パスワード管理ソフト最強のKeePassを脅かす「Bitwarden(ビットウォーデン)」。
パソコンとスマホの生体認証にも対応していて、セキュリティ重視のKeePass以上に使いやすいだろう。
オープンソース(中身のコードをガチ勢多数が閲覧でき、不正が仕込めない)なのに、
- 自動入力はポポンっと入力
- 日本語対応(Bitwarden公式ホームページ以外)
- 無料
- スマホ・パソコンで生体認証(2021年1月から)
- 対応端末盛りだくさん
- 自分含めた2人まで家族などと共有可能(有料で増やせる)
- 利便性がすごい
- 管理画面が軽い
- ただし添付ファイル(免許証画像などで使う)は有料(1GB:追加可能)
を兼ね備えてしまったため、今から使うなら1PasswordやLastPassという選択肢はない。
魅力の方はこちらで述べているので一読されたし。
それでは、「アカウント作成」と「拡張機能」・「Webブラウザ」・「デスクトップアプリ」の基本的な使い方を説明していく。
仕様
自動入力は拡張機能必須で、Webブラウザ・デスクトップアプリは登録・コピペしかできない。
「拡張機能・Webブラウザ・デスクトップアプリで情報を登録」→「各ブラウザの拡張機能で自動入力」といった使い方になる。
実際のところ拡張機能で完結するため、デスクトップアプリを選ぶ意味はほぼ無いだろう。
パソコンでの生体認証にデスクトップアプリを使うため、拡張機能のみではなくデスクトップアプリ+拡張機能が利便性最強になった。後で生体認証に触れるが、今すぐならパソコンで生体認証まで飛ぼう。
拡張機能の他にWebブラウザ、デスクトップアプリでの情報登録方法を書いておいたので、迷ったら冒頭の「目次」を活用して飛ぼう。
アカウント作成
公式サイトにアクセスし、「Get Started(はじめに)」をクリック。
公式サイトBitwarden Open Source Password Manager | Bitwarden
ステップ1
- メールアドレス
- 名前
- マスターパスワード
を入力し、「マスターパスワードのヒント」は基本無視。
無視しないのなら「自分以外がわからないように」、高度なフェイクを使おう。
仮にヒントを「誕生日」にするとしたら、「上から2番目の引き出し」と記入しておき、自宅の引き出しに「誕生日」と記入したメモを仕込んでおく。コツはどこかのタイミングでオフラインを通す。
ダイスウェアを使った方法が簡単かつ効果的、しかも覚えやすく現状最強。
参考【三種の極意】パスワードの付け方テクニック集 | やりすぎセキュリティ
やってみないとわかりにくいが、ようは単語(日本語)を複数用意して、連結させて20桁付近にするだけである。
monowasure musikago katura
ただの単語じゃセキュリティ低くない?
昔(2017年まで)はそうだったけど、今は「桁数以外どうでもいい」でOK (*゚▽゚)
ステップ2
すると「アカウント作成しました!(英語)」という緑が乱入し、ログイン画面が表示される。
まだログインする必要はないので、このまま読み進めよう。
ちなみに、パスワードのヒントは登録したメールアドレスが必須。
※VPNをお使いの方はチェックボックスが表示されず、ログインできないかもしれない。サーバー変更だ!
拡張機能をダウンロード
以下のリンクから「お使いのブラウザ拡張機能(アドオン)」をダウンロードしよう。
公式サイトDownload | Bitwarden
拡張機能で情報を登録しない方は、このタイミングで次の章「Webブラウザでログイン情報を登録」か、「デスクトップアプリのダウンロード」まで読み飛ばそう。通常は拡張機能で困らない。
SafariやFirefoxも存在するが、ここではGoogle ChromeのExtension(拡張機能)で紹介する。
基本的な使い方はどれも一緒だ。
ステップ1
案内に従いダウンロード → インストールしていこう。
権限は
- 閲覧履歴の読み取り
- コピーして貼り付けるデータの読み取りと修正
となっているので了承してインストールし、「プライバシーへの取り組み」を見れば権限の詳細を確認可能だ。
そうすると「Browser Extension Installed!(ブラウザがインストールされました)」ページに飛ばされるが無視。
ブラウザ右上の①「bitwardenマーク」をクリックして②「ログイン」だ。
ステップ2
ログインすると「保管庫」の中が表示される。
最初から整理しておけば後々楽なので、先にフォルダを作成しに
- ①「設定」
- ②「フォルダー」
へ進む。
拡張機能ウィンドウ左上のマークをクリックすると、別ウィンドウになって設定が捗るぞ!
