Bitwardenは、エンドツーエンドで暗号化され、オープンソースかつ無料で使用できるパスワードマネージャーとして、人気を集めています。この記事では、Bitwardenの有料版と無料版の違いと、基本的な使い方について、わかりやすく解説しています。
Bitwarden無料版の概要
Bitwardenの無料版と有料版の違い、安全性、脆弱性について解説します。
Bitwardenとは
「Bitwarden(ビットウォーデン)」は、アメリカのBitwarden社が提供する、オープンソースのパスワードマネージャーです。個人使用であれば無料で使用できます。
ゼロ知識のエンドツーエンド暗号化により、サーバー管理者であっても内容を確認できず、ユーザーのデータは完全に保護されます。
Windows、macOS、Linux、iOS、Androidなど、ほとんどのプラットフォームに対応しており、複数のデバイス間でシームレスに同期されます。
「bit」はデジタル、「Warden」は監視人というような意味です。マインクラフトの敵mobである「ウォーデン」と同じです。
無料版と有料版の違い
Bitwardenには、ビジネスプランや家族プランもありますが、個人利用に絞って、無料版とプレミアム版の比較をしたいと思います。
| 無料 | プレミアム | ||
|---|---|---|---|
| 料金 | 0円 | 10ドル/年 | |
| パスワード管理 | ◯ | ◯ | |
| パスワード生成 | ◯ | ◯ | |
| 無制限のデバイス | ◯ | ◯ | |
| Sned | テキスト | ◯ | ◯ |
| ファイル | ー | ◯ | |
| 添付ファイル | ー | 1GB | |
| 二段階認証 | メール | ◯ | ◯ |
| 認証アプリ | ◯ | ◯ | |
| FIDO2 WebAuthn | ◯ | ◯ | |
| Yubikey | ー | ◯ | |
| Duo | ー | ◯ | |
| Bitwarden認証器 | ー | ◯ | |
| ヘルスレポート | ー | ◯ | |
| 緊急アクセス | ー | ◯ | |
| 優先サポート | ー | ◯ | |
| セルフホスト | ◯ | ◯ | |
FIDO2 WebAuthnとは
FIDO2 WebAuthnとは、認証デバイスキーを使用して、ID・パスワードなしにウェブアプリにログインする仕組みです。
Yubikeyとは
Yubikeyは、Yubico社が提供している認証デバイスキーです。
複数の認証プロトコルに対応しており、FIDO2 WebAuthnも含まれています。
おそらくですが、Yubikeyを使ったFIDO2 WebAuthnであれば無料プランでも使用できるが、その他の認証プロトコルの場合は有料プランが必要になる、ということだと思います。
ポチップDuoとは
Duoは、Cisco社が提供するクラウドベースの認証システムです。
Bitwarden認証器(TOTP)とは
Bitwarden認証器(Bitwarden Authenticator)は、QRコードを使った時間ベースの二段階認証機能を提供するアプリです。パスワードマネージャーとは別アプリとなっています。
Bitwarden認証器は無料で使えますが、有料プランを契約するとパスワードマネージャーと統合され、二段階認証の手間が少なくなる、ということのようです。(よく分かりませんでした)
緊急アクセスとは
あらかじめ信頼できる連絡先を登録しておくことで、緊急時にアクセスを許可する機能です。
Bitwardenを使うメリット
Googleパスワードや、iOSパスワードアプリなどに比べ、Bitwardenを使うメリットをご紹介します。
クロスプラットフォーム対応
GoogleやAppleが提供するパスワードマネージャーは、自社システム(Android+Chrome、iOS+Safari等)に最適化されているので、他のプラットフォームで利用しようとすると、不便なことがあります。
Bitwardenであれば、どのプラットフォームでも同じように使用できます。
オープンソース
Bitwardenは完全なオープンソースであり、GitHubで公開されています。
多くの専門家によってセキュリティがチェックされており、透明性が高いです。
一方でGoogleやAppleのようなサービスは、ブラックボックス化しており、内部の仕組みを確認することはできません。
ベンダー依存からの脱却
GoogleやApple等の大手ベンダーに依存し過ぎると、何か問題が発生した時の影響範囲が大きく、どうしようもできなくなる可能性があります。
Bitwardenを使用することで、独立性を確保できます。
エンドツーエンド暗号化
Bitwardenのデータは、ユーザーのデバイスで暗号化され、サーバーに送られます。
サーバーはBitwarden社が管理していますが、内容を確認することはできません。
セルフホスティング
Bitwarden社のサーバーではなく、セルフホスティングを利用すれば、完全なプライベート環境を構築できます。
ただし、サーバー運営の専門知識が必要となるので、簡単ではありません。
Bitwardenの代替実装である、Vaultwardenを利用すると、さらに独立性が高まります。
Bitwardenの脆弱性
Bitwardenは、過去に何度か脆弱性の指摘を受けています。
その度に修正されていますが、「iframeの問題」は未だに残っているので、注意が必要です。
簡単に言うと、iframeを使って偽のログインページを作成し、Bitwardenが自動入力したパスワードを盗み取る手法です。
