【比較】KeePassガチ勢から見たbitwardenの魅力

俯瞰

私の愛するKeePass(キーパス)は、「bitwardenのクラウド(Microsoft Azure)を外部クラウドにしたとき」に負ける。

そして、今から使うなら断然bitwarden(ビットウォーデン)だ。

KeePassとの比較記事だが、人気の1PasswordとLastPassはオープンソースの時点で負けているので除外。ちなみに、bitwardenはスマホのみ「顔と指紋の生体認証」に対応している。
ぷっぷ
ぷっぷ

1Passwordはパソコンで生体認証が使えるけどね!

新規以外は非常に憂鬱な記事だが、KeePassのWindowsとAndroidの自動入力をほぼ完璧にマスターした、自称ガチ勢による比較と魅力を述べていきたい。

オススメの決断はこのような感じで、今から使う新規がとても羨ましいぞ。

  • 初めてパスワード管理ソフトを使う → bitwarden
  • bitwardenのクラウドを信用していない → KeePass
  • 自力で外部クラウドに変更できる → bitwarden(最強)
  • KeePassが難しいと感じている → bitwarden
  • 添付ファイル(免許証画像など)をかなり入れる → KeePass
  • ローカル(オフライン)で使いたい → KeePass
  • 家族にも教えたい・共有したい → bitwarden
  • iPhoneアプリ「MiniKeePass」に不満 → bitwarden
  • 1PasswordやLastPassといったクラウド管理ソフト → bitwarden
  • 1PasswordやLastPassに魅力を感じている → bitwarden

ちょうど1PasswordやLastPassに乗り換えた方はドンマイだが、最後に紹介する移行で比較的簡単に乗り換えできる。

スポンサーリンク

bitwardenとは

無料で使えるパスワード管理ソフトで、オープンソースの新興勢力である。

自動入力は現在試験中となっているが、このようにちゃんと使えた。

ブックマークで自動入力
スマホブックマーク自動入力

上記スマホの自動入力は古い端末での動きなので、公式ブログのiOS12とAndroid9 Pie(パイ)の動きを、以下の英語だが画像で感覚を掴むといい。

iOS12での動作。

iOS12の自動入力

出典:AutoFill Improvements Come To iOS 12 & Android 9

Android9での動作。

Android9の自動入力

出典:AutoFill Improvements Come To iOS 12 & Android 9

無料プランは以下のとおり。

  • 永遠に無料
  • 2人までは共有OKかつ無料(3~5人は月額1ドル)
  • すべての端末同期
  • 情報登録無制限
  • 2段階認証
  • 自分の好きなクラウドに変更(高難度のため紹介未定)

公式サイトOpen Source Password Management Solutions | Bitwarden

重要な部分がすべて無料なので、プレミアムプランや組織アカウント(共有)はいまのところ必要ないだろう。

といいつつ、当サイトでは組織アカウントの使い方も紹介済みだ。

注意するとしたら、添付ファイルが有料である(1GB:追加可能)。免許証など画像のまま入れることができないので、多少は不便。
一応有料プランの目玉としてTOTP(2段階認証)のコード生成が付いている。当然Webですべて完結してしまうので、スマホの2段階認証アプリが必要ない状態になるリスクは考えること。

オープンソースは「セキュリティ系最高メリット」であり、利用者が増えるほどコード確認をしてくれる人が増え、企業では到底なしえないほど間違いが訂正されていく。

スポンサーリンク

比較

だいたいこのような認識で、当たり前の暗号強度やEnd to End(端末からクラウドまで暗号化)などは割愛。

特徴bitwardenKeePass
料金ほぼ無料完全無料
添付ファイル有料(1GB:追加可能)無料(容量無制限)
生体認証スマホのみ顔・指紋指紋
使いやすさ○(完全体は◎)
導入のしやすさ×
UI現代的デザイン太古
保存場所自社クラウドか外部クラウド色んなクラウドかローカル
使える端末iOSが微妙
拡張性・自由度
アプリ開発の統一性○(普通)自由すぎてバラバラ

KeePassの弱点

  1. 導入のしづらさ
  2. アプリ開発者がバラバラ

「家族に教えられるか?」という質問に対して、私は「やりすぎセキュリティを見て!」としか言えない。

バックアップのことも教えなければならないし、Argon2・対象のウィンドウ・文字列フィールドはパソコンを使えるレベルじゃないと正直難しい。

一番の問題はアプリ開発の部分で、本家KeePass Password SafeはWindows版のことであり、他は別の開発者だ。

プラグインもそのような形となっており、本家以外の人が自由に拡張機能やスマホアプリなど作成できるけども、「本家ではない」という不安がどうしても消えない。本家で紹介されていないアプリがあったり、作られては更新されなかったり、日本で人気のiPhoneアプリは微妙な出来だ。

結局のところ、利便性を兼ね備えたオープンソースが生まれた時点で窮地に立たされている。

ローカルで使う分には引き続きKeePassが有利だし、クラウド同期の安全性も「キーファイル」と「クラウド会社」を手軽に選べる限り、bitwardenに負けることはない。