ステップ3
右上にある①「+」をクリックし、フォルダの名前を付けよう。
ここではTwitterのアカウント情報を登録する前提で進め、フォルダ名を「SNS」にする。
ステップ4
Twitterログイン画面を開いた状態で①「タブ」に移動し、②「+」か「ログイン情報を追加」をクリック。
「保管庫」からの登録と違い「タブ」から登録すると、そのページの名前とURLを最初から読み取ってもらえる。
別ウィンドウで拡張機能を開いたのが仇となり、TwitterではなくChrome関係ページの名前とURL情報が読み込まれてしまう。仕方がないので、ブラウザ右上のbitwardenマークから普通に登録していこう。
ステップ5
出現した登録フォームに情報を入れよう。
「タイプ」でフォームを変えられるが今回は「ログイン」のままで、
- 複数アカウントでもわかるような「名前」
- ログインで使う「ユーザ名」
- ログインで使う「パスワード」
を入力しよう。
既存のアカウントならパスワードを生成せず、使っていたものを入力。
ステップ6
次にさきほど作成したフォルダに変更し、必要なら暗号化されたメモ欄に
- バックアップコード
- 偽名
- 偽情報
などを記入して最後に保存。
追加すると、なんとサイトアイコン(ファビコン)も表示される。
Webブラウザでログイン情報を登録
Bitwarden ウェブ保管庫からログインして「保管庫」 ページまで進もう。
「カード」や「メモ」も登録できるが、ここではログイン情報を登録していく。
ステップ1
といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。
フォルダー横の①「+」をクリック →②名前を入力 →③「保存」。
ここでは「SNS」というフォルダを作成し、Twitterアカウントを登録する例で進める。
ステップ2
「アイテムの追加」をクリックして登録フォームを召喚。
ステップ3
- 名前:複数アカウントでもわかるようなもの
- ユーザー名・パスワード:いつも使っているものを入力
- URI(URLと同じものだと思ってOK):ログインページのURLを入力
- フォルダー:さきほど準備した「SNS」フォルダーを選択
- メモ:暗号化されており、適当に入力
終わったら左下の方の「保存」。
追加すると、なんとサイトアイコン(ファビコン)も表示される。
デスクトップアプリのダウンロード
まずは公式サイトへアクセス。
公式サイトDownload | Bitwarden
Windows版を説明するのでDESKTOPのWindowsをクリックし、終わったら「Bitwarden-Installer-○.○.○(インストーラー)」を開こう。
インストール
ステップ1
インストーラーを開くと不安を煽るユーザーアカウント制御が出現するので「はい」をクリック。
ステップ2
「インストール先を選ぶ」表示は、とくに何も思わないならそのままインストールを押そう。
セットアップまで日本語表示なのは、すごく珍しい!
ステップ3
これでインストールが終了したので、「Bitwardenを実行」にチェックを入れたまま「完了」へ。
ステップ4
bitwardenが起動したら、アカウント情報を入力してログイン。
デスクトップアプリでログイン情報を登録
「カード」や「セキュアメモ」情報も登録できるが、ここではログイン情報を登録していく。
ステップ1
といいつつ、最初から整理しておけば後々楽なので、先にフォルダを作成。
フォルダー横の①「+」をクリック、②「名前」を入れて③「フロッピーディスクマーク」を押そう。
このマークは「保存」という意味だ。
※「SNS」というフォルダを作成し、Twitterアカウント登録の例で進行。
ステップ2
タイプの①「ログイン」を選択し(無視でも可)、②「アイテムの追加」か「+」で登録フォームを出現させる。
ステップ3
「タイプ」でフォームを変えられるが今回は「ログイン」のままで、
- 複数アカウントでもわかるような「名前」
- ログインで使う「ユーザ名」
- ログインで使う「パスワード」
を入力しよう。
既存のアカウントならパスワードを生成せず、使っていたものを入力。
ステップ4
URLも登録しておきたいので「URI(URLと同じものだと思ってOK)」へ入力、さきほど準備したフォルダーもSNSに変えておこう。
暗号化されたメモ欄には
- バックアップコード
- 偽情報
要するに使った情報を入れ、最後にフロッピーディスクマークをクリックして「保存」だ。
登録すると「追加されたアイテム」が緑色で乱入してくる。
なんとTwitterアイコン(ファビコン)まで表示されるようだ。
簡単な使い方・自動入力を有効化
自動入力は拡張機能専用かつ初期設定で有効化されていないため、拡張機能を開こう。
Web版やデスクトップアプリ版しか使わない方も、自動入力の便利さに手を出すといい。
ステップ1
- ①「設定」
- ②下の方にあるその他の「オプション」
- ③「ページ読み込み時の自動入力を有効化」にチェック
- ④「戻る」(保管庫へ)
ステップ2
「保管庫」に戻り、さきほど登録したTwitter情報のリンク(開く)をクリックしてアクセスしよう。
- bitwardenマーク
- 保管庫
- フォルダ(ログインなどでも可)
