私の愛するKeePass(キーパス)は、「bitwardenのクラウド(Microsoft Azure)を外部クラウドにしたとき」に負ける。
そして、今から使うなら断然bitwarden(ビットウォーデン)だ。
1Passwordはパソコンで生体認証が使えるけどね!
新規以外は非常に憂鬱な記事だが、KeePassのWindowsとAndroidの自動入力をほぼ完璧にマスターした、自称ガチ勢による比較と魅力を述べていきたい。
オススメの決断はこのような感じで、今から使う新規がとても羨ましいぞ。
- 初めてパスワード管理ソフトを使う → bitwarden
- bitwardenのクラウドを信用していない → KeePass
- 自力で外部クラウドに変更できる → bitwarden(最強)
- KeePassが難しいと感じている → bitwarden
- 添付ファイル(免許証画像など)をかなり入れる → KeePass
- ローカル(オフライン)で使いたい → KeePass
- 家族にも教えたい・共有したい → bitwarden
- iPhoneアプリ「MiniKeePass」に不満 → bitwarden
- 1PasswordやLastPassといったクラウド管理ソフト → bitwarden
- 1PasswordやLastPassに魅力を感じている → bitwarden
ちょうど1PasswordやLastPassに乗り換えた方はドンマイだが、最後に紹介する移行で比較的簡単に乗り換えできる。
bitwardenとは
無料で使えるパスワード管理ソフトで、オープンソースの新興勢力である。
自動入力は現在試験中となっているが、このようにちゃんと使えた。
iOS12での動作。
出典:AutoFill Improvements Come To iOS 12 & Android 9
Android9での動作。
出典:AutoFill Improvements Come To iOS 12 & Android 9
無料プランは以下のとおり。
- 永遠に無料
- 2人までは共有OKかつ無料(3~5人は月額1ドル)
- すべての端末同期
- 情報登録無制限
- 2段階認証
- 自分の好きなクラウドに変更(高難度のため紹介未定)
公式サイトOpen Source Password Management Solutions | Bitwarden
重要な部分がすべて無料なので、プレミアムプランや組織アカウント(共有)はいまのところ必要ないだろう。
といいつつ、当サイトでは組織アカウントの使い方も紹介済みだ。
オープンソースは「セキュリティ系最高メリット」であり、利用者が増えるほどコード確認をしてくれる人が増え、企業では到底なしえないほど間違いが訂正されていく。
比較
だいたいこのような認識で、当たり前の暗号強度やEnd to End(端末からクラウドまで暗号化)などは割愛。
特徴 | bitwarden | KeePass |
---|---|---|
料金 | ほぼ無料 | 完全無料 |
添付ファイル | 有料(1GB:追加可能) | 無料(容量無制限) |
生体認証 | スマホのみ顔・指紋 | 指紋 |
使いやすさ | ◎ | ○(完全体は◎) |
導入のしやすさ | ◎ | × |
UI | 現代的デザイン | 太古 |
保存場所 | 自社クラウドか外部クラウド | 色んなクラウドかローカル |
使える端末 | ◎ | iOSが微妙 |
拡張性・自由度 | ○ | ◎ |
アプリ開発の統一性 | ○(普通) | 自由すぎてバラバラ |
KeePassの弱点
- 導入のしづらさ
- アプリ開発者がバラバラ
「家族に教えられるか?」という質問に対して、私は「やりすぎセキュリティを見て!」としか言えない。
一番の問題はアプリ開発の部分で、本家KeePass Password SafeはWindows版のことであり、他は別の開発者だ。
プラグインもそのような形となっており、本家以外の人が自由に拡張機能やスマホアプリなど作成できるけども、「本家ではない」という不安がどうしても消えない。本家で紹介されていないアプリがあったり、作られては更新されなかったり、日本で人気のiPhoneアプリは微妙な出来だ。
ローカルで使う分には引き続きKeePassが有利だし、クラウド同期の安全性も「キーファイル」と「クラウド会社」を手軽に選べる限り、bitwardenに負けることはない。
そう、最後の砦はキーファイルしかなく、私の中では「bitwardenの外部クラウドがキーファイルの立場」だと思っており、外部クラウドにされると利便性の差で負ける。
bitwardenの弱点
- パソコンの生体認証が実装されるかわからない
- 外部クラウドが大変・キーファイルがない
生体認証は次の章で説明するとして、自社クラウド依存はLastPassのようなことを想像してしまい使いたくない。
KeePassの「キーファイル」と「お手軽クラウド選択」がそのリスクを極限まで無効化していたため、私もその魅力に惹かれた。
今のところbitwardenクラウドを簡単に変更できないかぎり、私は乗り換えない。
といいつつ、紛失時KeePassにログインできない完璧に詰んだ状況用に、bitwardenを仕込んだ使い方はしている。
KeePassを乗り換えるか悩んでいるなら、この使い方で感覚を掴むのはアリだ。
潜在能力(生体認証)
現在対応しているのはアプリのみで、パソコン関係は使えない(実装済み)。
顔認証が対応すればほぼ敵なしになり、Enpassというソフトも食べられてしまうかも。
ただし、これは「願望」であり、実装される保証はない。
実装されたって言ったでしょ!
