
注:トレンドマイクロは日本シェア1位のセキュリティソフト、ウイルスバスターの開発会社
お二人からもコメント頂けて嬉しいです。ありがとうございました!
たしかに「オープンソースの管理」という点は私はよく理解してませんでした。プログラミングしてないので見る機会など hosts ファイルくらいなので笑
報奨金制度は効果があると Apple 社が脱獄対策に使って証明したことがありますね。また数の暴力による高速進化も非公開の所より早いのは違いないです(かわいそうなので Flash くんには触れません)。
オープンソースだろうが無かろうがリスクはある。正しい知識と理解を持ち、対策を取る。セキュリティ全般に言えることですね。
とても参考になりました。ありがとうございます。まあ冷静に考えて、オープンソース側も無対策で放置するはずありませんよね笑(管理が放棄されていなければ)
あー(´ε`;)
オープンソースあるあるとして「更新が急に止まる」がありますので、そこは本当に注意してください。
大体「ないと困る」系は分岐とかして復活しますけど、それでも復活までにかなりの年月かかるのもあるあるです。
流石に更新が1年以上超えてしていないのなら「これは代替を探さなければ」となりますので、その時は面倒ですが乗り換えしましょう!
バグ報償金プログラムは本当に素敵なプログラムで、悪い人視点から見れば
なので、組織系以外には効果ありそうで本当に素敵システム(*゚▽゚)
かっこいい横からのコメントありがとうございます!
「コードが読めない場合は他の要素で信頼するしかない」というすっごいわかりやすいスマートな回答を、今後パクらせていただきます∩(・∀・∩
はじめまして。こちらのサイトの記事などを参考にパスワード管理ソフトや2段階認証アプリを使い始め、快適にセキュアライフを送っています。
Bitwardenをパソコンとスマートフォン両方で使用していますが、こちらの記事にある通りパソコン版では生体認証が使えずログインが少しだけ面倒…
と思っていたのですが、Bitwardenの公式サイトによるとデスクトップ版ではWindows、MacOSともに既に対応済みのようです。
さっそくデスクトップ版で生体認証を有効にして使ってみましたが、スムーズに認証されました。
Say Hello to Windows Hello and Touch ID in the Bitwarden Desktop App
https://bitwarden.com/blog/post/introducing-desktop-biometrics/
Unlocking with biometrics
https://bitwarden.com/help/article/biometrics/
ブラウザ拡張機能では未対応ですが、これも対応を検討しているそうです。
もしかしたら既に把握されているかもしれませんが、記事に記載が無かったのでこちらに書き込ませていただきました。
リンク先まで丁寧な情報提供感謝します∩(・∀・∩
普通に気づいていなかったので、明日かできれば今日追記させていただきます!
ちゃんと生体情報をBitwardenでは受信しないとも書いてあるー
冒頭の部分を多少変更や、新しい章を作成して追記しました。
パソコンで生体認証
検索ランク下がって今のBitwardenへ色々と対応しないといけないので、その時にもっと詳しく設定にも対応する予定です。
ちなみに、セキュリティ猫さんはWindowsの指紋認証で登録できたのか、まだ見ていたら教えてもらえると助かります∩(・∀・∩
Windowsを使っていますが、設定で「Windows Helloでロック解除」をオンにして一度WindowsHelloで認証すると、次回ソフト起動時から使えるようになりました。
端末が対応している指紋とPINどちらでも認証ができましたが、この2つの場合はデフォルトでは指紋で認証されるようです。
もう一つ、個人向けBitwardenプランですが、今はこちらのサイトの記事の内容と異なっているようです。
記事作成以降に料金体系の変更があったのだろうと思いますが、一応こちらもお知らせしておきます。
あと最近使っていて気づいたのですが、Firefoxブラウザ拡張版だとプライベートウィンドウでBitwardenがうまく機能しないらしく、地味に面倒くさいですね…
Extension won’t load in Firefox’s private mode
https://bitwarden.com/help/article/extension-wont-load-in-private-mode/
やっぱり指紋認証できるのですね!公式にHelloしか書いてないから不安になっちゃった(´ε`;)
PINはいいや!