- 該当のリンク
- 入力後は手動Enter(エンター)かログインボタンをクリック
上記の動作が基本だ。フォルダわけもジワジワ生きてくるだろう。
もちろんデスクトップアプリやWebブラウザ、さらには直接URLにアクセスした場合も自動入力してくれるので、ブックマークからアクセスすればクリック回数は1回だけだ。
- Windows:Ctrl+Shift+L
- Mac:Cmd+Shift+L
- 有料でTOTP(ワンタイムパスワード)設定済み:自動入力後に貼り付けするだけ
- 右クリック → Bitwarden → 自動入力
- 右上拡張機能のBitwardenマーク → 該当の情報をクリック
カスタムフィールドをイジれば可能だが、Webページの裏方(HTML)を触るため慣れるまですぐできない。
ただ、極めるとそれに見合ったリターンを楽しめる(例:PayPay銀行)。
面倒なら先程のショートカットやコピペでごまかしてね∩(・∀・∩
また、ブックマークなどからページへ進み入力情報が複数あった場合、最後に入力した情報が自動入力される(仕様)。
Androidアプリも使用感がほぼ一緒なので、スマホもスムーズに使えるだろう。
移転(情報のエクスポート:書き出し → Bitwardenへ読み込み:インポート)するならこのタイミングだろう。
このタイミングだと
- 2段階認証
- 紛失時対策のリカバリーコード
- 生体認証
と主要なものを設定していないが、相性が悪いと無駄な作業となるのでブックマークだけしておき、後でするといい。
※移転するだけでLastPassや1Passwordから情報が消えることはないため、Bitwardenに読み込みさせるだけでOK。
2段階認証
メールアドレス・マスターパスワードのみではなく、2段階認証を設定してもう一つ保護階層を増やしていく。
例えメールアドレスとマスターパスワードが不正アクセス騒ぎで漏洩しても、設定しておけば30秒ごとに変わる2段階認証が仕事をしてくれる。
しかも、同じ端末であればログアウトしない限り再度入力を求められず便利。
Webブラウザからしか登録できないので、Bitwarden ウェブ保管庫へログインしよう。
ステップ1
- ①「設定」
- ②「2段階認証」
- ③「管理」
- マスターパスワード入力
アプリが有能なのでそれで進行するが、無い方はメールでも妥協可能。
YubiKeyなどは有料(この業界あるある)。
ステップ2
- ①「認証アプリで読み取り」(スキャン)
- ②「認証アプリに表示された6桁のコードを入力」
- ③「有効化」
読み取れなければカメラを掃除するか、QRコード下の文字列を入力しよう。
各アプリ手動入力機能の場所は以下のとおり。
- Google 認証システム:「+」→「セットアップキーを入力」
- IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
- Authy:Add account表示下の「ENTER KEY MANUALLY」
- Microsoft Authenticator:「+」→「その他」→「またはコードを手動で入力」
小ネタとして、2つの端末で読み取っておけば、1つ端末を紛失しても2つ目の端末でコードの確認が可能。
インストールしていなければ、将来を考えて2段階認証アプリを探すといい。
「有効化されました」と出るが、左下は無効化なので押さず、普通に閉じよう。
この後に「リカバリーコード」を取得するので、ブラウザは閉じない。
- Google 認証システム:乗り換え前端末を処分せず新スマホ移行まで所持
- IIJ SmartKey:乗り換え前端末を処分せず新スマホ移行まで所持
- Authy:今まで使っていた電話番号+バックアップパスワードで端末いらず
確実を狙うなら機種変更時に今まで使っていた端末を持ち、新スマホへ情報を移す流れとなる。
その場合は購入時に売却・処分はできない。
それが嫌なら、バックアップ可能なAuthyやMicrosoft Authenticatorだ。
というか、次に取得するリカバリーコードだけを財布かなにかに入れておけば、紛失時にも対応可能。
リカバリーコード
バックアップコードともいい、「2段階認証アプリの入った端末を紛失してもログインできるようにする」ため「2段階認証を無効化できるコード」を取得しよう。
2段階認証は強力すぎて詰む可能性があるからだ。
ステップ1
2段階認証設定ページに「リカバリーコードを確認」とあるのでクリック。
ステップ2
- マスターパスワードの入力
- 32桁のリカバリーコードをコピーか印刷
保存はアナログの方が良く、普通にリカバリーコードのみを財布やタンスに入れておくと良い(火事非対応)。
「詰んでいるか」気になるなら、コメント欄でお待ちしていまーす∩(・∀・∩
そして、このリカバリーコードを使用するページは専用のページでしか使えないので、下記リンクも保存しておこう。
https://vault.bitwarden.com/#/recover-2fa
もしくはブックマーク二段階認証ログインの回復 | Bitwarden ウェブ保管庫
メールアドレスに関しては大多数が家族や友人にバックアップされているため、聞けばなんとかなる。
非人道的
パソコンで生体認証
