【SSS】Bitwardenのダウンロードと自動入力の使い方

Bitwardenパソコン関係の使い方

パスワード管理ソフト最強のKeePassを脅かす「Bitwarden(ビットウォーデン)」。

パソコンとスマホの生体認証にも対応していて、セキュリティ重視のKeePass以上に使いやすいだろう。

オープンソース(中身のコードをガチ勢多数が閲覧でき、不正が仕込めない)なのに、

  • 自動入力はポポンっと入力
  • 日本語対応(Bitwarden公式ホームページ以外)
  • 無料
  • スマホ・パソコンで生体認証(2021年1月から)
  • 対応端末盛りだくさん
  • 自分含めた2人まで家族などと共有可能(有料で増やせる)
  • 利便性がすごい
  • 管理画面が軽い
  • ただし添付ファイル(免許証画像などで使う)は有料(1GB:追加可能)
ブックマークで自動入力

を兼ね備えてしまったため、今から使うなら1PasswordやLastPassという選択肢はない。

魅力の方はこちらで述べているので一読されたし。

それでは、「アカウント作成」と「拡張機能」・「Webブラウザ」・「デスクトップアプリ」の基本的な使い方を説明していく。

スポンサーリンク

仕様

自動入力は拡張機能必須で、Webブラウザ・デスクトップアプリは登録・コピペしかできない。

「拡張機能・Webブラウザ・デスクトップアプリで情報を登録」→「各ブラウザの拡張機能で自動入力」といった使い方になる。

実際のところ拡張機能で完結するため、デスクトップアプリを選ぶ意味はほぼ無いだろう

2021年1月追記

パソコンでの生体認証にデスクトップアプリを使うため、拡張機能のみではなくデスクトップアプリ拡張機能が利便性最強になった。後で生体認証に触れるが、今すぐならパソコンで生体認証まで飛ぼう。

拡張機能の他にWebブラウザ、デスクトップアプリでの情報登録方法を書いておいたので、迷ったら冒頭の「目次」を活用して飛ぼう。

スポンサーリンク

アカウント作成

公式サイトにアクセスし、「Get Started(はじめに)」をクリック。

公式サイトBitwarden Open Source Password Manager | Bitwarden

Get Startedへ

ステップ1

  • メールアドレス
  • 名前
  • マスターパスワード

を入力し、「マスターパスワードのヒント」は基本無視。

無視しないのなら「自分以外がわからないように」、高度なフェイクを使おう。

高度なフェイクとは

仮にヒントを「誕生日」にするとしたら、「上から2番目の引き出し」と記入しておき、自宅の引き出しに「誕生日」と記入したメモを仕込んでおく。コツはどこかのタイミングでオフラインを通す。

アカウント情報を入力

ダイスウェアを使った方法が簡単かつ効果的、しかも覚えやすく現状最強。

参考【三種の極意】パスワードの付け方テクニック集 | やりすぎセキュリティ

やってみないとわかりにくいが、ようは単語(日本語)を複数用意して、連結させて20桁付近にするだけである。

24桁の例:実際はスペースなし

monowasure musikago katura

かわいい
かわいい

ただの単語じゃセキュリティ低くない?

ぷっぷ
ぷっぷ

昔(2017年まで)はそうだったけど、今は「桁数以外どうでもいい」でOK (*゚▽゚)


ステップ2

すると「アカウント作成しました!(英語)」という緑が乱入し、ログイン画面が表示される。

まだログインする必要はないので、このまま読み進めよう。

ちなみに、パスワードのヒントは登録したメールアドレスが必須。

※VPNをお使いの方はチェックボックスが表示されず、ログインできないかもしれない。サーバー変更だ!

Web保管庫ログイン画面
スポンサーリンク

拡張機能をダウンロード

以下のリンクから「お使いのブラウザ拡張機能(アドオン)」をダウンロードしよう。

公式サイトDownload | Bitwarden

拡張機能で情報を登録しない方は、このタイミングで次の章「Webブラウザでログイン情報を登録」か、「デスクトップアプリのダウンロード」まで読み飛ばそう。通常は拡張機能で困らない。

SafariやFirefoxも存在するが、ここではGoogle ChromeのExtension(拡張機能)で紹介する。

基本的な使い方はどれも一緒だ。

該当の拡張機能をインストール

ステップ1

案内に従いダウンロード → インストールしていこう。

権限は

  • 閲覧履歴の読み取り
  • コピーして貼り付けるデータの読み取りと修正

となっているので了承してインストールし、「プライバシーへの取り組み」を見れば権限の詳細を確認可能だ。

ちなみに、1PasswordやLastPassの権限は「アクセスしたウェブサイト上にある自分の全データの読み取りと変更」である。

そうすると「Browser Extension Installed!(ブラウザがインストールされました)」ページに飛ばされるが無視。

ブラウザ右上の「bitwardenマーク」をクリックして「ログイン」だ。

拡張機能でログインする

ステップ2

ログインすると「保管庫」の中が表示される。

最初から整理しておけば後々楽なので、先にフォルダを作成しに

  • 「設定」
  • 「フォルダー」

へ進む。

拡張機能ウィンドウ左上のマークをクリックすると、別ウィンドウになって設定が捗るぞ!