差し支えなければ、どこの部分が変更されているか教えてもらえますでしょうか?
プランと価格を見ましたが、特に変わっている部分がないような……。
Firefoxのプライベートウィンドウの件は、聞かれたら思い出します!
それにしても、この問題の「この記事は役に立ちましたか?」の評価低すぎ( Ꙭ)
冒頭でFirefoxの問題のって書いてあるのに。
そのリンク先の下の表にある「Max Users」が組織に追加できる人数ですよね?
個人向けのFreeと、$10/年のPremiumはMax Usersが1人(組織向け無料プランに準じて2人?)となっていて、$40/年のFamilyが最大6人となっているように読めます。
企業向けも$3/月のTeams、$5/月のEnterprise(いずれも1人あたり)となっていて、こちらもサイト記事(https://excesssecurity.com/bitwarden-organization/)と異なっているように思ったので…
私の思い違いだとしたらすみません。
思い出した∩(・∀・∩
「【家族・組織対応】パスワードをbitwardenで共有管理」で紹介しているプランは個人向けプランを2つ用意して、それをビジネスプランで合体させる方法です!
なので、個人向けだと一人しか使えないため家族では使えないけど、家族を組織として扱ってビジネスプランを使う作戦の記事だということを思い出しました。
このままで大丈夫そうです。
完全に忘れてたけど(´ε`;)
でも、ビジネスプランの無料は2人までですが、正真正銘の家族プランは5人から6人に増えているので、ここの部分は訂正します!
※値段も違った……家族プランは前まで一人1ドルだったけど、現在は6人までで月3.33ドル。3人までは値上げ、4人以上は結構な値下げ。
ぷっぷさんはじめまして。
当方はwindows10でEdgeを使用しております。
パスワード管理ソフトの導入を考えてこちらにたどり着きました。
と、いってもかなり初心者というか、シロートです。
笑われるような質問になるかと思いますが、ご教授お願いします。
例えばAmzonにログインするときユーザー名(Eメールアドレス)を入力し、
次にパスワード(仮に1234とします)を入力してログインします。
Bitwardenを導入してその設定するときに、Amazonのユーザー名とパスワードを記録すれば、次回からはAmazonにログインするとき、自動でユーザー名とパスワードが入力されてログイン出来る。ということでよろしいでしょうか?
もしそうならば、Edgeにも同じように自動でログイン出来る機能があるので、Bitwardenを導入する必要があるのかなと思ってしまいます。これが1つめの疑問です。
2つめの疑問はBitwardenにはパスワードの自動生成機能があると言うことですが、Amazonのパスワードは1234なので、不安だから自動生成を使用して、自動生成されたパスワードが「gHp%39@」となったとします。そしてAmzonをログアウトして、またログインするときは、自動でユーザー名とパスワード「gHp%39@」が入力されてログイン出来るということでしょうか?
そしてやっぱり「gHp%9@」は短いからもっと長いパスワードを自動生成して「bp97B`%nk:ggDs」なってそれを使うなどと言った使い方も出来るのでしょうか?