デスクトップアプリを経由して認証するため、拡張機能でもアプリをインストールしている前提で進めていく。
拡張機能に関しては、Chromium系(Chrome・BRAVE・Edgeなど)とFirefoxしか使えず、Safariは今のところ未対応(2021年8月26日時点)。
参考Browser Extensions(Noteの部分)
ステップ1
デスクトップアプリを開き、
- ①「ファイル」
- ②「設定」へ
ステップ2
- ① ブラウザ統合を有効にする
- ② Windows Hello でロック解除
※順序を逆にした場合、生体認証チェックが先に来てちょっと面倒。
拡張機能を使わないのなら、ブラウザ統合はいらない。
また、「Windows Hello でロック解除」が表示されない場合は、最新の Visual C++ をダウンロードしてこよう。
※この情報はコメント欄で小林さんに教えてもらった。
ほとんどの人は「x64: vc_redist.x64.exe」の64bit版で解決、x86は32bitの古いタイプのことで、10年以上前の古いパソコンレベルなら要確認。ARM64もほぼ無視。
時間をかければできなくはないため、するなら後回し。
これを有効化すると英単語が複数出てきて、それをブラウザとデスクトップアプリで見比べることになる。
つまり、スペルがわからない日本人は激ムズ。
すごい面倒くさい(´ε`;)
ステップ3
Windows Helloの認証をする。
Windows Helloで生体認証を設定していないのなら、すぐ終わるので準備してこよう。
Enter を押すと、OKを押したことになる。
ステップ4
そのまま下の方にある「ログイン時に自動的に起動」をチェック。
拡張機能の生体認証はデスクトップアプリ経由のため、デスクトップアプリを使わなくても起動しておく必要があるのだ。
さらに、デスクトップアプリを閉じると認証できないので(常駐必須)、「トレイアイコンへ閉じる」もチェックしておくと便利。
※ログインは不要、起動だけでOK。
というか、トレイアイコン系は全部チェックでいいかもしれない。
ステップ5
拡張機能へログインし、
- ①「設定」
- ②「生体認証でロック解除」
- OK(Enter を押す推奨)
これで同じ端末からロック解除する際、生体認証で入れるようになった。
もちろん生体認証情報はその端末にしか存在しないので、他の端末ではマスターパスワード入力となる。
家族を組織として共有・管理
無料プランは自分を含めた2人まで使え、家族プランなら5人も付いて月1ドルで共有・管理できる。
家族にパスワード管理ソフトを勧めてもまったく使う気を感じられないなら、いずれ自分で管理するといい。そうすることで、自分のセキュリティレベルまで家族を引っ張り上げられる。
もちろんチームや企業の6人以上プランも存在。
完璧への階段
複数項目入力など、銀行で重宝する機能をマスターするならカスタムフィールドを設定しよう。
HTML(Webサイトの裏側)に触れるが、そもそも複数項目サイトが少ないので、意外と早く終わる。
アカウント情報変更や意図的に負荷をかけることができる設定はこちら。
バックアップをするならこちら。
スマホアプリ版も同じような使い方なので、このまま導入してみてはいかがだろうか。
Bitwardenに移転するなら、この記事を参照するといい。
コメント
Bitwardenの結構大きな機能追加アップデートが来ました!
組織向けの機能強化もいろいろありますが、個人ユーザーにとってはブラウザ拡張でも生体認証ができるようになったのが大きいですね
ただブラウザ拡張の生体認証は、ブラウザ拡張単体では機能しないので、そこは注意が必要かもしれません
あとはデータの暗号化エクスポートと有料アカウント向けに緊急アクセス設定が可能になったようです
Release Notes | Bitwarden Help & Support
https://bitwarden.com/help/article/releasenotes/#2021-01-19
おお、これでWindowsHelloを使った生体認証ができるのですね(追記:デスクトップ版はもうできているんでした)。
jsonと生体認証完全体はサボれないやつじゃーん(´ε`;)
そろそろBitwardenの良いところのみしか書いていない記事作るべきかなー
Bitwarden当初よりはるかに人気になったし。
パソコンで顔認証だとすっごい未来感ある
追記:パソコンで生体認証
と
bitwardenのバックアップ・エクスポート方法
ぷっぷさんはじめまして。
当方はwindows10でEdgeを使用しております。
パスワード管理ソフトの導入を考えてこちらにたどり着きました。
と、いってもかなり初心者というか、シロートです。
笑われるような質問になるかと思いますが、ご教授お願いします。
例えばAmzonにログインするときユーザー名(Eメールアドレス)を入力し、
次にパスワード(仮に1234とします)を入力してログインします。
Bitwardenを導入してその設定するときに、Amazonのユーザー名とパスワードを記録すれば、次回からはAmazonにログインするとき、自動でユーザー名とパスワードが入力されてログイン出来る。ということでよろしいでしょうか?
