-150x150.webp)
ひできパスワードを求めるサイトやアプリが増えてパスワード管理が大変だよ。
-150x150.webp)
りさパスワード管理する方法で何かいい方法って無いかしら?
楽天市場やAmazon、ZOZOTOWNなどで買い物したり、銀行アプリへのログインなど様々な場面でログインが必要になることが多いです。
同じIDやパスワードを使いまわすのはセキュリティの観点からとても危険ですが、管理するのが大変なのも事実。
このBitwardenは無料で利用することができるのに、外部機関Cure53によって監査が行われているため安全性がある程度担保されています。
なぎBitwardenはシンプルで使いやすいね。
AndroidでもiPhoneでもパソコンでも利用できるので、ぜひおすすめしたいです。
ぜひ最後までご覧いただければ嬉しいです。
- DIYで棚やキッチンテーブルを複数作成経験あり
- 原状復帰可能な方法を中心に紹介
- 手軽で生活の質が向上するものをDIYで作っていきます
Bitwardenとは?
Bitwardenとはパスワードマネージャーの1つで、2016年に設立されたアメリカのカリフォルニア州にあるBitwarden.Incという会社が提供しています。
ただし、Bitwardenはアメリカの企業ですが、オープンソースの性質を生かして世界中の開発者が改良に関わっており、パスワードマネージャーのBitwardenの特徴を挙げると以下の通りです。
- Android、Windows、iOSで利用可能
- 無料で利用できる
- エンドツーエンドの暗号化で安全
- ゼロナレッジ暗号化の採用によりデータ漏洩を無意味にしている
- 第三者機関によるセキュリティ監査を実施し安全性を担保
- バグ報奨金制度を採用してバグの発見に努めている
-150x150.webp)
ひでき無料でほとんどの端末で使えるなら便利だな
-150x150.webp)
りさ第三者機関でセキュリティ監査が実施されているなら安心して使えるわね
無料のパスワードマネージャーでは、安かろう悪かろうのものも少なくありません。
しかし、Bitwardenは無料で利用でき、セキュリティ的に問題があるかどうかのチェック体制がしっかりしているだけでなく、マルチデバイスにも対応しています。
なぎパスワードマネージャーって何を使ったらいいんだろう?
と悩んでいる方へのおすすめパスワードマネージャーの1つと言えます。
パスワードマネージャーとは?
そもそもパスワードマネージャーとは何かというと、ログイン情報やカード情報といった重要な情報を管理するための仕組みで、有料・無料のサービスが多く存在します。
例えば、
- Googleパスワードマネージャー
- iCloudキーチェーン
- 1Password
といったものがあります。
りさでも、なぜパスワードマネージャーを利用する必要があるの?
なぎランダムなパスワードを管理するために利用するんだ。
一昔前は、一定期間ごとにパスワードを変更することでセキュリティリスクを下げられると言われていました。
そのため、現在ではパスワードを一定期間で変更するよりも、連想されないように英数字(大文字と小文字)と記号をランダムに組み合わせたパスワードを長期間利用する方が良いとされています。
2024年5月にリニューアルされた、総務省の「国民のためのサイバーセキュリティサイト」というサイトでは、安全なパスワードの設定・管理に関する解説ページにて、明確に「パスワードの定期な変更は必要ない」ということが明記されました。
パスワードの定期的な変更は不要!今年5月に刷新された総務省の指針を読み解く
ひできパスワードマネージャーならどれを使っても良いのか?
なぎ安全なパスワードマネージャーでないとパスワードマネージャーから情報漏洩があるから大変なことになるよ。
パスワードを管理するパスワードマネージャーの脆弱性を突かれて情報が漏洩すれば、パスワードをまとめて管理している分被害が大きくなります。
便利なパスワードマネージャーである分、きちんと安全なものを使わないといけません。
-150x150.webp)
ひできおすすめのBitwardenだけど、具体的にどんなところがおすすめなんだ?