保管庫から設定へ
フォルダーをクリック

ステップ3

右上にある「+」をクリックし、フォルダの名前を付けよう。

ここではTwitterのアカウント情報を登録する前提で進め、フォルダ名を「SNS」にする。

フォルダーを追加
わかりやすい名前を付けよう

ステップ4

Twitterログイン画面を開いた状態で「タブ」に移動し、「+」か「ログイン情報を追加」をクリック。

「保管庫」からの登録と違い「タブ」から登録すると、そのページの名前とURLを最初から読み取ってもらえる。

タブへ進む
タブに滞在してから追加する
バグ:2018年から2021年も確認(もはや仕様)

別ウィンドウで拡張機能を開いたのが仇となり、TwitterではなくChrome関係ページの名前とURL情報が読み込まれてしまう。仕方がないので、ブラウザ右上のbitwardenマークから普通に登録していこう。


ステップ5

出現した登録フォームに情報を入れよう。

「タイプ」でフォームを変えられるが今回は「ログイン」のままで、

  • 複数アカウントでもわかるような「名前」
  • ログインで使う「ユーザ名」
  • ログインで使う「パスワード」

を入力しよう。

既存のアカウントならパスワードを生成せず、使っていたものを入力。

ユーザー・パスワードなどを入力

ステップ6

次にさきほど作成したフォルダに変更し、必要なら暗号化されたメモ欄に

  • バックアップコード
  • 偽名
  • 偽情報

などを記入して最後に保存

メモなどを入力

追加すると、なんとサイトアイコン(ファビコン)も表示される。

登録した情報を確かめるため、「簡単な使い方・自動入力」の章まで読み飛ばそう。
スポンサーリンク

Webブラウザでログイン情報を登録

Bitwarden ウェブ保管庫からログインして「保管庫」 ページまで進もう。

「カード」や「メモ」も登録できるが、ここではログイン情報を登録していく。

Web保管庫ログイン画面

ステップ1

といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。

フォルダー横の「+」をクリック →名前を入力 →「保存」。

ここでは「SNS」というフォルダを作成し、Twitterアカウントを登録する例で進める。

フォルダーを追加する

ステップ2

「アイテムの追加」をクリックして登録フォームを召喚。

アイテムを追加

ステップ3

  • 名前:複数アカウントでもわかるようなもの
  • ユーザー名・パスワード:いつも使っているものを入力
  • URI(URLと同じものだと思ってOK):ログインページのURLを入力
  • フォルダー:さきほど準備した「SNS」フォルダーを選択
  • メモ:暗号化されており、適当に入力

終わったら左下の方の「保存」。

ログイン情報を登録する

追加すると、なんとサイトアイコン(ファビコン)も表示される。

先に自動入力の設定をするので、「簡単な使い方・自動入力」の章まで読み飛ばそう。
スポンサーリンク

デスクトップアプリのダウンロード

まずは公式サイトへアクセス。

公式サイトDownload | Bitwarden

Windows版を説明するのでDESKTOPのWindowsをクリックし、終わったら「Bitwarden-Installer-○.○.○(インストーラー)」を開こう。

各OSのデスクトップアプリを選択

インストール

ステップ1

インストーラーを開くと不安を煽るユーザーアカウント制御が出現するので「はい」をクリック。

アプリ実行を許可

ステップ2

「インストール先を選ぶ」表示は、とくに何も思わないならそのままインストールを押そう。

ぷっぷ
ぷっぷ

セットアップまで日本語表示なのは、すごく珍しい!

