あのときのログ

思ったこと、経験したことを忘れないようにするためのメモ。

まだパスワード管理で消耗してるの?Bitwardenを使ってみた

f:id:catnapper_mar:20210624022909p:plain
bitwarden.com Top画面イメージ

パスワードってどうやって管理している人が多いのだろうか。

ブラウザやスマホのパスワード管理機能を使っている人はかなり多いと思うが、満足しているだろうか。

自分はここ1年ほど感じていた課題感からパスワード管理ツールとしてBitwardenを使ってみることにしたのでその動機にも触れつつ紹介してみることにする。

bitwarden.com

自分の従来の管理方法

これまではChromeはブラウザ用、iPhone(キーチェーン)はアプリ用という具合で、パスワード管理機能を併用して管理していた。

iOSChromeバージョン86 から、アプリでの自動入力にもChromeで保存しているパスワードが使えるようになったので、Chromeに集約することも可能ではあったが、バックアップの意図もあり両方で保管することにしていた。

しかし、ChromeにしてもiPhoneにしても、そもそも両者には物足りなさというか、いくつかの小さな不満があった。

URLがないと登録できない

ブラウザに付いている機能なので当たり前といえば当たり前なのだけど、ブラウザを通さず使用しているアプリのパスワードは自動で登録されないし、URLが必須項目なのでiPhoneで手動登録するにもダミーのURLを入力する必要がある。

自動登録が気まぐれ(iPhone

iPhoneでキーチェーンへの登録は新規パスワード作成時であればだいたい「キーチェーンに保存しますか?」と提案されるが、既にIDを持っているアプリでログインをした時に、iPhoneに保存されていなければ必ず提案されるかと言えば、そういうわけでもないらしい。 URLを取れるかどうかで決まっているのかなど、仕様を把握できていないのであまり強く言えないが、ユーザ側としては気まぐれ感が強い。

まぁ手で登録できるのが救いではある。

自動登録しかできない(Chrome

Chrome最大の泣き所がこれ。ログインした際に自動で登録してくれるのはありがたいのだけど、逆に自動でしか登録されないので任意に個別追加することができない。

ブラウザを使っているときはそれほどストレスにはならないのだけど、一度ログインをしないことには登録することができないし、アプリのパスワードは仕組み的に登録不可。

あくまでブラウザの補助的機能という位置づけなので仕方ないとは思うが、パスワード管理として見た時、自分で登録をコントロールできない時点で管理できているとは言い難い。

パスワード生成ルールに合わない

新規にパスワード登録する際に、Chromeではパスワードフォームを右クリックすると「安全なパスワードを自動生成」という選択肢が出てくる。iPhoneの場合は(というかSafariでは)「強力なパスワード」というものがフォームに自動入力される。

この機能はランダム文字列をパスワードに設定するのに抵抗さえなければ大変便利なのだが、時に文字数や文字種類数がそのサイトのパスワードポリシーに合わないことがあり、自動生成したものをそのまま使えないことがある。

しかもSafariの場合は提案されたその文字列の編集ができないので提案を却下して「独自のパスワードを選択」するしかない。

Safariでパスワード作成時に提案される「強力なパスワード」

そんなわけで、各種パスワードポリシーに適合するパスワード文字列を生成できるツール(下記例)が手放せなくなる。

www.luft.co.jp

ただこのサイトもスマホ使用時には向かないし、そのためにわざわざ別アプリを探すのはちょっとダサいので、ワンストップで提供してほしい。

無料ツールへの依存

これは不満というか不安で、パスワード管理に限らずWebサービス全般に言えることだけど、ChromeiPhoneキーチェーンも結局無料で提供されているおまけに過ぎないので(Googleには課金してるけど)、万が一漏洩してしまっても大した説明は得られないだろうし、垢バンやその他の理由である日突然使えなくなっても打ち手が限られてしまう。

漏れたり無くなったりするとメチャクチャ困る、重要な情報を預けるサービスであるからこそ、きちんとお金を払って価値提供を受けるべき、と以前から考えていた。

Bitwardenについて

有料のパスワード管理ツールも結構な数があり、最初は 1Password にしようと考えていた。

だが1Passwordはかなり前から名前を聞く老舗の認識(調べてみると初版が2006年6月)だったので、今ならもっと新しいイケてるサービスがあるのではないか?と思い対抗ツールなどを見ていくと、Bitwardenという 2016年8月に登場の新しいサービスが台頭しており、さよなら1Passwordみたいな書き方も見かけたので、使ってみることにした。

特徴(いいところ)

オープンソース

曰く、Bitwardenの最も重要な特徴であり、オンラインのセキュリティソリューションにとってコードの透明性は要件であるべきという信念があるとのこと。

オープンソースであることがセキュリティレベルを証明する要因の1つにもなっている。

なおセキュリティに関して補足すると、Bitwardenはサードパーティーのセキュリティ会社による監査を受けており、かつバグ報奨金プログラムを通じてセキュリティ研究者とのコミュニケーションも取っているとのこと。

また、もしBitwardenがハックされても、ユーザの保管データとマスターパスワードはAES-CECとPBKDF2を組み合わせた 強力な暗号化と一方向のソルトハッシュ 対策により保護されるため、安全だとされている。

bitwarden.com

(興味深いけど難しい...)