もしそうならば、Edgeにも同じように自動でログイン出来る機能があるので、Bitwardenを導入する必要があるのかなと思ってしまいます。これが1つめの疑問です。
2つめの疑問はBitwardenにはパスワードの自動生成機能があると言うことですが、Amazonのパスワードは1234なので、不安だから自動生成を使用して、自動生成されたパスワードが「gHp%39@」となったとします。そしてAmzonをログアウトして、またログインするときは、自動でユーザー名とパスワード「gHp%39@」が入力されてログイン出来るということでしょうか?
そしてやっぱり「gHp%9@」は短いからもっと長いパスワードを自動生成して「bp97B`%nk:ggDs」なってそれを使うなどと言った使い方も出来るのでしょうか?
ちょっと自分でも上手く伝えることが出来なくてすみません。パスワードの自動生成についてご教授お願いできれば助かります。お願いします。
ってだけかな(゚~゚o)
パスワード平文保存とか端末に侵入されなければどうでもいい話なので、多分ブラウザEdge縛りになっちゃうしかないですね。
※エクスポート(書き出し)でブラウザの移転は結構簡単だろうけど、同じブラウザじゃないと同期されないから面倒。
実際にパスワード管理部分がオープンソースなのかは知らないですが、EdgeもMicrosoftとはいえオープンソースですし、ブラウザ付属のパスワード入力が一番使いやすいのも事実です。
「今すぐ乗り換えよう!」な人はどちらかといえばお金を払って他のパスワード管理ソフトを使っている方向けですね。
今はどうかはわかりませんが、Google Chromeと同じ仲間であるEdgeもChromeと同じ仕様だと思われ(パスワード平文)、パソコン・スマホに侵入されないように扱えるのであればブラウザのパスワード管理でOKです。
参考危険と言ったのは誰だ!GoogleChromeでパスワード管理
※共有PCなど誰でも触れる端末は100%ブラウザのパスワード管理はおすすめできません。
早い話、危険な使い方をすると危険で、危険じゃない使い方をすれば危険ではない最低限の知識は持っていないといけないのがブラウザ付属系です。
「Bitwardenに登録したパスワードを変更したら、AmazonのパスワードもBitwardenに新規作成したパスワードに変更される」ということでしたら「NO」です。
Amazonのパスワードも変更する必要があります。
どこのサービスも同じですがAmazonで解説。
「該当サービスでパスワードを変更する手続きをして、その際にBitwardenで作成したパスワードへ上書き」という流れになります∩(・∀・∩
また、現代のパスワード強度トレンドは「記号含めた文字列」ではなく単純に「文字数」となっているので、文字数さえ多ければ大体なんでもいいです(安易なものはさすがにNG)。
私はできる限り32桁以上にしているので(やりすぎ)、対応していればソレくらい入れるといいです。
弾かれた場合はどんどん減らしたりしてOK!
手動入力するかもしれないルーターパスワード系から記号を取っ払っちゃってもOK!
日本のサービスでパスワードを登録する際、8文字までしか対応していない場合モニターを割ってもOK! オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.
ぷっぷさん、ご教授ありがとうございました。
Bitwardenの自動生成の使い方よくわかりました。(これが一番知りたいところでした。)
Bitwarden導入に傾いてきました。
ところで、パスワードの使い回しは良くないといわれていますが、
私は40ほどのサービス(アカウント)を利用しています。
(実際同じものを使い回してるサービスもあります。)
Bitwardenの場合、例えば18桁以上の強固な「マスターパスワード」があれば
それら40のサービスも同じパスワードでもかまわないと考えてしまいそうですが、
やはりそれぞれ別々のパスワードにするべきでしょうか。
一つの方法として、それら40のサービスをすべてBitwardenのパスワード自動生成
で、管理するというのもアリかと思ってしまいます。
ぷっぷさんはどのようにして、サービスのパスワードを管理しておられますか?
参考にさせて頂きたいので、良かったヒント、ご教授お願いします。
必ず別にしてください!