インストール

ステップ3

これでインストールが終了したので、「Bitwardenを実行」にチェックを入れたまま「完了」へ。

完了へ

ステップ4

bitwardenが起動したら、アカウント情報を入力してログイン。

デスクトップアプリログイン

デスクトップアプリでログイン情報を登録

「カード」や「セキュアメモ」情報も登録できるが、ここではログイン情報を登録していく。

ステップ1

といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。

フォルダー横の「+」をクリック、「名前」を入れて「フロッピーディスクマーク」を押そう。

このマークは「保存」という意味だ。

※「SNS」というフォルダを作成し、Twitterアカウント登録の例で進行。

フォルダーを追加

ステップ2

タイプの「ログイン」を選択し(無視でも可)、「アイテムの追加」か「+」で登録フォームを出現させる。

アイテムの追加


ステップ3

「タイプ」でフォームを変えられるが今回は「ログイン」のままで、

  • 複数アカウントでもわかるような「名前」
  • ログインで使う「ユーザ名」
  • ログインで使う「パスワード」

を入力しよう。

既存のアカウントならパスワードを生成せず、使っていたものを入力。

ログイン情報登録

ステップ4

URLも登録しておきたいので「URI(URLと同じものだと思ってOK)」へ入力、さきほど準備したフォルダーもSNSに変えておこう。

暗号化されたメモ欄には

  • バックアップコード
  • 偽情報

要するに使った情報を入れ、最後にフロッピーディスクマークをクリックして「保存」だ。

関連記事【合法】正しく偽名・偽個人情報を入力して本名を守る|やりすぎセキュリティ

URLとフォルダも指定する

登録すると「追加されたアイテム」が緑色で乱入してくる。

なんとTwitterアイコン(ファビコン)まで表示されるようだ。

追加されるとこのような表示になる
スポンサーリンク

簡単な使い方・自動入力を有効化

自動入力は拡張機能専用かつ初期設定で有効化されていないため、拡張機能を開こう。

Web版やデスクトップアプリ版しか使わない方も、自動入力の便利さに手を出すといい。

ステップ1

  • 「設定」
  • 下の方にあるその他の「オプション」
  • 「ページ読み込み時の自動入力を有効化」にチェック
  • 「戻る」(保管庫へ)
保管庫から設定へ
オプションへ
チェックして保管庫に戻る

ステップ2

「保管庫」に戻り、さきほど登録したTwitter情報のリンク(開く)をクリックしてアクセスしよう。

  1. bitwardenマーク
  2. 保管庫
  3. フォルダ(ログインなどでも可)
  4. 該当のリンク
  5. 入力後は手動Enter(エンター)かログインボタンをクリック

上記の動作が基本だ。フォルダわけもジワジワ生きてくるだろう。

もちろんデスクトップアプリやWebブラウザ、さらには直接URLにアクセスした場合も自動入力してくれるので、ブックマークからアクセスすればクリック回数は1回だけだ。

自動入力
ダメな時の自動入力方法(ショートカット推奨)
  • Windows:Ctrl+Shift+L
  • Mac:Cmd+Shift+L
  • 有料でTOTP(ワンタイムパスワード)設定済み:自動入力後に貼り付けするだけ
  • 右クリック → Bitwarden → 自動入力
  • 右上拡張機能のBitwardenマーク → 該当の情報をクリック

カスタムフィールドをイジれば可能だが、Webページの裏方(HTML)を触るため慣れるまですぐできない。

ただ、極めるとそれに見合ったリターンを楽しめる(例:PayPay銀行)。

ぷっぷ
ぷっぷ

面倒なら先程のショートカットやコピペでごまかしてね∩(・∀・∩

複数項目自動入力

また、ブックマークなどからページへ進み入力情報が複数あった場合、最後に入力した情報が自動入力される(仕様)。

Androidアプリも使用感がほぼ一緒なので、スマホもスムーズに使えるだろう。

スマホ自動入力

移転(情報のエクスポート:書き出し → Bitwardenへ読み込み:インポート)するならこのタイミングだろう。

LastPass改悪でBitwarden大注目

このタイミングだと

  • 2段階認証
  • 紛失時対策のリカバリーコード
  • 生体認証

主要なものを設定していないが、相性が悪いと無駄な作業となるのでブックマークだけしておき、後でするといい。

※移転するだけでLastPassや1Passwordから情報が消えることはないため、Bitwardenに読み込みさせるだけでOK。

スポンサーリンク

2段階認証

メールアドレス・マスターパスワードのみではなく、2段階認証を設定してもう一つ保護階層を増やしていく

例えメールアドレスとマスターパスワードが不正アクセス騒ぎで漏洩しても、設定しておけば30秒ごとに変わる2段階認証が仕事をしてくれる。

しかも、同じ端末であればログアウトしない限り再度入力を求められず便利。

Webブラウザからしか登録できないので、Bitwarden ウェブ保管庫へログインしよう。

上記リンクは偽サイトかもしれない(本物だ)。

Web保管庫ログイン画面

ステップ1

  • 「設定」
  • 「2段階認証」
  • 「管理」
  • マスターパスワード入力

アプリが有能なのでそれで進行するが、無い方はメールでも妥協可能。

YubiKeyなどは有料(この業界あるある)。

2段階認証の種類を選ぶ

ステップ2

  • 「認証アプリで読み取り」(スキャン)
  • 「認証アプリに表示された6桁のコードを入力」
  • 「有効化」

読み取れなければカメラを掃除するか、QRコード下の文字列を入力しよう。

各アプリ手動入力機能の場所は以下のとおり。

  • Google 認証システム:「+」→「セットアップキーを入力」
  • IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
  • Authy:Add account表示下の「ENTER KEY MANUALLY」
  • Microsoft Authenticator:「+」→「その他」→「またはコードを手動で入力」
QRコードをスキャンして有効化