そう、最後の砦はキーファイルしかなく、私の中では「bitwardenの外部クラウドがキーファイルの立場」だと思っており、外部クラウドにされると利便性の差で負ける

bitwardenの弱点

  1. パソコンの生体認証が実装されるかわからない
  2. 外部クラウドが大変・キーファイルがない

生体認証は次の章で説明するとして、自社クラウド依存はLastPassのようなことを想像してしまい使いたくない。

「ある店に入った客が毎回重そうなお金を持って出てくる……」この状況を悪い人ならどう感じるだろうか。「そこにお金になるものがある」とバレちゃだめなのだ。

KeePassの「キーファイル」と「お手軽クラウド選択」がそのリスクを極限まで無効化していたため、私もその魅力に惹かれた。

今のところbitwardenクラウドを簡単に変更できないかぎり、私は乗り換えない

といいつつ、紛失時KeePassにログインできない完璧に詰んだ状況用に、bitwardenを仕込んだ使い方はしている。

KeePassを乗り換えるか悩んでいるなら、この使い方で感覚を掴むのはアリだ。

潜在能力(生体認証)

現在対応しているのはアプリのみで、パソコン関係は使えない(実装済み)。

顔認証が対応すればほぼ敵なしになり、Enpassというソフトも食べられてしまうかも。

ただし、これは「願望」であり、実装される保証はない

ぷっぷ
ぷっぷ

実装されたって言ったでしょ!

スポンサーリンク

bitwardenを使用した感想

WindowsとAndroidの使用感を述べる。

統一されたクロスプラットフォームのため、別のプラットフォームでも参考になるかもしれない。

パソコン(拡張・Web・デスクトップ)

「拡張機能で自動入力をおこなう仕様」のようで、Webブラウザとデスクトップアプリだけでは情報登録とコピペしかできない点に注意。

だが、「拡張機能は必須」というより、拡張機能以外ほぼ使わない。

唯一英語表示のWebブラウザは、Webでしかできない設定を最初にやってしまえばほぼお世話にならないし、デスクトップアプリは使いやすいが同じことを拡張機能でもできるため、選ぶ意味は薄れている。

ここでKeePassの自動入力と、bitwardenの自動入力を比べてみよう。

keepass自動入力
KeePass
bitwarden自動入力
bitwarden

当たり前だが、bitwardenの方が早い。

入力の際にポポンっというようなアニメーションもついているし、自動入力中に別ウィンドウをクリックして暴発するようなこともない(KeePassあるある)。

直感的に使える部分が現代的で、機能の近くに説明もついており、迷わなかった。

スマホアプリ

ロック解除に「Face ID」・「Touch ID」・「Androidの指紋」に対応しているが、生体認証を使える端末を持っていないため項目すら表示されず、使用感はわからない。

かなり使いやすいが、Keepass2Androidとの使いやすさの差はなし。

私は古いAndroid端末しか持っていないため、新しい動作を確認できない。序盤に紹介したが、公式ブログにiOS12とAndroid9 Pie(パイ)の動きを画像で表しているので、英語だが確認するといい。

Pie(パイ)前のAndroidでも、「ログインページ(Webかアプリ)」→ ステータスバーを上からスワイプ「通知領域」→「入力したい情報」をタップで自動入力してくれるので、非常に使い勝手が良い。

スマホブックマーク自動入力
bitwardenでのログイン
理想のWebログイン手順
Keepass2AndroidでのWebログイン
アプリはアイコンから進む
Keepass2Androidでの
アプリログイン

ただ、Keepass2Android完全体は「ログインページ」→「ユーザー」→「パスワード」だけで終了し、アプリログインなら「ログインページ」にたどり着いた時点で自動入力される。

大したデメリットではないが、Keepass2Androidは登録したURLからログインページに飛ばないと発動しない。ちなみに、Android8.0(Oreo)以上の自動入力は現在試験中。

bitwardenは拡張機能版とほぼ使い方が変わらず、UIが統一されたクロスプラットフォームの偉大さも思い知った。

KeePass同様クリップボードは通っていないのか、自動入力前にコピーした文字列が自動入力後にも残っていたぞ。

「Keepass2Android完全体への道」はこちらを参照。

スポンサーリンク

時代はbitwarden

KeePassではできない「フォーム記入」の移行もできるので、LastPassユーザーはそのままbitwarden濃厚だ。

【移行】LastPassからbitwardenにインポート

1Passwordからのデータ移行。

【移行】1Passwordからbitwardenにインポート

パソコンでのアカウント作成・インストール方法はこちらで紹介している。

スマホアプリはこちら。

【SSS】Bitwardenスマホアプリのダウンロードと自動入力の使い方

KeePassは終わっていない

セキュリティは引き続き勝っているとはいえ、「やりすぎな部分が多く、導入への壁がマイナス」という結果になった。

ここまで「利便性とセキュリティの両立」を仕掛けられると、追われる側は脅威を感じる。

それでもKeePassを使いたい、完全体にしたいなら以下の記事を参照しよう。「他のサイトより詳しい」ということは保証するぞ。

【SSS】どこよりも詳しいKeePass自動入力などの設定と使い方
【SSS】Keepass2Androidのセキュリティ設定

KeePassへの移行はこちらを参照。

【移行】LastPassからKeePassにインポート
【移行】1PasswordからKeePassにインポート
【移行】RoboFormからKeePassにインポート

コメント

  1. イオンVer.2 より:

    返信が遅れて大変申し訳ございません。ご回答ありがとうございます。ぷっぷさんの回答と記事を参考にさせていただきます。 長文失礼しました。

  2. イオン.Ver2 より:

    こんにちは。ぷっぷさんに質問なのですが、パスワード管理ソフトのマスターパスワードは何桁ぐらいにしていますか?

