パスワードマネージャーのBitwardenを試している話

ところで、タイトルに使えるファーストインプレッションの日本語訳ってなんなんだろうね?
第一印象ってなるとなんか違う気がするし……

Bitwarden

Bitwardenはクロスプラットフォームのパスワードマネージャーで、WindowsとLinux、macOSはもちろん、AndroidとiOSでも使え、さらにはWeb版も存在している。
特筆すべきはAGPL 3.0のフリー(as in freedom of speech)ソフトウェアであることで、これ自体は品質もセキュリティも担保しないのだが、それを活かしてかdockerなどでSyncサーバをセルフホスティングする選択肢が提供されている。
また、セルフホスティング用の再実装版も複数あって、例えばAWSのサーバレススタックで運用するためのBitwarden Serverlessや、Rustで再実装されたbitwarden_rsなどがある。
もっとも、パスワードマネージャーを使っていく上で、セルフホスティングをしたり、派生版を実際に利用するかどうかはまた別の話なのだが……

さて、Prosっぽいところを書き連ねたのでConsっぽいところも書くと、今のところソースコードに対する正式なセキュリティ監査は行われていないようだ。
また、セルフホスティングはサービス側(この場合はBitwardenを運営している8Bit Solutions LLC)にパスワード情報を引き渡さないという点では優れているように思えるが、セキュリティを自分自身で確保する必要が出てくるので必ずしもProsとは言えない。

ちなみに、OSSのパスワードマネージャーは複数あって、昔からあるKeePass系(色々あるけど今メジャーなのはKeePassXCだろうか?)や、gpggitを利用するPassが有名だと思う。

Bitwardenを試すことにした理由

現在、個人的なパスワードマネージャーとしてはDashlaneを特に不自由なく利用している。 ブラウザ拡張版がスタンドアロン動作するようになってからはLinuxでも不自由なく運用できるようになったわけで、後述するドメインの話を除けば列挙するような不満はないし、僕にとってdeal breakerとなるようなアップデートも行われてはいない。いや、本当に良いパスワードマネージャーなんだよ。
不満はないのだが、なんかどっかでDoubleplusungoodful Suppressive Fireを見かけたので前提となる理由を書いておく。

他のパスワードマネージャーがどのような機能を持っているのか確認するため

これは多分どんなジャンルのソフト・サービスであっても重要なことではないかと思う。
長く慣れ親しんでいるソフトには、長く慣れ親しんでいると言うだけで継続使用するインセンティブが働くのだけど、たまには競合ソフトを確認して使い続けるに値するソフトであるのか確認した方が良いのでは無いかと思う。
もちろん、その結果として乗り換えたり、使い続けることにしたり、或いはOSSなら貢献する、プロプライエタリなら要望を出すという方向に落ち着くかはその時々によるだろうけど。
試すにあたっては双方に対する敬意を忘れないようにしないといけないけど。

1ログイン=1ドメイン

この世界がCV-38ならばこれで問題無いのだが、現実世界と言う奴は必ずしも理想通りではないので稀に困る。
更にDashlaneにはセキュリティダッシュボードという脆弱なパスワードや使い回しの検知を行ってくれるシステムがあるのだが、複数ドメインでログイン情報を管理しようとすると使い回しとして検出される(これは本当は良いことなんだ)。だいたいパスワード変更した際にも同期が面倒なので、基本的にはやりたくない。
とはいえ稀に困るというだけなので、実際にはクライアント立ち上げてコピペ。と運用でカバーすれば良く、それほどの障害ではなかったりするのだが……

Free (as in free beer)

YubikeyによるMFAを有効にするためにPremiumにしたので僕には特に関係無いのだが、人によっては試そうと思う切っ掛けになるのではないか。また、人に勧める際にも勧めやすいと思う。
なおGoogle AuthenticatorやAuthyなどの2FAアプリはFree tierで利用できる。Premiumが必要なのはYubikeyFIDO U2FDuoを使う場合だ。”One password to rule them all”とするよりは2FAを設定可能とするべきだし、最低限の2FAをFree tierにしているのは良い。
ちなみに、Dashlaneも無料で利用可能である。ただし、パスワード同期がPremium機能となっているので、実際に利用する上では有料となるだろう。

First Impressions

Windows Client

「フォルダーなし」に大量にログイン情報を放置しない限りは、ログイン情報の管理・整理に必要充分なインターフェイスを提供してくれていると思う。
もともと、デスクトップクライアントに求められているのは管理・整理の容易さ+ブラウザ以外でログイン情報を利用する場合の容易さだと思っているのでその意味では要件を充足している。

Browser Extension

1点明確なConsがあって、ブラウザ拡張はスタンドアロンでのみ動作する。
つまり、例えばChromeとFirefoxとVivaldiを起動している場合には3回+デスクトップクライアントの計4回マスターパスワードを入力する必要がある(もちろん、必要があれば、だけど……)。
Dashlaneにはデスクトップクライアントとの連携モードがあって、デスクトップアプリ側でログインしていたら各ブラウザではログインする必要が無い。なので、Bitwardenはnot for meとまではいかないけど、若干手間だったりする。

自動入力

“自動入力”はログインフォームの直下にポップアップしてくるのではなく、ブラウザ拡張のアイコンをクリックして表示されるメニューかコンテキストメニューから選択する必要がある。

人によると思うんだけど、個人的にはこっちの方が好みだ。というのも、ポップアップしてくる形式は若干挙動が怪しかったり、ページの挙動が重くなったり(e.g. Steel Division II)、別の要素を覆い隠してしまって一手間以上必要だったりするからだ。
あと、自動ログインが標準挙動で無い事も個人的には良くて、やはりMan-in-the-loopである方が使っている分には気分が良い。
Dashlaneのデスクトップ版は設定で登録時のデフォルトを自動ログインでないように変えられるのだけど、Android版で登録したモノは無関係に自動ログインで設定されてるから後で個別に切り替えないといけないのよね……

Mobile App

Android版の話。
スクリーンショットは無効化されているので無いです。

ロック解除方法

普通にマスターパスワードを入力する方法とPINコード、そして指紋認証(多分端末が対応していたらだと思う)の3通りの方法でロック解除ができる。

フォルダ作成

設定タブからフォルダーの管理画面に遷移する事で作れるのを発見した。
フォルダーが作れない、って書くところだった危ない。

自動入力

Android全体の[設定]→[ユーザー補助]からBitwardenをOnにする事でサイトやアプリなどでのログイン情報の自動入力が行えるようになる。
これも基本的にはブラウザ同様ログイン対象なことが検知されたら通知欄にBitwardenのアイコンが出て来るので、そこからBitwardenに一旦遷移して、対象ログイン情報を選択する方法。
Dashlaneのように入力欄の下にオーバーレイ表示された中から選択するという訳では無いので確実に一手間増えるのだけど、確実性ではBitwardenの方が高く思えるし、一長一短ではと思う。
個人的には+1かなぁ……

Das Ende

今のところBitwardenには個人的に良いと感じるところもあるし、悪いと感じるところもあるというのが正直なところなのだけど、しばらくは併用しながら使っていこうと思う。
どっちを選ぶにせよ、Annual Subscriptionの更新まで8ヶ月ある=判断はそれまで後回し出来るからネ。