小ネタとして、2つの端末で読み取っておけば、1つ端末を紛失しても2つ目の端末でコードの確認が可能。

インストールしていなければ、将来を考えて2段階認証アプリを探すといい。

有効化されました」と出るが、左下は無効化なので押さず、普通に閉じよう。

この後に「リカバリーコード」を取得するので、ブラウザは閉じない

  • Google 認証システム:乗り換え前端末を処分せず新スマホ移行まで所持
  • IIJ SmartKey:乗り換え前端末を処分せず新スマホ移行まで所持
  • Authy:今まで使っていた電話番号+バックアップパスワードで端末いらず

確実を狙うなら機種変更時に今まで使っていた端末を持ち、新スマホへ情報を移す流れとなる。

その場合は購入時に売却・処分はできない。

それが嫌なら、バックアップ可能なAuthyMicrosoft Authenticatorだ。

というか、次に取得するリカバリーコードだけを財布かなにかに入れておけば、紛失時にも対応可能。

無効化は押さずに閉じる

リカバリーコード

バックアップコードともいい、「2段階認証アプリの入った端末を紛失してもログインできるようにする」ため「2段階認証を無効化できるコード」を取得しよう。

2段階認証は強力すぎて詰む可能性があるからだ。

ステップ1

2段階認証設定ページに「リカバリーコードを確認」とあるのでクリック。

リカバリーコードを確認へ

ステップ2

  • マスターパスワードの入力
  • 32桁のリカバリーコードをコピーか印刷

保存はアナログの方が良く、普通にリカバリーコードのみを財布やタンスに入れておくと良い(火事非対応)。

リカバリーコードをコピーか印刷
やってはいけないこと
  • マスターパスワードは頭の中限定、リカバリーコードと一緒に保管or記入しない
    • メールアドレスは記入してもいい(公開情報のため・例:家族や友人が知っている)
  • スマホのみにリカバリーコードの画像を保存
    • スマホを紛失したら無意味なので、パソコンやクラウドにも保存しておくといい
      • そのクラウドに2段階認証が設定されていると、スマホがないとやはりログイン不能
覚えておくと良いこと
  • 紙や印刷は経年劣化で消える恐れがあるため、複数隠すのを推奨
  • このコードをBitwardenに保存してOK。同じ端末限定だが、「ログインに2段階認証を求めない」ようにしていれば、2段階認証の再設定が可能
    • その設定は2段階認証入力時にある「情報を保存する」にチェックを入れるだけ
ぷっぷ
ぷっぷ

「詰んでいるか」気になるなら、コメント欄でお待ちしていまーす∩(・∀・∩

そして、このリカバリーコードを使用するページは専用のページでしか使えないので、下記リンクも保存しておこう。

https://vault.bitwarden.com/#/recover-2fa

もしくはブックマーク二段階認証ログインの回復 | Bitwarden ウェブ保管庫

メールアドレスに関しては大多数が家族や友人にバックアップされているため、聞けばなんとかなる。

かわいい
かわいい

非人道的

リカバリーはメールアドレスも必要

スポンサーリンク

パソコンで生体認証

デスクトップアプリを経由して認証するため、拡張機能でもアプリをインストールしている前提で進めていく。

公式Download | Bitwarden

拡張機能に関しては、Chromium系(Chrome・BRAVE・Edgeなど)とFirefoxしか使えず、Safariは今のところ未対応(2021年8月26日時点)。

参考Browser Extensions(Noteの部分)

対応認証方法
  • Windows(WindowsHello):顔・指紋
  • Mac:TouchID(指紋)

ステップ1

デスクトップアプリを開き、

  • 「ファイル」
  • 「設定」へ

ファイル→設定へ

ステップ2

  • ブラウザ統合を有効にする
  • Windows Hello でロック解除

※順序を逆にした場合、生体認証チェックが先に来てちょっと面倒。

拡張機能を使わないのなら、ブラウザ統合はいらない。

また、「Windows Hello でロック解除」が表示されない場合は、最新の Visual C++ をダウンロードしてこよう。

※この情報はコメント欄で小林さんに教えてもらった。

3種類あるけど?

ほとんどの人は「x64: vc_redist.x64.exe」の64bit版で解決、x86は32bitの古いタイプのことで、10年以上前の古いパソコンレベルなら要確認。ARM64もほぼ無視。

時間をかければできなくはないため、するなら後回し。

これを有効化すると英単語が複数出てきて、それをブラウザとデスクトップアプリで見比べることになる。

つまり、スペルがわからない日本人は激ムズ。

ぷっぷ
ぷっぷ

すごい面倒くさい(´ε`;)

