Bitwarden: 無料のオープンソース パスワードマネージャー
(bitwarden.com)- Bitwardenは、個人と企業が利用するパスワード・パスキー・シークレットをオープンソースのエンドツーエンド暗号化で保護する認証情報セキュリティプラットフォーム
- パスワードの生成・保存・自動入力、集中管理されたビジネス向けボルト、管理者ツール、無制限のデバイス同期、共有やセルフホスティングまでを1つの製品群で提供
- 保護対象は人のアカウントにとどまらず、AIエージェントやマシンにまで拡張され、エージェントアクセスには毎回人の承認を経るジャストインタイムの暗号化アクセスを適用
- Bitwardenは、80,000以上の組織と数百万人の個人、100,000人以上のコミュニティメンバー、第三者監査とゼロ知識暗号化を信頼の根拠として掲げている
- 無料の基本アカウントに加え、Premiumは月額$1.65、Familiesは月額$3.99、Teamsは1ユーザーあたり月額$4、Enterpriseは1ユーザーあたり月額$6で提供され、表示価格はUSD建ての年払い・税別
パスワード・パスキー・シークレットを1か所で保護
- Bitwardenは、人、AIエージェント、マシンが依存するパスワード、パスキー、シークレットを保護するプラットフォーム
- 製品の基本軸はオープンソース、エンドツーエンド暗号化、拡張可能なアーキテクチャ
- ユーザーは強力なパスワードを生成して保存し、複数のアカウントに自動入力できる
- ビジネス環境では、集中管理されたボルトと管理者ツールで認証情報を整理・管理する
- オープンソースの透明性、第三者監査、コミュニティレビューがセキュリティへの信頼を支えている
人・AIエージェント・マシンごとのアプローチ
- 人向け機能では、従業員に必要な認証情報だけを付与し、パスワードの生成・保存・自動入力を支援
- 関連製品: Password Manager
- AIエージェントには、必要な時点でエンドツーエンド暗号化アクセスを提供し、毎回人の承認を必要とする
- 関連項目: Agent Access SDK
- マシン向け機能では、APIキー、データベースのパスワード、アクセストークンといった開発者向けシークレットへのアクセス範囲を制限
- 関連製品: Secrets Manager
信頼の根拠と利用規模
- Bitwardenは、80,000以上の組織と数百万人の個人が認証情報の保護に利用していると説明している
- セキュリティ・信頼の要素は次のとおり
- 国際的なコンプライアンス基準を満たす、または上回る
- ゼロ知識暗号化により、ユーザーだけが情報にアクセスできる
- GitHub、Bitwardenフォーラム、Reddit全体で100,000人以上のコミュニティメンバーがいる
- G2 Enterprise Grid ReportのEnterprise User Satisfaction部門で、11四半期連続1位を獲得したとしている
- 関連リンク: G2 Enterprise Grid Report
企業と個人が使う主な機能
- 企業は、SSO、SCIM、セルフホスティングを導入オプションとして活用できる
- ITチームは、イベントログとアクセス制御により認証情報の利用状況を確認する
- すべての従業員とデバイス全体で認証情報リスクを低減する機能を提供
- 個人ユーザーは、パスワードを覚えなければならない負担を減らし、複数のデバイスとブラウザでログインの自動入力を利用できる
- 個人アカウント保護には侵害アラートが含まれる
パスワードマネージャーの機能セット
-
生成・保存・自動入力
- アカウントごとに強力で一意なパスワードとパスキーを保護する
- 無制限のデバイスで安全に保存し、すぐに自動入力できる
-
集中管理
- アクセス制御、ポリシー、集中管理された項目の所有権、セキュリティレポートを1か所で管理する
-
ツール連携
- SSOプロバイダー、ディレクトリサービス、SIEMツール、AIエージェント、ビジネスが依存する各種ツールと統合できる
-
インポート
- ブラウザや他のパスワードマネージャーから数分でパスワードを移行できる
-
共有
- 組織コレクションでチームメンバーと共有したり、Bitwarden Sendで暗号化されたテキストやファイルを送信したりできる
-
セルフホスティング
- オンプレミスやプライベートクラウドにBitwardenをホストしてデータ主権を確保できる
- さらに多くの機能: Bitwarden Features
Access Intelligenceとフィッシング防御
- Access Intelligenceは、組織内で使用中のAIアプリケーションを識別し、認証情報リスクを低減する機能
- 関連製品: Access Intelligence
- 弱い、または使い回されたパスワードは、アカウント侵害への経路になり得る
- Bitwardenは、Webサイトやアプリごとに強力で一意なパスワードを生成できるよう支援する