なぎBitwardenの特徴を次の章で詳しく紹介するね
Bitwardenの特徴とは
Bitwardenの特徴は先に紹介していますが、再掲すると以下の通りです。
- Android、Windows、iOSで利用可能
- 無料で利用できる
- エンドツーエンドの暗号化で安全
- ゼロナレッジ暗号化の採用によりデータ漏洩を無意味にしている
- 第三者機関によるセキュリティ監査を実施し安全性を担保
- バグ報奨金制度を採用してバグの発見に努めている
なぎそれぞれの特徴について詳しく見ていくよ
Android、Windows、iOSで利用可能
パソコンならChromeの拡張機能を導入することでサイトを表示したときに自動的にIDやパスワードを自動入力させることができます。
また、スマホやパソコンでBitwardenに登録情報を追加するとすぐに変更が反映されます。
Bitwardenは、万が一スマホを落としてしまった時でもBitwardenアプリを起動するとパスワードを入力するか、生体認証でロック解除する必要があります。
パスワードをアプリを開くたびに入力するのは不便なので、顔認証でロック解除ができるのは思った以上に便利でした。
なぎこの機能がめっちゃ便利で、いちいちBitwardenに入力する手間が省けるよ
ちなみに、パソコンでも生体認証でBitwardenにログイン可能ですが、カメラが搭載されていないと顔認証が使えません。
そのため、デスクトップではパスワードを入力になるのが多いですね。
無料で利用できる
Bitwardenは無料と有料と選ぶことができます。
個人で利用するなら無料版で全く問題がないです。
ひできじゃあ、有料版はどういうときに使うんだ?
有料版を利用する場合は、法人で利用する場合だと思います。
パスワード情報を共有する、多要素認証(2FA)をより強力なものを利用したい、レポート機能が欲しいといった場合に有料プランを利用するイメージです。
無料プランと有料プランとの違いを以下の表にまとめていますので、ご覧くださいね。
| 項目 | 無料プラン (Free) | 有料プラン (Premium) |
|---|---|---|
| 料金 | 無料 | 年間 US$10(=月あたり約US$0.83) |
| 対応ユーザー数 | 1ユーザー | 1ユーザー |
| パスワード・ログイン保存数・デバイス | 保存数・デバイス数ともに無制限 | 同じく無制限 |
| パスワード同期/複数デバイス対応 | 対応 | 対応 |
| 安全機能・暗号化など基本機能 | 基本機能あり(ゼロ知識暗号化、マルチデバイス、ブラウザ拡張など) | 無料プランに加えて拡張機能あり |
| 多要素認証(2FA)・ハードウェアキー対応 | 2FA(認証アプリ、メール、ハードウェアキー)など一部対応 | より高度な2FA対応(例:YubiKeyやDuoなど) |
| 組織/共有機能 | 他ユーザー1人との共有が可能な「無料組織 (Free Organization)」あり | 共有機能自体は有料プランで強化されており、ファイル添付やレポート機能などが追加 |
| ファイル添付/暗号化ストレージ | ファイル添付機能なし(または制限あり) | ファイル添付・暗号化ストレージ(例:1 GB)あり |
| 緊急アクセス機能 | なし | あり(指定した他人がアクセスできるようにする機能) |
| パスワード健康レポート(弱いパスワード・流出チェック) | 限定的またはなし | レポート機能あり(パスワードの脆弱性チェックなど) |
エンドツーエンドの暗号化で安全
パスワードを暗号化するには2つの方法があります。
- 使用している端末で暗号化して、暗号化した情報をサーバで保管
- 暗号化前のパスワードをサーバに送信し、サーバで暗号化して保管
しかし、2つ目の方法だと暗号化前のパスワードがサーバに送信されますが、その送信されてる途中で盗聴されるリスクがあります。
盗聴されてしまえば、パスワードが丸見えなので非常に危険だといえます。
Bitwardenの暗号化手法はAES-CBC-256
暗号化済みのパスワードをサーバに保管しているので、サーバがハッキングされても保管されたパスワードが解読される可能性は低いです。
りさ暗号化されていても、時間をかければ解読されてしまうのでは?