ブラウザ統合を有効

ステップ3

Windows Helloの認証をする。

Windows Helloで生体認証を設定していないのなら、すぐ終わるので準備してこよう。

有能テクニック

Enter を押すと、OKを押したことになる。

Enterを押すかOK

ステップ4

そのまま下の方にある「ログイン時に自動的に起動」をチェック。

拡張機能の生体認証はデスクトップアプリ経由のため、デスクトップアプリを使わなくても起動しておく必要があるのだ。

さらに、デスクトップアプリを閉じると認証できないので(常駐必須)、「トレイアイコンへ閉じる」もチェックしておくと便利。

※ログインは不要、起動だけでOK。

というか、トレイアイコン系は全部チェックでいいかもしれない。

ログイン時に自動的に起動をチェック


ステップ5

拡張機能へログインし、

  • 「設定」
  • 「生体認証でロック解除」
  • OK(Enter を押す推奨)
生体認証でロック解除にチェック
Enterを押すかOK

これで同じ端末からロック解除する際、生体認証で入れるようになった。

もちろん生体認証情報はその端末にしか存在しないので、他の端末ではマスターパスワード入力となる。

拡張機能生体認証でロック解除
デスクトップアプリWindowsHelloでロック解除
スポンサーリンク

家族を組織として共有・管理

無料プランは自分を含めた2人まで使え、家族プランなら5人も付いて月1ドルで共有・管理できる。

家族にパスワード管理ソフトを勧めてもまったく使う気を感じられないなら、いずれ自分で管理するといい。そうすることで、自分のセキュリティレベルまで家族を引っ張り上げられる。

もちろんチームや企業の6人以上プランも存在。

自分が死んだら家族悶絶
スポンサーリンク

完璧への階段

複数項目入力など、銀行で重宝する機能をマスターするならカスタムフィールドを設定しよう。

HTML(Webサイトの裏側)に触れるが、そもそも複数項目サイトが少ないので、意外と早く終わる。

複数項目自動入力

アカウント情報変更や意図的に負荷をかけることができる設定はこちら。

バックアップをするならこちら。

スマホアプリ版も同じような使い方なので、このまま導入してみてはいかがだろうか。

Bitwardenに移転するなら、この記事を参照するといい。

コメント

  1. madao より:

    Bitwarden関連の記事を読ませていだだき、PC関係に疎い自分でもなんとか導入できました。
    大変分かりやすい説明に助かりました。ありがとうございます。

    • ぷっぷ より:

      セキュリティが爆発的に向上するのに導入が難しく感じてしていない人に押し付けるのがやりすぎセキュリティの趣旨なので、本当にうれしいお言葉ありがとうございます!
      励みになります(*゚▽゚)

  2. からす より:

    先日はご回答ありがとうございました。

    Bitwardenを使う上で、どうしてもクラウドの性質上、情報漏洩することが気がかりです。
    そこで、Bitwardenと併せて他のパスワード管理ソフトを使い、パスワードをそれぞれに半分ずつ入れるという案を考えました。

    使う度に2つのパスワード管理ソフトにアクセスしなければならないため、手間は増えてしまうのですが、こうすればBitwarden+他のパスワード管理ソフトが同時に情報漏洩を起こさなければ大丈夫だと思いました。

    もしよろしければ、この案についてどうお考えになられるかコメントを頂戴してもよろしいでしょうか。
    要領を得ない質問で、お手間をおかけ致しますこと、先にお詫び申し上げます。

    • ぷっぷ より:

      KeePassの記事ですが、私はKeePassとBitwardenを併用しているので逆のことをすれば行けます!
      この方法は他の方もこっそりやっているはず(以前にもコメントで会話した記憶がある)なので、セキュリティ意識の高い人は気にかけている悩みですね(゚~゚o)
      参考【問題】KeePassのクラウド同期、紛失したらどうなる?
      ※この記事を再度見てみるとややこしい上もっとわかりやすく今であれば書き直しできるので(しません)、あんまり見る必要ないかも。

      また、LastPassが何回か漏洩騒ぎを起こされていますが、基本的に裏口から漏洩されても正面でなければ暗号化されている状態となっているはずのため、パスワード変更の猶予は年レベルであるはずです(実際に暗号化されていることを保証はできませんが)。
      なので、利便性を犠牲にしないのであれば

      • Bitwardenメイン → 併用最低限情報LastPass(簡単にできる)
      • Bitwardenメイン → 併用最低限情報KeePass(クラウドの設定はややこしいけどクラウド会社を選べる&ローカルも可能)

      となっています!

      基本的に何らかの端末を紛失して別の端末からログインすることを想定しているため、結局はクラウドを使うことにはなる。

      ※1Passwordは有料なので除外

      Bitwardenと併せて他のパスワード管理ソフトを使い、パスワードをそれぞれに半分ずつ入れるという案を考えました。

      あ、よく読んでなかった(´ε`;)
      半分はちょっとイマイチなような。
      私の例を出しますので、なんとなく参考にしてください。

      • パソコンからのKeePassはSyncクラウドに保存
      • スマホは落としやすいため、最小限のデータしか入っていないスマホ用KeePassを別に作成してDropboxに保存。Argon2なので落としてから年くらい放置しても余裕と判断(寿命までいってほしいけど絶対途中で新技術がでてくるので注意 量子とか?)
      • パソコンやスマホを同時に災害などで失った場合 → あらかじめ準備しておいたBitwardenにクラウドログイン情報を保存しておく(2段階認証はあえてしないか、気合でどうにかする:難題)→ クラウドにKeePassがあるのでKeePassを開ける