- 悪意のある類似Webサイトでは自動入力しないため、フィッシング防御に役立つ
料金プラン
- 個人向けプラン
- Premium: 月額$1.65、年額$19.80請求
- 統合認証アプリ、ファイル添付、緊急アクセス、セキュリティレポートなどを提供
- 他のユーザー1人とボルト項目を共有できる
- Families: 月額$3.99、最大6人、年額$47.88請求
- プレミアムアカウント6つ、無制限の共有、無制限のコレクション、組織ストレージを提供
- 基本的なパスワード管理は常に無料で提供される
- Premium: 月額$1.65、年額$19.80請求
- ビジネス向けプラン
- Teams: 1ユーザーあたり月額$4、年払い
- Premium機能に加え、認証情報の共有、イベントログに基づくアクティビティ監査、既存ディレクトリ同期、SCIMプロビジョニングの自動化を提供
- Enterprise: 1ユーザーあたり月額$6、年払い
- PremiumおよびTeamsの機能に加え、きめ細かなアクセス制御、Passwordless SSO統合、アカウント復旧、セルフホスティングの柔軟性、Access Intelligenceによるリスク低減、全ユーザー向け無料のFamiliesプランを提供
- 大規模組織は営業相談を通じてカスタムプランを検討できる
- Teams: 1ユーザーあたり月額$4、年払い
- 表示価格はUSD建ての年間サブスクリプションで、税金は含まれない
1件のコメント
Hacker News の意見
オープンソースなので Bitwarden を好きになりたかったが、1Password のほうがはるかに先を行っている
1Password 8 が、多くの人に嫌われた Node ベースの UI へ大きくリファクタリングされたにもかかわらず、いまだにずっと優れているのは皮肉だ
父に母語の翻訳があるという理由で Bitwarden を教えようとしたが、実際に使ってみると、オートコンプリートの失敗、ログイン保存検出の失敗、アカウントからのログアウト、バックグラウンドアプリ終了によるブラウザの生体認証失敗、ひどい管理 UI といった小さな欠陥が積み重なり、ほぼ使い物にならなかった
個人プランは安いがファミリープランは高く、セルフホスティングも可能ではあるもののコストがかかる
人々がセルフホスティングと言うとき、たいていは Rust で新たに作られた vaultwarden を指しているが、私の知る限り監査を受けたことがなく、リモート脆弱性の可能性をどう信頼しているのか分からない
Bitwarden も VC から投資を受けており、成長しなければならないのは理解するが、成長圧力なしに持続可能な事業が所有するプロジェクトが恋しい。1Password も同じだが、VC 投資を受けたスタートアップが 1 年後も信頼できるかは不安だ
数週間前まで V7 で粘っていたが、事情によりアップグレードが必要になったため Bitwarden も含めて再度見直した。しかし UX は改善されたように見えず、さらに重要なのは、大きなセキュアメモが 1 つあるという理由でインポートをすべて拒否したことだった
そのメモだけをスキップするのではなく何もインポートせず、スキップするオプションもなかったため多くの手作業が必要になり、結局、必要なメモを保管庫に入れたいという要件も満たせなかった
以前使っていた LastPass はフォームフィールドの検出がはるかに良く、一時的なポップアップ上に作った UI を何年たっても新しいタブ方式にきちんと置き換えなかったのは悪い選択だったと思う。LastPass、uBlock Origin、TreeStyleTabs のようにすべきだった
1Password より個人・ファミリーアカウントが安く、長年 Bitwarden の有料顧客として使っているが、このような問題に遭遇したことはない
ちなみに 1Password は VC 投資でほぼ 10 億ドルを受け取っており、成長圧力は相当なものだろう
VC 投資とは、いつか資金を回収しようとするという意味であり、パスワード管理サービスはその圧力をかけておくにはあまりにも重要すぎる
他の多くの VC 投資サービスが大きく壊れていった前例を見ると、いつか支払わなければパスワードを人質に取る、あるいは同じくらい過激な行動に出る可能性は十分にあるように思える
自宅サーバーの電気代は月 3 ユーロ程度で、Vaultwarden だけでなく Home Assistant、Nextcloud、Jellyfin、Immich など複数のサービスを動かしている
Docker と Compose で保守も簡単で、プライベートネットワーク上で動かし、外部アクセスは必要なときに VPN で制限している
単一サービスだけをホスティングすると高くつくが、複数のサービスを一緒に動かせばずっと安くなる
サーバーのオープンソース Rust 実装である vaultwarden もある: https://github.com/dani-garcia/vaultwarden