余談だが、BitwardenはAzureにホスティングされているらしい。Azureで大障害が起きたら使えない可能性はあるってことね。

無料

これが1Passwordユーザの乗り換えをも引き起こしている最大の要因だろう。どうせならきちんと課金したいと思いつつも、無料で使い倒してから考えられるというのはありがたい。

※1Passwordも無料トライアルはできるが14日間。ちと短い。

しかも有料版も1人で使うならたったの$10/年。安い!

1Passwordの$36/年も決して高くはないのだが、財布の紐に対するこの心理的ハードルの差は大きい。

パスワード生成ツール

他の有料ツールでもだいたいこの機能はあるのだが、やはりツール内で完結できるのは嬉しい。パスワード更新したいときもアイテムの編集画面からスムーズに新しいパスワードを自動生成できる。

パスワード生成機能

最終的にサイトのパスワード入力欄に貼り付けるひと手間はあるが、それくらいはまぁセーフ。

パスワード履歴

例えばサイト内の複数サービスで同じパスワードで認証している場合などがあると、パスワード更新の際に上書きして以前のパスワードが消えてしまうのは少々不安がある。

Bitwardenではパスワードの履歴を5回分まで保持できるのでその心配からは解放され、遠慮なく上書き保存することができる。

TOTP管理

二段階認証ツールBitwarden Authenticator を提供しており、ログインから二段階認証までこれで完結(良し悪しは別として)。

二段階認証ツールは既にAuthenticatorやAuthyを使って必要なアカウントはほぼ設定してしまったので基本的には使っていないが、試しに1つ設定して使ってみた感想としては、、、Authyで十分かな。 ただAuthyと同じく端末依存せずに安全に、かつアカウントとセットで保存しておけるので、バックアップ的に新規で何か二段階認証を登録する際にはこっちにも入れてみようかな、くらい。

セキュリティレポート(有料)

Chromeには「パスワードを確認」機能(Googleパスワードマネージャーの「パスワードチェックアップ」)、 iPhoneのパスワード管理にも「セキュリティに関する勧告」があり、どちらも

  • 漏洩(流出)したパスワード
  • 使い回されているパスワード
  • 脆弱なパスワード

この3種類の問題を検出してくれる機能があるので、ヤバいものがあった時に教えてもらうという基本的な要件は満たせるように思う。

Bitwardenではプレミアムアカウントに登録すると各種ヘルスチェックレポートが使えるようになるが、上記3種類の他に「非セキュアウェブサイト調査」「非アクティブ二段階認証」「情報漏えい調査」なんてものもあって興味深い。

2つほどイメージを紹介。

流出パスワード調査の結果。「流出●●回」ってのが危機感を煽って良い

情報漏えい調査。あれ、Adobeから連絡とかあったっけ...

イマイチなところ

PCブラウザでのパスワード自動入力機能は、はっきり言ってChromeに搭載された機能の方が楽。

Bitwardenは Chrome拡張を入れていてもノータッチでフォームに入力はしてくれず、拡張機能のアイコン or 右クリックメニュー経由で最低2クリックほどは必要になってしまうのでUXはあまり良くない。

このあたり、1Passwordはフォーム上にアイコンを表示してくれるのでBitwardenにも欲しいところ。

ただこの点は、ショートカットキー(cmd+shift+L)で自動入力できるし、そもそも真っ先にChromeが候補を入れて表示してくれるので、明確なデメリットとして感じる機会が無いかもしれない。

導入後の管理スタイル

単一サービスへの1本足打法はどうしても不安な面があるのと、最後に挙げた自動入力の利便性の面から、結局今のところは Chrome, iPhone, Bitwarden を併用する形を取っている。

余計消耗してるじゃねーかというツッコミは甘んじて受け入れる。

1つアカウント登録するだけでも全ツールに手動同期することになるので面倒くさいが、もうしばらくこれで行こうと思っている。

他にできそうなこと、気になっていること

  • ID、パスワード以外に入力フィールドがあるサイトで、その要素を予め登録しておくと自動入力がキレイにできる。

    • が、それが必要なサイトも限られているので、現状そこまでカスタマイズしていない。
    • AWSのIAMログイン画面はアカウントID、IAM名、パスワード と3つ入れるところがあるので、カスタマイズしておくと幸せになれるかもしれない。

  • Bitwarden CLI で各種操作が可能とのこと。個人利用での活用イメージはほとんどないが、開発でExcelスプレッドシートを使って管理しているテストアカウントの管理などをパスワード管理ツールに集約して自動化...とかには使えるだろうか。
    Bitwarden CLI | Bitwarden Help & Support

最後に

パスワード管理、メチャクチャ大事なので気になる方は是非軽く試す気持ちで使ってみてほしい。無料なので!