Bitwardenがかなり安全でも、利用しているサービスでパスワードが漏洩した場合、そのサービス以外も大急ぎで変更しなきゃいけないのです(´ε`;)
※使い回しは漏洩してすらいないサービスに侵入されることがあり、被害者は気づかずサービス側にすごく迷惑。
「同じパスワードは絶対存在させない」という方針はずっと守る必要があるため、思い出した過去のものからコツコツパスワード新規自動作成で埋めていきましょう∩(・∀・∩
また、メールアドレスやユーザー名は基本的に使いまわして構いません。※公開情報のため
コンパクトにするなら、プライベートとその他の2つのメールアドレスを持っているだけで、プライベートとビジネスとかが紐付けされず誰かわかりにくいのでおすすめ。
例:匿名SNSのメールアドレスがどこかで漏洩! → プライベートと一緒にしていたから匿名なのにバレちゃった! がかなり緩和できる。
すでに迷惑メールが届いているメールアドレスは漏洩済みのため、パスワード変更時にメールアドレスも新しいものに変更するといいです(地獄)。
さらに、該当サービス利用中に電話番号変更や引っ越しなどで住所変更した際「どのサービスで変更前の電話番号や住所を使っていたか」検索できるようメモ欄に何かわかるような文章を入れておくと、未来で「ぷっぷナイス!」となることでしょう。
例:「電話番号090-……」 ・「住所入れた」
※Bitwardenのメモ欄は検索にヒットしなかった気がするけど、該当サービスにログインしなくても過去の電話番号や住所を使っていることがわかり、楽にはなります。
ぷっぷさん、ご教授誠にありがとうございます。
やっぱり使い回しはいけないのですね。各パスワードは別々にします。
(メルアド変更は、なかなか難しいのですが、考えてみます。)
これで、やっとBitwarden導入することにしました。
もしかしたら、またご教授お願いのメッセージ送るやもしれませんが、
そのときはよろしくお願いいたします。
ありがとうございました。
ホイ( ・ω・)/
はじめまして。こちらのサイトの記事などを参考にパスワード管理ソフトや2段階認証アプリを使い始め、快適にセキュアライフを送っています。
Bitwardenをパソコンとスマートフォン両方で使用していますが、こちらの記事にある通りパソコン版では生体認証が使えずログインが少しだけ面倒…
と思っていたのですが、Bitwardenの公式サイトによるとデスクトップ版ではWindows、MacOSともに既に対応済みのようです。
さっそくデスクトップ版で生体認証を有効にして使ってみましたが、スムーズに認証されました。
Say Hello to Windows Hello and Touch ID in the Bitwarden Desktop App
https://bitwarden.com/blog/post/introducing-desktop-biometrics/
Unlocking with biometrics
https://bitwarden.com/help/article/biometrics/
ブラウザ拡張機能では未対応ですが、これも対応を検討しているそうです。
もしかしたら既に把握されているかもしれませんが、記事に記載が無かったのでこちらに書き込ませていただきました。
リンク先まで丁寧な情報提供感謝します∩(・∀・∩
普通に気づいていなかったので、明日かできれば今日追記させていただきます!
ちゃんと生体情報をBitwardenでは受信しないとも書いてあるー
冒頭の部分を多少変更や、新しい章を作成して追記しました。
パソコンで生体認証
検索ランク下がって今のBitwardenへ色々と対応しないといけないので、その時にもっと詳しく設定にも対応する予定です。
ちなみに、セキュリティ猫さんはWindowsの指紋認証で登録できたのか、まだ見ていたら教えてもらえると助かります∩(・∀・∩
Windowsを使っていますが、設定で「Windows Helloでロック解除」をオンにして一度WindowsHelloで認証すると、次回ソフト起動時から使えるようになりました。
端末が対応している指紋とPINどちらでも認証ができましたが、この2つの場合はデフォルトでは指紋で認証されるようです。
もう一つ、個人向けBitwardenプランですが、今はこちらのサイトの記事の内容と異なっているようです。
記事作成以降に料金体系の変更があったのだろうと思いますが、一応こちらもお知らせしておきます。
あと最近使っていて気づいたのですが、Firefoxブラウザ拡張版だとプライベートウィンドウでBitwardenがうまく機能しないらしく、地味に面倒くさいですね…
Extension won’t load in Firefox’s private mode
https://bitwarden.com/help/article/extension-wont-load-in-private-mode/
やっぱり指紋認証できるのですね!公式にHelloしか書いてないから不安になっちゃった(´ε`;)
PINはいいや!
差し支えなければ、どこの部分が変更されているか教えてもらえますでしょうか?
プランと価格を見ましたが、特に変わっている部分がないような……。
Firefoxのプライベートウィンドウの件は、聞かれたら思い出します!
それにしても、この問題の「この記事は役に立ちましたか?」の評価低すぎ( Ꙭ)
冒頭でFirefoxの問題のって書いてあるのに。
そのリンク先の下の表にある「Max Users」が組織に追加できる人数ですよね?