なぎBitwardenは高性能な暗号化手法を採用しているだけでなく改ざんの検知も導入されているんだ。
暗号化方法を詳しく紹介するね。
Bitwardenが活用している暗号化技術はAES-CBC-256というものを採用しています。
AES-CBC-256を簡単に説明すると、世界中の政府機関でも利用されている暗号化手法を使っている、ということです。
もう少し詳しく説明すると以下のようになります。
- AES-CBC
暗号化の標準であり、米国政府および世界中のその他の政府機関によって極秘データを保護するために利用されている
ライブラリやハードウェアで幅広くサポートされており、暗号化の速度が高速
改ざんを保証するHMAC-SHA256と組み合わせると、より強固な安全性を実現 - 256
256ビット長の鍵を使ってパスワードを暗号化している
128ビット長よりも安全性が高い
ひでき政府機関でも利用されているものなら安全だな。
なぎ問題となるほどの脆弱性は無いね。
でも、現在での主流はAES-GCMという方式だからちょっとだけ古い設計かも。
Bitwardenの採用しているAES-CBCは長年利用されてきた実績のある暗号化手法です。
しかし、現在ではAES-GCMという暗号化手法が主流です。
AES-GCM(Galois / Counter Mode)の特徴を挙げると以下の通りです。
- 暗号化と認証(改ざん検知)が一体化した暗号化手法
※AES-CBCを利用する場合は、別途認証機能を導入する必要あり - 暗号化したものと認証タグが一緒に送信され、復号時(暗号化を元に戻す作業の時)に認証タグを再計算する
送られた認証タグと再計算した認証タグが一致していれば、改ざんは無かったと判断できる - AES-CBC + 認証機能に比べて、暗号化と認証を同時に処理できるから高速
- AES-CBC + 認証機能よりも簡単に実装ができる
- 1PasswordやGoogle Password Managerが採用している
りさAES-GCMの方が安全なら、1PasswordやGoogle Password Managerの方が良さそうね。
なぎ安全性だけを見るならそうかも。
でも、1Passowrdなら年間で5000円以上になるし、iPhoneやWindowsなど複数のデバイスを使うのならBitwardenの方がいいかもね。
ゼロナレッジ暗号化の採用によりデータ漏洩を無意味にしている
りさゼロナレッジ暗号化って何かしら?
なぎゼロナレッジ暗号化とは、利用者のデバイスで暗号化したデータをサーバで保存する方法だね。
この方法は、暗号化前の情報が外部に漏れないから安全なんだ。
Bitwardenはゼロナレッジ暗号化を利用しているため、Bitwardenの関係者であっても利用者のデータを見ることはできません。
利用者のデバイスで暗号化したデータをBitwardenのサーバに保存するため、復号化(暗号化したデータを元に戻す作業)に必要なキーがBitwardenのサーバ内に無いためです。
ひできサービス提供者でも分からないなら、万が一流出しても安心だな。
なぎ流出しない工夫もされているけど、念には念を入れている印象だね。
第三者機関によるセキュリティ監査を実施し安全性を担保
りさこれまで紹介してきた機能だけで十分な気もするわ。
なぎ全てが正しく機能していたら、ね。
Bitwardenでは、その安全性が本当に担保されているかの監査を第三者機関に依頼し、実施しているんだ。
Bitwardenは、これまで紹介してきた機能などでセキュリティリスクが無いかを外部機関のCure53(ソースコードの監査とモバイルアプリSDKの侵入テスト等)を毎年監査が行われています。
2024 Bitwardenマーケティングウェブサイトセキュリティ評価
Bitwardenは、セキュリティ会社Paragon Initiative Enterprises(PIE)によるBitwardenマーケティングウェブサイトの専用監査を完了しました。
type: asset-hyperlink id: 3alBclinYuMVZ9erf1tuhM
2024 ビットワーデンモバイルアプリセキュリティ評価