      という形で、半分ではなくスマホ用とパソコン用でデータをわけるといいかも。
      パソコンばっかり使う人はスマホでAmazon情報いらなかったりするので、主にパソコンで作業するアカウント情報を消しまくります!
      また、漏洩された方に登録していたアカウント情報が完全に解読されて侵入されたとしても、2段階認証が仕事をしますので時間稼ぎは有効です。
      これはもう2段階認証を褒めちぎるしかありません。ブチブチ

  3. からす より:

    初めまして。
    いつも貴サイト様には大変お世話になっております。

    この記事を参考にして、早速Bitwardenを導入してみました。
    とても使い勝手もよく、感謝しております。

    Bitwardenのリカバリーコードの扱いについて少し悩んでおります。
    記事中で『BitwardenのリカバリーコードをBitwardenで保管しても、多分意味はある』と書いておられます。
    私も最初はこの通りにしようかと思ったのですが、そもそもリカバリーコードは2段階認証ができないときのために使うものだという風に認識しております。
    その上で、Bitwardenに保管するということは、「そもそも2段階認証なしでアクセスできる端末が手元にある以上はリカバリーコードを使う状況が起こらないのではないか」と考えた次第であります。

    ぶっきらぼうな聞き方となってしまいますが、BitwardenにBitwardenのリカバリーコードを保管したとして、それを使うシチュエーションというのは起こりうるものなのでしょうか?

    読みづらい文章となってしまって大変申し訳ありません。
    よろしければ返信のほどお願い致します。

    • ぷっぷ より:

      Bitwardenにログインする際、2段階認証コードを入力する欄の下に「情報を登録する」という欄にチェックを入れることで、同じ端末でログインする限り2段階認証の入力を一定期間スキップできます
      これは別のサービスでもよくあるやつですね∩(・∀・∩
      例としていつもはパソコンでログインしている=パソコンでのログインでのみ2段階認証が一定期間スキップされるとして、
      スマホを紛失してリカバリーコードを見なければならない場合、いつもログインしているパソコンのみ2段階認証がスキップされる状態なので、Bitwardenにあるリカバリーコードを閲覧できるチャンスを残すことができます。
      この効果1つしかメリットはないのですが(想像できるのがこれくらい)、Bitwardenに置いたところでほぼ意味がないわりにソコソコ良い効果なので、適当に入れておくといいです!(リカバリーコードを盗まれたとしても、それはすでにBitwardenに侵入されているため)
      当然リカバリーコードは別の何か……やりすぎセキュリティ的にはKeePassあたりに突っ込んでおくといい感じだと思います( ・ω・)/
      ややこしい話ですみません(´ε`;)

      • からす より:

        ご返信ありがとうございます。m(__)m

        >スマホを紛失してリカバリーコードを見なければならない場合、いつもログインしているパソコンのみ2段階認証がスキップされる状態なので、Bitwardenにあるリカバリーコードを閲覧できるチャンスを残すことができます。

        確かに! 言われてみればその通りでした。
        もしスマホをなくして、2段階認証を無効化したくても、WebからBitwardenにアクセスするとき2段階認証を求められますしね。その時、拡張機能からなら2段階認証が必要ないため、そこでリカバリーコードを見て、無効化の申請をするチャンスができるわけですね。

        >当然リカバリーコードは別の何か……やりすぎセキュリティ的にはKeePassあたりに突っ込んでおくといい感じだと思います( ・ω・)/
        2段階認証についての別記事で、そのことについても触れてあったため検討しておりました。BitwardenのリカバリーコードをKeePassに保存して、KeePassに何かあったときのリカバリーコード的なものはどこに保存すればいいんだ…?と堂々巡りになってしまって、一旦考えるのをやめてしまいましたが(;’∀’)

        お早い返信ありがとうございました

        • ぷっぷ より:

          いえいえ!
          このようなややこしすぎるテクニックは結構聞かれるので、これからもどんどん聞いてOKです∩(・∀・∩
          ※現在コミュニティ作成(もう出来てるけど非公開:設備投資ごっこ)でセキュリティテクニックを聞く場所みたいなところを別に作成しているので、見やすい位置に案内を置いてもっと聞きやすく・見やすくする予定です。

  4. Tub より:

    こんにちは。
    このサイトを参考に少し前にBitwardenとAuthyを導入してみました。
    (解説は非常にわかりやすかったです、書いていただきありがとうございます。)
    いくつかわからないことがあるので、質問させてください。
    既に同じことを解説している記事があったら申し訳ありません。