個人向けのFreeと、$10/年のPremiumはMax Usersが1人(組織向け無料プランに準じて2人?)となっていて、$40/年のFamilyが最大6人となっているように読めます。
企業向けも$3/月のTeams、$5/月のEnterprise(いずれも1人あたり)となっていて、こちらもサイト記事(https://excesssecurity.com/bitwarden-organization/)と異なっているように思ったので…
私の思い違いだとしたらすみません。
思い出した∩(・∀・∩
「【家族・組織対応】パスワードをbitwardenで共有管理」で紹介しているプランは個人向けプランを2つ用意して、それをビジネスプランで合体させる方法です!
なので、個人向けだと一人しか使えないため家族では使えないけど、家族を組織として扱ってビジネスプランを使う作戦の記事だということを思い出しました。
このままで大丈夫そうです。
完全に忘れてたけど(´ε`;)
でも、ビジネスプランの無料は2人までですが、正真正銘の家族プランは5人から6人に増えているので、ここの部分は訂正します!
※値段も違った……家族プランは前まで一人1ドルだったけど、現在は6人までで月3.33ドル。3人までは値上げ、4人以上は結構な値下げ。
はじめまして。いつも楽しく読ませて頂いています。参考になることが多く、興味深いです。
最近気になっていることをぷっぷさんにもお聞きしたくコメントしますね。
私は bitwarden を使用してます。特徴の一つにオープンソースがありますが、セキュリティの観点からは本当に安全か疑問に思う時もあります。
ソースを世界中に公開することは、プライバシーや製作側の信頼性向上に寄与します。ですがそれは同時に犯罪者にも自宅の全構造を公開してるとも言えます。
多くの善意な人は脆弱性をもし見つけたら報告し、問題を解決するでしょう。ですが、悪意ある人はそれを利用して悪さを企むのではないか。そんなふうに思う時もあります。
たとえ公表してなくても脆弱性を見つけられ攻撃されることはありますが、その頻度や深刻さは大きいものならないか心配です。
ぷっぷさんの見解を聞かせて貰えれば幸いです。
GitHub(よくソースコードが公開されているところ)自体使わないので仕様がわからないのですが、マージ(誰かが作った「このコードに変更したほうが良くない?」)という提案を許可したら管理者がマージ(合体的な意味)で結合してソースコードを進化させるといったものがあったと思うので、権限による管理は存在していると思います(もしなかった場合マージを勝手にするはず)。
Wikipediaみたいに誰かが変更したりしあったりの応酬になった話とかも聞かないですし、選ばれた人(権限を持っている人)しか最終的には処置できない仕様だと思います。
※GitHubの仕様を一切知らない人の回答のため、話半分で聞いてください。
参考Organization のリポジトリ権限レベル – GitHub Docs
なので、最終的には管理者による「このコードにバックドア仕掛けられてないよね?」チェックはあると思います。
といってもにゃんにゃん+さんの懸念は大変よくわかります。
その場合、非公開コードの実質なんでもありデメリットと比べて「どっちがいいか」で判断するといいです(世間的にはオープンソースがセキュリティポイント高め)。
もちろんオープンソースではないものを完全否定しているわけではなく、あるんだったらオープンソースが一番生活しやすいと思います(全部オープンソースにするとほぼ代替品なので妥協が生じる)。
また、オープンソースによる誰でも閲覧の数の暴力で、脆弱性発見と進化はオープンソースのほうが早いような気がしています(感想)。
「オープンソースだから安全」、「クローズドソースだから安全」、どちらも時々に見かける話ですが、まあそんな単純な話はありません。クローズドソースであってもIEやFlash Playerのように、たまに深刻なゼロデイ脆弱性が発見されるものありますし、オープンソースも同様です。
結局のところ、セキュリティにちゃんとコストを費やして開発しているか、という話に尽きます。
オープンソースの一番の優位点はやはり理論上自分でソースコードを検証できることでしょう。その技術に長じていればちゃんとコードを読まなくともざっくり見た感触で、ある程度品質がわかるかもしれません。ただしこれは私のような非技術者には関係ありません。
となると、非技術者にとっては自分以外の何かを信頼する必要があります。
何を信頼するか、というのはいろんな基準がありえます。複数の要素を総合して自分なりに判断するしかないですね。オープンソースだと開発状況もかなりオープンなことが多いので、判断材料を得やすいというのも良いところです。
私は「ローカル保存ゆえに攻撃手段が非常に限定される」「オープンソースかつコミュニティに熱気があるため悪意のあるコードはまず混ざっていない」という点でKeePassを使っています。Bitwardenに関しては、バグ報償金プログラムを設けていたり、外部セキュリティ会社による監査が複数回行われていたりすることが、良い判断材料になりそうです(中身は読んでないのでちゃんとした監査なのかは知りません)。
なお、にゃんにゃん+さんは「悪意ある人はそれを利用して悪さを企む」ことを心配されているようですが、一般論として、素直に報告して報償金をもらった方が得になれば、悪用の可能性は大きく下がるでしょう。
ダメな信頼例。
有名セキュリティ企業が作ったパスワードマネージャーだから信頼できる。オープンソースではないから攻撃方法も見つけづらいはず!
