パスワードが危ない!無料で使えるbitwardenでパスワード管理(ダウンロード&インストール)【守る力編02前編】

ITリテラシー

この記事では、パスワードの管理方法について紹介します。

多くのサイトで使うパスワード、管理するのが大変ですよね。

管理が大変だからと言って、適当に管理するわけにもいかない…

今回は、そんな悩みを解決するbitwardenというソフトウェアを紹介します。

bitwardenとは

bitwardenとは安心して無料で使えるクラウド型パスワード管理ソフトです。
公式サイトは以下の通りです。

Bitwarden Open Source Password Manager
Bitwarden, the open source password manager, makes it easy to generate and store unique passwords for any browser or device. Create your free account on the pla...
  • クラウド型って何がいいの?
  • なぜ安心して使えるのか?
  • 他のソフトウェアと何が違うの?

まずは、こういった疑問にお答えしていきます!

 

クラウド型だから、スマホでもPCでも使える

bitwardenはクラウド型のソフトウェアです。

クラウド型のソフトウェアは、データをインターネットで同期します。

そのため、パソコンで登録したパスワードでもスマホ(Android, iPhone両方)から自動入力できます!(もちろん、逆も可能)

ただし、どのデバイスからでも好き放題にアクセスできるわけではありません。

bitwardenを使うデバイスではマスターパスワードを用いたログインが必要です。

マスターパスワードはbitwardenに使うパスワードで、パスワードのためのパスワードとも言えます。bitwardenを使う上で1つだけ頭に記憶しておかなければならないのがマスターパスワードです。

問題がない理由を説明します。

  1. マスターパスワードを入力したデバイスでのみ暗号を解除できる
    • クラウドには暗号化した状態でパスワードが保存される
    • 暗号を解除するにはマスターパスワードが必要
  2. クラウドはMicrosoftが提供している
    • 保存されたデータはMicrosoftの技術で不正アクセス遮断

以上のようになっており、そもそも不正アクセスすること自体が困難です。
もし不正アクセスされても、暗号が解かれない限り被害はありません
(bitwardenの暗号化は公的な機関により安全(強力)であることが示されています(この後の節で解説))

 

安心して使えるオープンソース

オープンソースとは、(端的に言うと)利用者にプログラムの内容を全部公開しているということです。

これは、bitwardenが「プログラムを見られても攻撃する余地がない」と主張していると捉えることができます。

その証拠に、世界中のハッカーがプログラムを閲覧できるにも関わらず、今日までbitwardenで情報漏洩などの被害は出ていません。

プログラムを公開することで、プログラムのバグなどを見つけた人に対して報酬金を払う取り組みもなされています。→public bug bounty program

さらに、bitwardenは公的な監査を完了、合格しています。(Is Bitwarden audited?を参照)

  • 2018年10月、セキュリティ会社Cure53によるソースコード監査と暗号分析を完了
  • 2020年6月、監査会社Insight RiskConsultingによるセキュリティ評価と侵入テストを完了
  • 2020年8月、SOC2 Type2 およびSOC3の認定が完了

プログラムや暗号化の安全性が十分に示されていますね。

SOCは、米国公認会計士協会(AICPA: Association of International Certified ProfessionalAccountants)によって推進されるセキュリティへの取り組みのようです。

詳細な説明はAICPAのサイトから引用します。

SOC for Service Organizations are internal control reports on the services provided by a service organization providing valuable information that users need to assess and address the risks associated with an outsourced service.

SOC for Service Organizationsは、サービス組織が提供するサービスに関する内部統制レポートであり、ユーザーが外部委託サービスに関連するリスクを評価して対処するために必要な貴重な情報を提供します。(Google翻訳)

SOC for Service Organizations

簡単に言うと、リスク評価などを消費者のためにやります、といった内容ですね。

さらにSOC2 に関してもAICPAから引用します。

SOC 2® – SOC for Service Organizations: Trust Services Criteria

Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy

Type 2 – report on the fairness of the presentation of management’s description of the service organization’s system and the suitability of the design and operating effectiveness of the controls to achieve the related control objectives included in the description throughout a specified period.

Type 1 – report on the fairness of the presentation of management’s description of the service organization’s system and the suitability of the design of the controls to achieve the related control objectives included in the description as of a specified date.

SOC2®-サービス組織向けSOC

信頼サービス基準 セキュリティ、可用性、処理の整合性、機密性、またはプライバシーに関連するサービス組織での管理に関するレポート

タイプ2-サービス組織のシステムに関する経営陣の説明の提示の公平性、および指定された期間を通じて説明に含まれる関連する管理目標を達成するための管理の設計と運用の有効性の適合性に関するレポート。

タイプ1-サービス組織のシステムに関する経営陣の説明の提示の公平性、および指定された日付の時点で説明に含まれる関連する管理目標を達成するための管理の設計の適合性に関するレポート。(Google翻訳)