bitwardenを使用した感想
WindowsとAndroidの使用感を述べる。
統一されたクロスプラットフォームのため、別のプラットフォームでも参考になるかもしれない。
パソコン(拡張・Web・デスクトップ)
「拡張機能で自動入力をおこなう仕様」のようで、Webブラウザとデスクトップアプリだけでは情報登録とコピペしかできない点に注意。
唯一英語表示のWebブラウザは、Webでしかできない設定を最初にやってしまえばほぼお世話にならないし、デスクトップアプリは使いやすいが同じことを拡張機能でもできるため、選ぶ意味は薄れている。
ここでKeePassの自動入力と、bitwardenの自動入力を比べてみよう。
当たり前だが、bitwardenの方が早い。
入力の際にポポンっというようなアニメーションもついているし、自動入力中に別ウィンドウをクリックして暴発するようなこともない(KeePassあるある)。
直感的に使える部分が現代的で、機能の近くに説明もついており、迷わなかった。
スマホアプリ
かなり使いやすいが、Keepass2Androidとの使いやすさの差はなし。
Pie(パイ)前のAndroidでも、「ログインページ(Webかアプリ)」→ ステータスバーを上からスワイプ「通知領域」→「入力したい情報」をタップで自動入力してくれるので、非常に使い勝手が良い。
ただ、Keepass2Android完全体は「ログインページ」→「ユーザー」→「パスワード」だけで終了し、アプリログインなら「ログインページ」にたどり着いた時点で自動入力される。
bitwardenは拡張機能版とほぼ使い方が変わらず、UIが統一されたクロスプラットフォームの偉大さも思い知った。
「Keepass2Android完全体への道」はこちらを参照。
時代はbitwarden
KeePassではできない「フォーム記入」の移行もできるので、LastPassユーザーはそのままbitwarden濃厚だ。
1Passwordからのデータ移行。
パソコンでのアカウント作成・インストール方法はこちらで紹介している。
スマホアプリはこちら。
KeePassは終わっていない
セキュリティは引き続き勝っているとはいえ、「やりすぎな部分が多く、導入への壁がマイナス」という結果になった。
ここまで「利便性とセキュリティの両立」を仕掛けられると、追われる側は脅威を感じる。
それでもKeePassを使いたい、完全体にしたいなら以下の記事を参照しよう。「他のサイトより詳しい」ということは保証するぞ。
KeePassへの移行はこちらを参照。
コメント
返信が遅れて大変申し訳ございません。ご回答ありがとうございます。ぷっぷさんの回答と記事を参考にさせていただきます。 長文失礼しました。
こんにちは。ぷっぷさんに質問なのですが、パスワード管理ソフトのマスターパスワードは何桁ぐらいにしていますか?
20桁以上ですね……(´ε`;)
現在はDicewareを使った方法を使い簡単にかさ増しできるので、それを使ったほうが良いです!
【三種の極意】パスワードの付け方テクニック集(Dicewareを使った方法)
> 念のため指摘しておくが、指紋・顔といった生体認証をスマホの画面ロックで使用しているのに、同じ認証情報でマスターパスワードを解除しようとしているのなら、「パスワードを使いまわしている状態」なので注意。
> 人差し指は画面ロック、小指はbitwardenといった使い方でセキュリティは上がる。
手元のiPhone 8とAndroid端末(Pixel 4a)で確認してみましたが、スマホの画面ロックと異なる生体認証を使うことはできない仕様になっていました。
というか画面ロック用とは別に各アプリ独自の生体認証を行うのは不可能ではないかと思います。アプリ側から指紋センサーにアクセスされたらそれこそ大問題なので。
セキュリティガチ勢を名乗るためにはアプリ側の生体認証をOFFにしたほうがいいってことですかねぇ……
思い切って消しておきました!
ついでに、Bitwardenのパソコン生体認証の部分を更新し忘れていたので、そこも改変しておきました∩(・∀・∩
う~ん・・・。
外部クラウドにヴォルトを保管できるという点は、はじめからストレージは侵害されるものだと考えればそれほどこだわるべき部分だとは思えないのですがいかがなものでしょうか。
個人的にはそれよりも、実際にストレージが侵害されてから更にヴォルトが侵害されるまでの時間を稼ぐことのほうがよっぽど重要なように感じます(侵害に気づかなければ無意味ですが)。
KeePassは、ユーザーの記憶要素であるマスターパスワードと、ユーザーの記憶に頼らないキーファイルを併せるで暗号化キーを二要素で保護することができます。さらに検証用キャッシュをヴォルトに載せないことで整合性の検証をも困難にさせるため、かなり強力な保護手段ですね。もちろん同じクラウド上に格納してしまっては途端に意味を失ってしまいますが。
1Passwordも、ユーザーの記憶に頼らないシークレットキーを用いることで暗号化キーを二要素によって保護します。
シークレットキーはiCloudやGoogleアカウントに同期されてしまうようなので若干の不安は残りますし、OSSではない点も不安点ではありますね。
いっぽうでBitwardenはKDF反復回数は増やせるものの、マスターパスワード以外に暗号化キーを保護する手段が見当たりませんでした。
例えば高齢者にも使わせたいような場合にはあまり複雑なマスターパスワードを設定できないため、KeePassはもちろんですが、1PasswordよりもBitwardenが安全だとはとても言えないように感じています。
私自信は普通にクラウドにアップしています!
「KeePassを使っている人は基本的にそういう方が多いのかな?という偏見ありきで書いた感じの記事」なので、私もキーファイルを使っている、さらにArgon2もしているのであれば、時間稼ぎ的に十分だと思っています。
これもArgon2で対応する感じですね。設定記事の方は結局クラウド、さらに侵害された時の時間稼ぎもセットで紹介しております。
もちろん伝えております!……ってあれ?
全部こっちに書いてありますね・・・
参考【SSS】ガチ勢分析!KeePassのココがすごい
というか、この記事に上記リンクがないからおかしいですね(゚~゚o) 上記記事の方が新しいので、追加わすれですね。
ちなみに、この記事自体はKeePassの魅力を結構省き、初心者になんでもいいからパスワード管理をしてもらうため、Bitwarden推奨色を強く作られています。
うーん、高齢者ですか……
「万人に導入してもらう」ことは不可能だと思いますので、そこは諦めます!