グーグルのProject Zero、トレンドマイクロのパスワード管理ツールの脆弱性を報告
https://japan.zdnet.com/article/35076105/
> 任意のコマンド実行を可能にするものを発見するまでに30秒程度しかかからなかった。
> 前代未聞のとんでもない作りだ
> 何と言ってよいか分からない。しっかりしたセキュリティコンサルタントの監査を受けずに、こんなものを『デフォルトで』すべての顧客のマシンにインストールするなんて
> インターネット上のどこからでも、すべてのパスワードをこっそり盗めるだけでなく、ユーザーの関与なしに任意のコードを実行できるようになっている。
注:トレンドマイクロは日本シェア1位のセキュリティソフト、ウイルスバスターの開発会社
お二人からもコメント頂けて嬉しいです。ありがとうございました!
たしかに「オープンソースの管理」という点は私はよく理解してませんでした。プログラミングしてないので見る機会など hosts ファイルくらいなので笑
報奨金制度は効果があると Apple 社が脱獄対策に使って証明したことがありますね。また数の暴力による高速進化も非公開の所より早いのは違いないです(かわいそうなので Flash くんには触れません)。
オープンソースだろうが無かろうがリスクはある。正しい知識と理解を持ち、対策を取る。セキュリティ全般に言えることですね。
とても参考になりました。ありがとうございます。まあ冷静に考えて、オープンソース側も無対策で放置するはずありませんよね笑(管理が放棄されていなければ)
あー(´ε`;)
オープンソースあるあるとして「更新が急に止まる」がありますので、そこは本当に注意してください。
大体「ないと困る」系は分岐とかして復活しますけど、それでも復活までにかなりの年月かかるのもあるあるです。
流石に更新が1年以上超えてしていないのなら「これは代替を探さなければ」となりますので、その時は面倒ですが乗り換えしましょう!
バグ報償金プログラムは本当に素敵なプログラムで、悪い人視点から見れば
なので、組織系以外には効果ありそうで本当に素敵システム(*゚▽゚)
かっこいい横からのコメントありがとうございます!
「コードが読めない場合は他の要素で信頼するしかない」というすっごいわかりやすいスマートな回答を、今後パクらせていただきます∩(・∀・∩
昨今のパスワード漏洩事件であれこれ悩んでいるうちに貴HPにたどり着き、早速BitwardenとAuthyをインストールしてみました。以下の点で良く理解できておらず、アドバイスを頂けたら幸いです。
1.証券会社(まずSBI証券で試しています)のTopページにてパスワード入力する際、複数アカウントを持っている場合は、最初に自動的に特定のユーザー名とパスワードが自動入力されてしまいますが、その後入力欄を右クリックしてbitwarden→所望のアカウントを選択して入力しています。この手順が一番簡単な手順でしょうか?
2.Topページではなく、取引画面や契約者情報の変更画面等、いくつかの画面にてログイとは別に”取引パスワード”を請求されますが、これをBitwardenから引き出して入力させる方法はありますか?inputIDでは#pwd3.inputPass02
カスタムフィールドに登録してみましたがうまく読み出せないです。複数のホームページで本人確認の為、”取引パスワード”の入力を請求されるところも対処の方法が良くわからず、試行錯誤しております。アドバイスを頂けたら幸いです。
私はメインをKeePass・緊急用をBitwardenとして使っているのでうろ覚えで申し訳ありません(´ε`;)
カスタムフィールドを「テキスト」の「名前」部分に以下総当りでテスト入力。
入力したい取引パスワードを「値」に入力でどうなりますか?
大体は「名前」に入力したい項目をF12のデベロッパーツールで覗き見し、その項目にカーソルをあわせた状態で表示される「ID」を「名前」に入力するといけるはず!
ぷっぷさん、アドバイスありがとうございます。結局”ログイン”とは別に”取引”なるフォルダを作り、カスタムフィールドにtr_passで行けました!複数口座も入力欄右クリック→Bitwarden→希望のフォルダ選択で対応できました。ご報告まで。Bitwardenやみつきになりますねw
ガ━━(゚Д゚;)━━ン!
なにはともあれ解決してよかったです?
いやいや!KeePassだって負けていませんよー∩(・∀・∩
自動入力ショートカットを入力時に毎回入力する必要はありますが、ログインは自動で押せるし、拡張機能はいらないし、今回のSBI証券みたいな方法も簡単にできますし、最初の導入の面倒ささえ除外すればすっごくオススメですよ!