別のサーバーへ移すとき、復元した Docker ボリュームから最初データベースを見つけられなかったことを除けば問題はなく、それも Docker の問題か、自分が何か間違えた可能性が同じくらいある
思ったより否定的な反応が多くて意外。自分の中では、Bitwarden は HN で愛されている製品のままだった
年 10ドルのプレミアムを払って使っているけれど、実際にどの機能を活用しているのかはよく分からない。ただ製品そのものは気に入っている
ただ、競合製品をあまり調べたわけではないので、ほかのパスワードマネージャーに大きな利点があるのか気になる
「はるかに先を行っている」みたいな話は多いけれど、それが具体的に何を指すのかはあまり見えてこない
最近の職場では LastPass と 1Password を使っていて、個人用には Bitwarden を使っているが、自分は Bitwarden のほうがずっと良いと思う
ブラウザプラグインはパスワードの入力・変更をより安定して検知し、保存・更新を提案してくれるし、iOS 版もほかのネイティブアプリのパスワード自動入力とよりスムーズに統合されている
チーム共有機能では遅れているかもしれないが、個人用途では関係ない
Bitwarden の大部分はオープンソースだが、一部にプロプライエタリなコンポーネントがあるため 100% ではない、という点に HN 的な怒りがあるように見える。ただ、ソフトウェアは天からマナのように降ってくるべきで、事業を支えてはいけない、という態度は理解しにくい
同じような方式の VS Code にはこうした恨みがあまり向かないのも不思議だし、Bitwarden がもっとそれらしいダークモード UI を作れば良くなるのかもしれない
自分も Bitwarden Premium を使っていて気に入っている。うちの組織は別のエンタープライズ級パスワードマネージャーを使っているが、ずっと複雑でインターフェースも遅い
同じ機能の 80% をオープンソースで得られるなら、「最高」でなくてもそれを使う、という原則を持っている
これまで HN では Bitwarden を称賛する投稿ばかりだったし、自分で使っていて、ここで不満として挙がっている問題はほとんど経験していない
唯一の不満はデスクトップアプリの生体認証ログインが少しぎこちないことくらいで、致命的な問題ではない
参考までに、Bitwarden は昨年 1億ドルの VC 投資を受けている
いつかは積極的にマネタイズしなければならないという圧力が来る可能性が高い
https://techcrunch.com/2022/09/06/open-source-password-manag...
どこかの時点では、ただ受け入れて付き合っていくしかない。使っている製品が将来変わるかもしれないし、後で別のものへ移行しなければならないかもしれない
代替案は KeePass のようなものを USB ドライブに入れておき、クラウド同期やブラウザ・ネイティブアプリの自動入力統合を諦めることだが、実際にはそうした機能こそがこの種の製品の中核だ
それがないなら、机の引き出しに入れた紙のメモのほうがましとも言える
さらに悪く考えると、VC にその金額以上の回収を納得させるほど、今後何をしようとしているのだろうか
これほど成長し人気のある製品があるなら、なぜわざわざそれほどの金を受け取るのか、本気で理由が知りたい
少し心配になる
Bitwarden は良い。どこでも使っていて、パスワードをうまく管理してくれる
自分にとっての主要機能は組織機能が使いやすいことだ。妻とパスワードを簡単に共有できる
家計や子ども関連のアカウントは共有しなければならないことが多く、二人ともパスワードが必要になるが、Bitwarden はそれをとても簡単にしてくれる
自分で共有した項目でも同じだ。自動入力が使えるときは問題ないが、常に動作する、あるいは利用可能とは限らない
タイトルが誤解を招く。これは完全な「無料のオープンソース」ではない
Bitwardenサーバーはデュアルライセンス構造になっている
一部はAGPLのオープンソースで、一部機能はソース公開型のBitwardenライセンス
さらに、オープンソースのコアもセルフホストするには登録が必要で、セキュリティアップデート、プッシュリレーサーバー、ライセンス検査のような補完サービスを提供するためだという
ドキュメントにはないが、インストール間でライセンスキーを共有しないようにと言っているのを見ると、テレメトリの改善もありそう
ソース公開型ライセンスが必要なのは理解できるが、成果物がビールのように無料でもなく、表現の自由のように自由でもないなら、なぜ一部をオープンソースとしてライセンスするのか分からない
企業が、ほとんどオープンソースではない製品をオープンソースとしてマーケティングして得る利点が何なのか、真剣に気になる
https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...