これを防ぐためには、自動入力をオフにしておくことが推奨されています。(初期設定でオフなのでそのままにする)
Bitwarden無料版の使い方
GoogleパスワードマネージャーからBitwardenへの乗り換えを例に、WindowsのChrome拡張、Android、iOSでの使い方、注意点について解説します。
アカウント登録
ブラウザでBitwardenの公式サイトを開き、右上の「始める」をクリックします。
使用するサーバーを「.com」「.eu」から選択することができます。プライバシー保護のことを考えると「.eu」の方が良いのではないかと思います。
メールアドレスを入力し、「サインアップ」をクリックします。
認証メールが届くので、「Verify email」をクリックします。
マスターパスワードを設定し、「アカウントの作成」をクリックします。
マスターパスワードは複雑で強力である必要があるのですが、(設定によっては)頻繁に入力することになるので、バランスも必要となります。
マスターパスワードは、忘れた場合のヒントは設定できますが、再設定はできません。忘れたら二度とログインできなくなります。
アカウント登録が完了しました。
後は、「データをインポート」と「ブラウザ拡張機能をインストール」作業が残っています。
Chrome拡張のインストールとデータのインポート
ここでは例として、Google Chromeで、Googleパスワードマネージャーの代わりにBitwardenを使用する方法をご紹介します。(その他のブラウザでも大体同じです)
拡張機能のインストール
Chromeウェブストアから、Bitwardenパスワードマネージャーをインストールします。
データのエクスポート
Chromeの「Googleパスワードマネージャー」から、パスワードデータをエクスポートします。
右上のユーザーアイコンをクリックし、「鍵」アイコンから、Googleパスワードマネージャーを開きます。
「設定」から、「ファイルをダウンロード」をクリックし、CSVファイルを保存します。
エクスポートデータのバックアップ
データの紛失に備え、エクスポートしたCSVファイルを、別の場所にバックアップしておくことを強くおすすめします。
平文で保存されているので、別途、暗号化は必要です。
データのインポート
Bitwardenの管理画面を開き、「ツール」から「データをインポート」をクリックします。
ファイル形式で「Chrome (CSV)」を選択し、ダウンロードしたCSVファイルをインポートします。
Googleパスワードマネージャーの無効化
この状態では、GoogleパスワードマネージャーとBitwardenの機能が競合しているので、Googleパスワードマネージャーの方を無効化します。
Googleパスワードマネージャーの設定画面を開き、「パスワードとパスキーを保存するか確認する」をオフにします。
エクスポートしたデータがバックアップされていることを確認の上、「データを削除」をクリックします。
これで、Bitwardenを優先的に使用できるようになります。
Androidアプリのインストール
Google Playストアから、Bitwardenアプリをインストールします。
Androidの「設定」から「パスワードとアカウント」をタップします。(バージョンにより異なるかもしれません)
多くの場合、自動入力サービスが「Google」になっていると思うので、「Bitwarden」に変更します。
アプリの使い方は、見ればだいたい分かると思いますので、割愛させていただきます。
iOS
App Storeから、Bitwardenアプリをインストールします。
iOSの「設定」-「一般」から、「自動入力とパスワード」をタップします。
「パスワードとパスキーを自動入力」をオンにします。
「自動入力の取得元」で、「Bitwarden」のみをオンにします。
よくある質問
Bitwardenのよくある質問をご紹介します。
ログインできない
Bitwardenにログインするには、正しいサーバーが選択されている必要があります。
本記事では、「.eu」でアカウントを作成したので、「.com」ではログインできません。
画面によっては、サーバー変更のボタンが下の方にあって分かりにくいことがあるので、ご注意ください。
マスターパスワードを忘れた
Bitwardenでは、パスワードリセットではできません。
できることは、次の3つに限られます。
- 設定したメールアドレスにヒントを送信する
- 登録済みの連絡先に緊急アクセスを要求する(プレミアム限定機能)
- 組織の管理者にアカウント復旧を要求する(ビジネス限定機能)
つまり、個人の無料版で使用している場合、マスターパスワードを紛失すると、復旧する手立てはありません。
エクスポートデータがバックアップされていれば、アカウントを再作成することはできますので、定期的にバックアップを取得することをおすすめします。
エクスポートデータが流出してしまうと大変なことになるので、必ず暗号化するようにしましょう。
Bitwarden無料版のまとめと、使ってみた感想
パスワードマネージャーなんて、機能はどれも似たりよったりなので、わずかな使い勝手の違いとなります。
私は今までGoogleパスワードマネージャーを使用していましたが、複数のデバイスやブラウザを切り替えて使用するには、不便に感じることもありました。
その点Bitwardenは、かなり使いやすく、連携もスムーズなので、この機会に乗り換えました。
今のところ、イチオシのパスワードマネージャーとなっています。
セルフホスティングについても、簡単に行う方法がないか模索中です。
