パスワードマネージャーをBitwardenにした話

背景

• 今のパスワードマネージャー(LastPass, Google)の運用の見直しを行おうと思った

状況

• 2年前になんとなくLastPassを導入
  • スマホでは使ってない、PCのみの利用
• それ以前からGoogle(Chrome)パスワードマネージャーはなんとなく利用
  • リリース当初は信用できなかったけど、ここ数年は信頼度が高まってきたからたまに使っていた

ユースケース

• PCはMacでChromeメイン、たまにSafari(Safariでしか使えないものや動作確認など)
• スマホはAndroidメイン。
  • 開発端末でiPhoneを持っているので現状は使う予定はないが、今後使うかもしれない。
• Googleアカウントを複数利用している。Googleアカウントごとにパスワード管理をしている。
• AWSのIAMのシークレットキーやSSHの公開鍵と秘密鍵などID/PW以外を管理する

Bitwardenにした理由

• 無料でPC、スマホ、複数のブラウザの管理ができる
• 複数のGoogleアカウントを横断的にできる
  • ID/PW自体は、Googleパスワードマネージャーで別のメールアドレスのID/PWを管理することはできるが、例えば、GoogleアカウントがAとBのふたつあって、AにBのメールアドレスで保存したアカウントを保存しているという運用をすると、Aでブラウザを利用しているときは問題ないが、Bでブラウザを利用している時はパスワードが全く読み取れない事象になる。実際、仕事用とプライベート用でブラウザのGoogleアカウントを分けてるので煩雑な運用になる。ただ、メールに関しては、各々にログインしないと見れないので手間がある。
• パスワードの利用に対して認証を利用できる
  • お金が絡むアカウントを利用時にマスターパスワードを求めることができるので、よりセキュアに管理ができる。もちろん利用時だけでなく編集時にもマスターパスワードが求められる
• ユーザー独自のフィールドを管理できる

他パスワードマネージャーからBitwardenへのデータ移行

LastPassとGoogleからID/PWを移行する。いずれもBitwardenの公式のヘルプページに英語だけど手順を書いてくれている。リンクを見る方が正確だが、今回の手順と気づいた仕様など(メモ)をざっとテキストでまとめる。

LastPass ( 公式ドキュメント )

• LastPassでのエクスポート
  • PC Chromeでの拡張機能でエクスポートを行なった。（結局LastPassへのログインを求められるのでブラウザ版でも同じことだと思う）
  • Security Dashboard > Advanced Options > Export > パスワード入力 > ダウンロード
• Bitwardenでのインポート
  • ブラウザのBitwarden > ツール > データをインポート > ファイル形式: LastPass(csv) > ファイルを選択: 先ほどダウンロードしたファイル > データをインポート > 保管庫に戻るのでブラウザを更新する
• メモ
  • LastPassのフォルダをそのまま維持してインポートされる
  • カスタムで追加したアイテムはメモとして保存される
    • 今回は数が少ないので手動でフィールド作って対応する。
    • おそらくcsvを加工すれば大丈夫だが、csvを見たところ、extraカラムにテキストでメモのように保存されているので、ちゃんと変換プログラムを書かないといけないので、手動で操作 or csvの加工 はコスパで言うとなんとも言えない。

Google ( 公式ドキュメント )

• Googleから移行も基本的にはLastPassと同様の方法でできた
• Googleでのエクスポート
  • Googleアカウント > セキュリティ > パスワードマネージャー > 設定アイコン(右上) > エクスポート
• Bitwardenでのインポート
  • Lastpassと同じ
  • ファイル形式: Chrome(csv)を選択
• メモ
  • 全てフォルダなしに登録
  • アプリのパスワードは — という名称で保存される