ちょっと自分でも上手く伝えることが出来なくてすみません。パスワードの自動生成についてご教授お願いできれば助かります。お願いします。
ってだけかな(゚~゚o)
パスワード平文保存とか端末に侵入されなければどうでもいい話なので、多分ブラウザEdge縛りになっちゃうしかないですね。
※エクスポート(書き出し)でブラウザの移転は結構簡単だろうけど、同じブラウザじゃないと同期されないから面倒。
実際にパスワード管理部分がオープンソースなのかは知らないですが、EdgeもMicrosoftとはいえオープンソースですし、ブラウザ付属のパスワード入力が一番使いやすいのも事実です。
「今すぐ乗り換えよう!」な人はどちらかといえばお金を払って他のパスワード管理ソフトを使っている方向けですね。
今はどうかはわかりませんが、Google Chromeと同じ仲間であるEdgeもChromeと同じ仕様だと思われ(パスワード平文)、パソコン・スマホに侵入されないように扱えるのであればブラウザのパスワード管理でOKです。
参考危険と言ったのは誰だ!GoogleChromeでパスワード管理
※共有PCなど誰でも触れる端末は100%ブラウザのパスワード管理はおすすめできません。
早い話、危険な使い方をすると危険で、危険じゃない使い方をすれば危険ではない最低限の知識は持っていないといけないのがブラウザ付属系です。
「Bitwardenに登録したパスワードを変更したら、AmazonのパスワードもBitwardenに新規作成したパスワードに変更される」ということでしたら「NO」です。
Amazonのパスワードも変更する必要があります。
どこのサービスも同じですがAmazonで解説。
「該当サービスでパスワードを変更する手続きをして、その際にBitwardenで作成したパスワードへ上書き」という流れになります∩(・∀・∩
また、現代のパスワード強度トレンドは「記号含めた文字列」ではなく単純に「文字数」となっているので、文字数さえ多ければ大体なんでもいいです(安易なものはさすがにNG)。
私はできる限り32桁以上にしているので(やりすぎ)、対応していればソレくらい入れるといいです。
弾かれた場合はどんどん減らしたりしてOK!
手動入力するかもしれないルーターパスワード系から記号を取っ払っちゃってもOK!
日本のサービスでパスワードを登録する際、8文字までしか対応していない場合モニターを割ってもOK! オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.
ぷっぷさん、ご教授ありがとうございました。
Bitwardenの自動生成の使い方よくわかりました。(これが一番知りたいところでした。)
Bitwarden導入に傾いてきました。
ところで、パスワードの使い回しは良くないといわれていますが、
私は40ほどのサービス(アカウント)を利用しています。
(実際同じものを使い回してるサービスもあります。)
Bitwardenの場合、例えば18桁以上の強固な「マスターパスワード」があれば
それら40のサービスも同じパスワードでもかまわないと考えてしまいそうですが、
やはりそれぞれ別々のパスワードにするべきでしょうか。
一つの方法として、それら40のサービスをすべてBitwardenのパスワード自動生成
で、管理するというのもアリかと思ってしまいます。
ぷっぷさんはどのようにして、サービスのパスワードを管理しておられますか?
参考にさせて頂きたいので、良かったヒント、ご教授お願いします。
必ず別にしてください!
Bitwardenがかなり安全でも、利用しているサービスでパスワードが漏洩した場合、そのサービス以外も大急ぎで変更しなきゃいけないのです(´ε`;)
※使い回しは漏洩してすらいないサービスに侵入されることがあり、被害者は気づかずサービス側にすごく迷惑。
「同じパスワードは絶対存在させない」という方針はずっと守る必要があるため、思い出した過去のものからコツコツパスワード新規自動作成で埋めていきましょう∩(・∀・∩
また、メールアドレスやユーザー名は基本的に使いまわして構いません。※公開情報のため
コンパクトにするなら、プライベートとその他の2つのメールアドレスを持っているだけで、プライベートとビジネスとかが紐付けされず誰かわかりにくいのでおすすめ。
例:匿名SNSのメールアドレスがどこかで漏洩! → プライベートと一緒にしていたから匿名なのにバレちゃった! がかなり緩和できる。
すでに迷惑メールが届いているメールアドレスは漏洩済みのため、パスワード変更時にメールアドレスも新しいものに変更するといいです(地獄)。
さらに、該当サービス利用中に電話番号変更や引っ越しなどで住所変更した際「どのサービスで変更前の電話番号や住所を使っていたか」検索できるようメモ欄に何かわかるような文章を入れておくと、未来で「ぷっぷナイス!」となることでしょう。
例:「電話番号090-……」 ・「住所入れた」
※Bitwardenのメモ欄は検索にヒットしなかった気がするけど、該当サービスにログインしなくても過去の電話番号や住所を使っていることがわかり、楽にはなります。