SOC for Service Organizations: Information for Service Organizations

SOC2はセキュリティに特化した監査報告書のようです。

さらにType1と2があり、赤字で示してますが、Type2のほうが審査に時間を要するため厳格な審査となっています。

githubというソースコードホスティングサイトで公開されています。

リンクはこちら→https://github.com/bitwarden

オープンソースのソフトなので、自身のサーバでbitwardenをホストすることができます。

詳しくは公式のヘルプをご確認ください。

Installing and deploying | Bitwarden Help & Support

ただし、メモリの最低要件が4GBとなっており、そこそこのスペックが要求される点にご注意ください。

 

他のソフトとの違い

まずは無料で使えるという点です。

ただし、セキュリティキーといった高度な2段階認証、暗号化ストーレージ1GBを使用したい、といった場合は有料プランの申し込みが必要です。

個人向けの有料プランは次の通りです。

  • 月額$1(=110円程度)
  • 年額$10(1100円程度)

本格的に使っていくぞ!となってから有料プランを考えればよいでしょう。(公式:bitwardenのプラン

 

ブラウザのパスワードマネージャとは何が違うかと思われるかもしれません。

技術的に大きな違いはありません。しかし、リスク分散ができます。

恐らく、ブラウザのアカウント(GoogleアカウントやApple ID)は常にログインしている状態でしょう。特にスマートフォンです。
bitwardenは使うときのみロックを解除し、使わないときはロックをかけて保護できます。

もし不正アクセス、ウィルス、デバイスの盗難などの被害にあっても、bitwardenのロックを解除しない限りは被害が発生しません。
しかし、ブラウザのパスワードマネージャであった場合、(常にログイン状態であるため)すぐに被害が発生します。

bitwardenを使うことで、何かあったときの被害を減らすことができます。

ブラウザのアカウントであるGoogleアカウントやApple IDは同様にメールやクラウドストレージ(Google Drive や iCloud)のアカウントです。

つまり、GoogleアカウントやApple IDが被害にあうだけで次のような情報が漏洩します。

  • ブラウザに記憶させたパスワード
  • メール
  • クラウドストレージに保存したデータ

この大事なアカウントがスマホではログインしっぱなし状態です。

 

こう考えると、狙われやすい(被害にあいやすい)アカウントであることが分かります。

 

ダウンロード&インストール

bitwardenが良さそうと感じたら、無料なので気軽にダウンロードとインストールしてみましょう!
ダウンロードページはこちら→https://bitwarden.com/download/

ダウンロード&インストール【パソコン編】

パソコンでbitwardenの自動入力に使うには、ブラウザ拡張機能として導入しましょう。
(デスクトップ版ではログイン項目の自動入力ができません)

では、さっそく導入してみましょう。

  1. ダウンロードページを開く
  2. 自分の使っているブラウザに合わせてリンクをクリック(今回は例としてGoogle Chromeを選択)
     
  3. Chromeで拡張機能を許可

     
  4. インストールされるとページが切り替わります。拡張機能をピン留めして表示させましょう。

     
  5. 拡張機能を表示させ、アカウントの作成を行います

     
  6. 自分の持っているメールアドレスと、新規作成するマスターパスワードを入力、送信します
    マスターパスワードは最低でも10文字以上、16字以上を推奨します(総当たり攻撃対策)

     
  7. 先ほど入力した情報でログインしましょう

お疲れ様です。
以下の画像のように表示されれば完了です。

bitwardenのマスターパスワードは、忘れた場合リセットなどができません。
(公式FAQ参照)

一度設定したマスターパスワードは、bitwardenを使う限り必ず頭の中に保管しておいてください。

 

ダウンロード&インストール【スマートフォン&タブレット編】

Androidでの手順を説明します。iPhoneでもほぼ同様の手順でできると思います。

  1. ダウンロードページを開く
  2. iPhoneなら「App Store」、AndroidならGoogle Play」をタップ
  3. インストールをタップし、インストールが終了したら開くをタップ
  4. 開くと、ログインかアカウントの作成を訪ねる画面になります
    まだアカウントを作成していない方は、パソコン編の手順6を参考にしてアカウントの作成に進んでください(メールアドレスとパスワードの登録だけです)。
  5. ログインします
  6. 以下の画面のようになれば完了です

以上でスマートフォン&タブレットへのインストールは完了です。

 

メールアドレスの認証

アカウントを新規作成すると、メールアドレスの認証が必要になります。

手順は以下の通りです。

  1. bitwardenのweb保管庫へ移動
  2. マスターパスワードでログイン
  3. ログインしたら、メールアドレスを確認という項目があるので、メールを送信をクリック(これが表示されていない場合は、メールアドレスの認証は完了しています)

  4. 以下のようなメールが届いているので、案内に従ってボタンをクリック

  5. 以下のようなポップアップが表示されれば成功です

以上でメールアドレスの認証は終了です。お疲れさまでした。

まとめ

bitwardenの特徴を紹介してきました。

  • クラウド型だからパソコンからもモバイル端末からも使えて同期される
  • オープンソースでセキュリティの監査も受けているので、安心して使える
  • 無料で使えて、リスク分散もできる

以上のような特徴がありました。

そして最低限のダウンロードとインストール方法をご紹介し、最後にメールアドレスの認証を行いました。

さらにbitwardenを便利に安心して使用し、リスク分散するための、
bitwardenオススメ設定の記事も併せてご覧ください。

コメント

タイトルとURLをコピーしました