Bitwardenの設定

ブラウザ

• 2段階認証
  • PCブラウザだと右上のユーザーアイコン > Account Settings > Security > 2段階認証タブ から設定を行う
  • ブラウザ版のBitwardenにログインする時に必要
  • デスクトップ版、Chrome拡張機能版、Android版では使われない → これらは生体認証を使うと便利でセキュアだと考える
• リカバリーコードを発行
  • 2段階認証を行うアプリやデバイスが使えなくなった時のためのもの。
  • 発行して手元のメモなどに記載しておく

PCデスクトップアプリ

• Safariで利用するためと生体認証を行うためにインストールする
• 生体認証
  • メニューバー > Bitwarden > 設定 > Touch IDでロック解除 を ✅
  • メニューバー > Bitwarden > 設定 > ブラウザ統合を有効にする を ✅
  • メニューバー > Bitwarden > 設定 > 閉じてメニューバーに表示 を ✅
    • Chromeで生体認証を使うにはBitwardenデスクトップアプリを起動している必要があるが、開いていると邪魔なのでこの設定をONにすることでアプリは表面上閉じているが裏で動いている状態にすることでスッキリできる。
    • Command + q だとこの設定をONにしていても終了してしまうので、 Command + w or 左上の赤ボタン を利用する必要がある。

Chrome拡張機能

• 生体認証
  • PCデスクトップアプリで下記の設定が必要
    • 生体認証をONにする
    • ブラウザ統合をONにする
  • PCデスクトップアプリを完全終了しないこと
    • Command + q で終了すると、生体認証を使えない。(常時起動状態にする必要がある)
• ログインフォームへの自動入力
  • 設定 > オプション > ページ読み込み時の自動入力を有効化 を ✅

Safari拡張機能

• PCデスクトップアプリが必要
• メニューバー > Safari > 環境設定 > 機能拡張 > Bitwarden を ✅
• 生体認証
  • PCデスクトップアプリで下記の設定が必要
  • 設定 > 生体認証でロック解除 > キーチェーンの利用でMacのユーザーのパスワードを入力して許可 or 常に許可 をクリック
    • 常に許可を選択しない場合、Safariの拡張機能のロック解除をするたびにキーチェーンの許可を求められる。保管庫のタイムアウト及び保管庫タイムアウト時のアクションの設定次第ではある。
  • デスクトップアプリを終了してても使える
  • デスクトップアプリのブラウザ統合の設定がOFFでも使える
• ログインフォームへの自動入力
  • 設定 > オプション > ページ読み込み時の自動入力を有効化を✅

Android

• アプリをダウンロード
• 生体認証
  • 設定 > 生体認証でロック解除をタップ
• ブラウザやアプリでの自動入力 ( 公式ドキュメント )
  • 前提
    • Chromeでページを開いたときにフォームに自動入力はしない
    • 1Click または 2Click 必要
  • 設定
    • 設定 > 自動入力サービス で行う
    • 2022年6月現在で、3パターンある
    • 今回はパターン2を採用した
      • 理由は動作が安定しているため
    • パターン1
      • 自動入力サービスを ON にする
        • 自動入力サービス > Bitwarden を選択
      • イメージ
        • 
      • 1タップで挿入できる
      • 使った感じ再表示させるのが面倒
    • パターン2（Android11以上）
      • 自動入力サービス を ON にする
      • インライン自動入力を使用する を ON にする
      • イメージ（キーボード上部）
        • 
    • パターン3
      • 2タップ必要
        • Bitwardenを開いて、アカウントを選択する必要がある
      • ユーザー補助を使用する を ON にする
      • 重ねて表示を使用する を ON にする（Android6以上必要）
      • イメージ
      • 

さいごに

今回見直すにあたってGoogleパスワードマネージャーと比較した。なお、LastPassはスマホとPCで有料となってしまったため検討外とした。結果としてBitwardenにしたが、LastPass同様今後重要な機能が有料になる可能性は十分にあるところは経過をウォッチしていきたい。Googleパスワードマネージャーはおそらくその心配はないので、1アカウントかつブラウザもChromeのみの利用だったら選択したいと思う。