それ以外のBitwardenは、費用の面でも自由の面でも無料・自由ソフトウェアだ。なぜ違うと思うのか分からない
Vaultwardenが存在し、Bitwardenクライアントと互換性がある
Webサイトをざっと見る限り、自由なオープンソース精神というより、透明性のための公開に近いように見えた
apiにはBitwarden LicenseのCommercial Coreが含まれるが、モジュールをビルドする際にdotnetへ/p:DefineConstants="OSS"引数を渡すと無効化できると書かれているまだPadlocが出ていないのは意外
エンドツーエンド暗号化、オープンソース、簡単なセルフホスティング、良いUIとUXを備えている
家族全員に使わせて、1年以上使った末に結局積極的に貢献するようになった
Tauriベースのデスクトップアプリもある
利害関係の開示: 貢献権限はあるが、販売やそれに類する収益は受け取っていない
https://padloc.app
星評価まで見ると信頼感が湧かない
パスワードマネージャーから受けたい印象では全くない。ちなみに私はUI/UXデザイナー
大手はみんなその機能をなくそうとしているようだが、パスワードマネージャーに望む唯一のことは、自分のすべてのパスワードをクラウドに保存しないことだ
Bitwardenが完璧ではないにせよ、
passを「簡単」と呼ぶのはおかしい特に、技術にずっと不慣れな家族とパスワードを共有しなければならない立場ではなおさらで、1Passwordは頑固なUIがむしろ邪魔になることが多い
Bitwardenはセキュリティ・価格・デザインの間で良いバランスを取っていると思う
ただし資金調達と経営陣の変化に対する懸念には同意する
満足して使っていて便利だが、2FAまで含めて重要なものをすべてクラウドの一か所に集めることが実際どれほど安全なのか気になる
あまりにも価値の高い標的に見える
一方で、すべてを手動で同期するのは面倒だし、結局は自分のコンピュータで暗号化したあと同期はクラウドを経由するのだから、何が違うのかも気になる
大規模に見れば、パスワードマネージャーを使わない人たちはパスワードを使い回す。それで終わり
一般大衆のアカウントセキュリティを実際に最も大きく改善する方法は、パスワードマネージャーを使わせることであり、保管庫が盗まれて解読されるリスクを考慮しても同じだ
ほとんどの人にとって、パスワードのクラウド管理は事実上譲れない。「保管庫がコンピュータにあったが、落としてディスクが壊れた」ということが起こり続けるし、全員に適切にバックアップさせるのは大規模には不可能だ
自分がすべてのアカウントに一意で十分に強いパスワードを作れるなら、パスワードマネージャーを避けて小さなリスクを1つ減らすことはできる
2つの秘密を両方とも中央集約すると、実質的に2要素認証ではなくなる
モバイルではAegis、コンピュータでは
passとOTP拡張を使い、Bitwardenとは完全に別のパスワードを使っているBitwardenのクラウド保管庫が心配なら、Rustベースの自由なオープンソースサーバー実装であるvaultwardenインスタンスを立てて、クライアントを接続できる。まだ自分では試していないが、うまく動くと聞いている
ファイルはDropboxにあり、別のデバイスでアプリを開く前にはいつも同期されていた
データベースのバックアップも、ファイルをコピー&ペーストするのと同じくらい簡単
平均的なユーザーにとっては、すべてのアカウントに
hunter42を使うより、パスワードマネージャーを使うほうが圧倒的に良いデータベースも頻繁にバックアップしている。私には十分うまく動いていて、1社のクラウドに自分のデータを保存しなくて済む
オープンソースで使いやすい: https://www.passwordstore.org/
passや他のクライアントで感じていた多くの不便を解消しようとしてprsを作ったpassと互換性があり、同じリポジトリを使うhttps://github.com/timvisee/prs
~/.password-storeにGPGで暗号化したパスワードを保存する標準とリファレンスCLI実装に近いパスワードを扱う複数のGUIクライアントや、他の管理ツールから取り込むためのツールもある
良いアイデアのように聞こえるが、クライアントがソフトウェアサプライチェーン攻撃にさらされる可能性がある点が気になる。毎回新しいバージョンを評価できるだけの専門知識は自分にはなさそうだ
家族に
passを紹介してみるといい。一般の人には1Passwordでさえ設定は簡単ではない誰もがパスワードマネージャーを使うようになるまでにはまだ道のりが長く、より現実的な代替はおそらくパスキーだろう
passは設計上、設定したWebサイトと各記録の履歴メタデータがすべて露出する脅威モデルに合う場合もあれば、合わない場合もある