  3. 匿名 より:

    > 念のため指摘しておくが、指紋・顔といった生体認証をスマホの画面ロックで使用しているのに、同じ認証情報でマスターパスワードを解除しようとしているのなら、「パスワードを使いまわしている状態」なので注意。
    > 人差し指は画面ロック、小指はbitwardenといった使い方でセキュリティは上がる。

    手元のiPhone 8とAndroid端末(Pixel 4a)で確認してみましたが、スマホの画面ロックと異なる生体認証を使うことはできない仕様になっていました。
    というか画面ロック用とは別に各アプリ独自の生体認証を行うのは不可能ではないかと思います。アプリ側から指紋センサーにアクセスされたらそれこそ大問題なので。

    セキュリティガチ勢を名乗るためにはアプリ側の生体認証をOFFにしたほうがいいってことですかねぇ……

    • ぷっぷ より:

      思い切って消しておきました!
      ついでに、Bitwardenのパソコン生体認証の部分を更新し忘れていたので、そこも改変しておきました∩(・∀・∩

  4. くらげ より:

    う~ん・・・。
    外部クラウドにヴォルトを保管できるという点は、はじめからストレージは侵害されるものだと考えればそれほどこだわるべき部分だとは思えないのですがいかがなものでしょうか。

    個人的にはそれよりも、実際にストレージが侵害されてから更にヴォルトが侵害されるまでの時間を稼ぐことのほうがよっぽど重要なように感じます(侵害に気づかなければ無意味ですが)。

    KeePassは、ユーザーの記憶要素であるマスターパスワードと、ユーザーの記憶に頼らないキーファイルを併せるで暗号化キーを二要素で保護することができます。さらに検証用キャッシュをヴォルトに載せないことで整合性の検証をも困難にさせるため、かなり強力な保護手段ですね。もちろん同じクラウド上に格納してしまっては途端に意味を失ってしまいますが。

    1Passwordも、ユーザーの記憶に頼らないシークレットキーを用いることで暗号化キーを二要素によって保護します。
    シークレットキーはiCloudやGoogleアカウントに同期されてしまうようなので若干の不安は残りますし、OSSではない点も不安点ではありますね。

    いっぽうでBitwardenはKDF反復回数は増やせるものの、マスターパスワード以外に暗号化キーを保護する手段が見当たりませんでした。
    例えば高齢者にも使わせたいような場合にはあまり複雑なマスターパスワードを設定できないため、KeePassはもちろんですが、1PasswordよりもBitwardenが安全だとはとても言えないように感じています。

    • ぷっぷ より:

      外部クラウドにヴォルトを保管できるという点は、はじめからストレージは侵害されるものだと考えればそれほどこだわるべき部分だとは思えないのですがいかがなものでしょうか。

      私自信は普通にクラウドにアップしています!
      「KeePassを使っている人は基本的にそういう方が多いのかな?という偏見ありきで書いた感じの記事」なので、私もキーファイルを使っている、さらにArgon2もしているのであれば、時間稼ぎ的に十分だと思っています。

      個人的にはそれよりも、実際にストレージが侵害されてから更にヴォルトが侵害されるまでの時間を稼ぐことのほうがよっぽど重要なように感じます(侵害に気づかなければ無意味ですが)。

      これもArgon2で対応する感じですね。設定記事の方は結局クラウド、さらに侵害された時の時間稼ぎもセットで紹介しております。

      もちろん同じクラウド上に格納してしまっては途端に意味を失ってしまいますが。

      もちろん伝えております!……ってあれ?
      全部こっちに書いてありますね・・・
      参考【SSS】ガチ勢分析!KeePassのココがすごい
      というか、この記事に上記リンクがないからおかしいですね(゚~゚o) 上記記事の方が新しいので、追加わすれですね。
      ちなみに、この記事自体はKeePassの魅力を結構省き、初心者になんでもいいからパスワード管理をしてもらうため、Bitwarden推奨色を強く作られています。

      いっぽうでBitwardenはKDF反復回数は増やせるものの、マスターパスワード以外に暗号化キーを保護する手段が見当たりませんでした。
      例えば高齢者にも使わせたいような場合にはあまり複雑なマスターパスワードを設定できないため、KeePassはもちろんですが、1PasswordよりもBitwardenが安全だとはとても言えないように感じています。

      うーん、高齢者ですか……
      「万人に導入してもらう」ことは不可能だと思いますので、そこは諦めます!