    1. Bitwardenに突然アクセスできなくなった時に備えて、KeePassにデータをバックアップをしようと考えています。その時、Bitwardenからエクスポートした暗号化されていないcsvファイルを一時的にPCに保存する必要があると思うのですが、これはセキュリティ的に大丈夫なのでしょうか。
    悪意のあるソフトがPCに入っていたら元から終わっているのでそれは考えないとしても、削除したcsvファイルがまだSSD/HDDに残っていて復元ソフトでデータを復元されたり、アンチウイルスソフトやバックアップソフトなど悪意のないソフトがcsvファイルを勝手にネットにアップロードしてしまったりしたら危険な気がします。
    安全なバックアップ方法はありますか?
    UbuntuのLive USBを作ってパスワードバックアップはその環境で行うのが良いかなと考えたものの、Live USB環境でダウンロードしたファイルがどこに保存されるのかよく分からないです。
    (RAMに保存されると思っていましたが、Live USBで設定を保存可能という記事も見かけるのでUSBメモリーやHDDに保存される可能性もある…?)

    2. Bitwarden自体のアカウントの2段階認証を有効化するか迷っています。
    もし有効化したあと、Authyを設定した端末とリカバリーコードを書いた紙を火災や津波などで全て同時に失ってしまったら諦めるしかなくなってしまうのでしょうか?

    • ぷっぷ より:

      1. Bitwardenに突然アクセスできなくなった時に備えて、KeePassにデータをバックアップをしようと考えています。その時、Bitwardenからエクスポートした暗号化されていないcsvファイルを一時的にPCに保存する必要があると思うのですが、これはセキュリティ的に大丈夫なのでしょうか。

      Tubさんの言うとおり、一回記憶装置に暗号化されていない状態でどうしても出てきてしまうのは、正しい危機意識です。
      この部分はどうしようもない部分ですね(゚~゚o)
      現状諦めていて、バックアップの記事の方にも注意点として記述しているのでいいかなーと放置しておりました。
      UbuntuのLIVE USBというのは知りませんが、何かあるなら私も知りたいかも!

      2. Bitwarden自体のアカウントの2段階認証を有効化するか迷っています。
      もし有効化したあと、Authyを設定した端末とリカバリーコードを書いた紙を火災や津波などで全て同時に失ってしまったら諦めるしかなくなってしまうのでしょうか?

      ですね(´ε`;) それでも私は有効化!
      Account情報は頭に入っているとして、逃げる際には、

      • リカバリーコードを書いた紙、またはその情報の入ったUSBメモリ(要暗号化)
      • 2段階認証アプリの入った端末

      のどちらかを持って逃げるのが一番お金のかからない最善です。

      1. 外出時に被災 → 家にリカバリーコード → スマホは手元にある
      2. 外出時に被災 → 家にスマホとリカバリーコード

      1.はスマホからログインできるようにしている人が大多数なのでほぼ大丈夫だとして、2.を防ぐには「高層階に住む」・「滅多に外出する必要のないパソコン関係の仕事(所持して避難できる可能性が高い)」の構築しか今のところ最善に近いかも。
      つまりお金!

      他には津波が広範囲攻撃なので、防げるのが銀行の貸し金庫(セレブ用)とか近くかつ不動(流される可能性アリ)だと思われるものしかないです。
      ここらへんはbitwardenやKeePassでできないので、他で固める形がいいでしょう。
      土砂崩れ対策も家からやらないと、何も防ぎようがないシリーズかも。

      火事も同じような感じですが、別の場所に預ける……現実的には実家など信頼できる友人でしょうか。
      それでもその家に泥棒に入られると最悪極まりないので、KeePassの入ったUSBメモリではなく(突破される可能性がある)Authyだけ入ったゴミのような端末かリカバリーコードだけ(一つだけじゃなんの役にも立たない)を置いておくといいです。
      敷地内の土に湿気を完璧に防いで埋めるといったものや(ジップロックでも大丈夫なのか不明。税金逃れみたいなことしててなんかヤダ)、サマリーポケットなど月額で安いものに預けるのもいいですが、この貸し倉庫精密機器NGですのでリカバリーコードしか預けられず、USBメモリや2段階認証の入った端末は預けられないので注意( Ꙭ)

      といった感じで、同時に失わないよう家をどうにかするといったことになりそうです。

      • Tub より:

        返信していただきありがとうございます!

        > UbuntuのLIVE USBというのは知りませんが、何かあるなら私も知りたいかも!