Bitwardenは、セキュリティ会社MandiantによるBitwardenモバイルおよびモバイル認証アプリケーションの専用監査を完了しました。
type: asset-hyperlink id: 5xEFYurTu7zhrlKg8dM9Wr
2024 ウェブアプリとネットワークのセキュリティ評価
Bitwardenは、セキュリティ会社Fracture Labsによるウェブアプリと関連するネットワークコンポーネントの専用ソースコード監査と侵入テストを完了した。
type: asset-hyperlink id: 7MlQ3dJr20zEwA2FIDlPET
2024 モバイルアプリとSDKのセキュリティ評価
Bitwardenは、セキュリティ会社Cure53による専用のソースコード監査とモバイルアプリとSDKの侵入テストを完了しました。
type: asset-hyperlink id: bEfNZ6r3BJ9ehwNfAqw6C
Bitwarden:コンプライアンス、監査、および認証
Cure53はドイツのサイバーセキュリティ企業であり、セキュリティ研究者であるマリオ・ハイデリヒ博士によって設立されました。
Cure53の実績としては、ExpressVPN KeysやFireFoxアカウントの安全性の確認などしています。
また、2024年からはセキュリティ会社Fracture LabsとMandiant、Paragon Initiative Enterprises(PIE)の監査も完了しています。
りさ複数の企業による監査を受けているなら安心感が違うわね!
バグ報奨金制度を採用してバグの発見に努めている
ひできバグ報奨金制度って何だ?
聞いたこと無いけど。
なぎバグバウンティングプログラムというもので、セキュリティの脆弱性を発見し、報告することで報酬を提供するものだね。
セキュリティの向上、コミュニティとの関係性構築が主な目的だよ。
バグ報奨金制度(バグバウンティングプログラム)は、報告されたセキュリティの脆弱性を報告する外部のセキュリティ研究者やハッカーに対して、金銭的な報酬を提供するシステムです。
バグバウンティプログラムは、セキュリティの脆弱性を発見し、これを報告する外部のセキュリティ研究者やハッカーに対して、金銭的な報酬を提供するシステムです。このような取り組みは、企業が自らの製品やサービスのセキュリティを強化し、同時にセキュリティコミュニティとの協力関係を構築する目的があります。
バグバウンティとは?ハッカーの力を借りて脆弱性対策!概要を解説!
このバグバウンティングプログラムを利用するメリットとして
- セキュリティの向上
- コスト削減
- コミュニティとの関係構築
といったことが挙げられます。
Bitwardenは、主にセキュリティ研究者と交流を目的としていると見ることもできますが、HackerOneには執筆時点で90日間で13件のレポートが集計されています。
バグ報奨金プログラム
Bitwardenはまた、HackerOneのプライベートバグバウンティプログラムを通じて、独立したセキュリティ研究者と交流しています。
コンプライアンス、監査、および認証
まとめ:無料で安全に使えるBitwarden|スマホ・PC対応のパスワード管理
最後までご覧いただきありがとうございます。
Bitwardenは無料で利用でき、パスワードの暗号化、管理方法が第三者によって監査されているため比較的安全に利用ができます。
また、Bitwardenはゼロナレッジ暗号化を採用しているためサービス提供者であるBitwardenも保存されたパスワードを見ることができません。
逆に言えば、何らかの方法でパスワードが漏洩した場合でもある程度は安全と言えます。
そういったことから、スマホやパソコンの複数のデバイスで利用するのならBitwardenは1つの選択肢になると思います。
Bitwarden以外にも1PasswordやGoogle パスワードマネージャーなどがありますが、Bitwardenに興味があればぜひ使ってみてください。
それでは、なぎ(@lifenagi)でした。
コメント