        ごめんなさい、勘違いしていたようです。
        調べてみたら、

        Live USB: 普通にHDDにOSをインストールするのと同じ手順でOSをインストールしたUSBメモリ、再起動してもデータはUSBメモリに残る
        インストール用メディア: OSインストールなどのために使用する仮環境を起動できるメディア、再起動するとデータが消える

        ということみたいです。
        (参考にしたページの一つ: https://blog.mktia.com/how-to-make-ubuntu-live-usb/ )

        自分が言いたかったのはLive USBではなく、「インストール用メディア」でした。
        Ubuntuのインストール用メディアを作ってそこから起動し、Try Ubuntu without installingを選択すれば、信頼できないソフトが入っていない+ファイルがRAMにしか保存されない環境ができるので、暗号化されていないcsvをダウンロードしても安全かなと考えました。
        まだ間違っていたら申し訳ありません。

        > 2段階認証

        やはりアクセス不能になる可能性はありますか…。
        自分は学生なので大胆なことはできませんし、書いていただいたような災害対策をできるようになるまでBitwarden自体の2段階認証は使わないことにしようと思います。 (フィッシングなどが怖いですが。)

        • ぷっぷ より:

          えっ( Ꙭ)
          LIVE USBってもしかして差し込んでそこから起動させればUbuntu、そこから起動させなければWindowsを使うことができるものなのかな。
          これすごい興味あるから後で調べておこう∩(・∀・∩(そんな簡単にOS選択できると思ってなかった)

          自分が言いたかったのはLive USBではなく、「インストール用メディア」でした。
          Ubuntuのインストール用メディアを作ってそこから起動し、Try Ubuntu without installingを選択すれば、信頼できないソフトが入っていない+ファイルがRAMにしか保存されない環境ができるので、暗号化されていないcsvをダウンロードしても安全かなと考えました。

          Ubuntu自体何も知らないので、詳しくは何も答えられないのです(´ε`;)
          もしその環境ができるとしたら私にも「まっさらで安全にしか見えない」です!

          2段階認証がなくてもbitwardenには意図的に負荷をかける設定や、マスターパスワードに自信があるなら普通のサービスより全然マシのはずです。
          ましてやUbuntu使いはセキュリティ上位勢だと思いますし、大丈夫な可能性は高いと思いますと後押ししておきます∩(・∀・∩

          • Tub より:

            > LIVE USBってもしかして差し込んでそこから起動させればUbuntu、そこから起動させなければWindowsを使うことができるものなのかな。

            そうです。(さっき試してみました。)
            インストール用メディアから起動すると再起動後にデータが消える、Live USBは再起動してもデータが消えないというのも合っていました。多分…。

            余談: 複数のOSが入ったLive USBを作ればマルチブートできるかなと思い、USBメモリにUbuntuとRaspberry Pi OSのPC版をインストールして (USBメモリにUbuntuとRaspberry Pi OS、SSDにWindowsという状態) 試してみましたが、それはできませんでした。 そもそもUSBでマルチブートができないのか、インストール方法やOS選びが悪かったのかは分かりません。できたら面白そうなので色々やってみます。

            > 2段階認証がなくてもbitwardenには意図的に負荷をかける設定や、マスターパスワードに自信があるなら普通のサービスより全然マシのはずです。
            ましてやUbuntu使いはセキュリティ上位勢だと思いますし、大丈夫な可能性は高いと思いますと後押ししておきます∩(・∀・∩

            マスターパスワードはパスワードジェネレータで生成したそこそこ長いもので反復回数も多めに設定してあるので辞書攻撃や総当り攻撃は大丈夫だと思っています。
            それよりも、複雑さは関係ないフィッシングやキーロガーなどが怖い…。
            自分は信頼できないフリーソフトや拡張機能をポイポイ入れてしまうようなダメな人なので、セキュリティ上位勢とは言えないと思います。(´・ω・`)
            Ubuntuは使うだけなら誰でもできますし..

            • ぷっぷ より:

              キーロガー確かにずっと存在していて嫌だなー(´ε`;)早く過去の遺産になってくれないかな……

              マルチブート……じゃなくて私はデュアルブートにすっごい興味があるので(初めて知りました)、これはロードマップ行きー∩(・∀・∩

  5. 通りすがりの、新米19号 より:

    相変わらずお返事早いですね(^^)
    台風来てるし、もし該当地域ならゆっくりしてください←詮索ではないです:D

    > 「以前見やすかったので」 !?(゚~゚o)
    誤解招いてすいませんm(_ _;)m
    「(このサイトを)以前(訪問した時に、全体的に)見やすかったので、(他サイトではなくこちらのサイトを参考にして以下略)」
    という感じです。コミュ力底辺ですいません。

    せっかくなんで余談置いておきますが(返信不要です)、Enpassは最近のメジャーバージョンアップ(V5系→V6)がよくなかったようです。試してみましたが、自分もいきなりエラー頂いたので調べるのも面倒で辞めました。

    良い週末をお過ごしください~(^_^)/~

    • ぷっぷ より:

      いえ、私が面白そうなところを勝手に発展させたのがいけなかったです( Ꙭ) 台風もご安心を!
      となると、画像の差し替えはサボれますね……サボろう!

      EnPassの情報もありがとうございます! エラーもらって対応できるよう、やっぱり情報提供してくれるサイトがないと不安ですよね。
      やりすぎセキュリティみたいな(棒
      ありがとうございました∩(・∀・∩