1 ポイント 投稿者 GN⁺ 2023-09-26 | 1件のコメント | WhatsAppで共有
  • Bitwardenは、個人と企業が利用するパスワード・パスキー・シークレットをオープンソースのエンドツーエンド暗号化で保護する認証情報セキュリティプラットフォーム
  • パスワードの生成・保存・自動入力、集中管理されたビジネス向けボルト、管理者ツール、無制限のデバイス同期、共有やセルフホスティングまでを1つの製品群で提供
  • 保護対象は人のアカウントにとどまらず、AIエージェントやマシンにまで拡張され、エージェントアクセスには毎回人の承認を経るジャストインタイムの暗号化アクセスを適用
  • Bitwardenは、80,000以上の組織と数百万人の個人、100,000人以上のコミュニティメンバー、第三者監査とゼロ知識暗号化を信頼の根拠として掲げている
  • 無料の基本アカウントに加え、Premiumは月額$1.65、Familiesは月額$3.99、Teamsは1ユーザーあたり月額$4、Enterpriseは1ユーザーあたり月額$6で提供され、表示価格はUSD建ての年払い・税別

パスワード・パスキー・シークレットを1か所で保護

  • Bitwardenは、人、AIエージェント、マシンが依存するパスワード、パスキー、シークレットを保護するプラットフォーム
  • 製品の基本軸はオープンソース、エンドツーエンド暗号化、拡張可能なアーキテクチャ
  • ユーザーは強力なパスワードを生成して保存し、複数のアカウントに自動入力できる
  • ビジネス環境では、集中管理されたボルトと管理者ツールで認証情報を整理・管理する
  • オープンソースの透明性、第三者監査、コミュニティレビューがセキュリティへの信頼を支えている

人・AIエージェント・マシンごとのアプローチ

  • 人向け機能では、従業員に必要な認証情報だけを付与し、パスワードの生成・保存・自動入力を支援
  • AIエージェントには、必要な時点でエンドツーエンド暗号化アクセスを提供し、毎回人の承認を必要とする
  • マシン向け機能では、APIキー、データベースのパスワード、アクセストークンといった開発者向けシークレットへのアクセス範囲を制限

信頼の根拠と利用規模

  • Bitwardenは、80,000以上の組織と数百万人の個人が認証情報の保護に利用していると説明している
  • セキュリティ・信頼の要素は次のとおり
    • 国際的なコンプライアンス基準を満たす、または上回る
    • ゼロ知識暗号化により、ユーザーだけが情報にアクセスできる
    • GitHub、Bitwardenフォーラム、Reddit全体で100,000人以上のコミュニティメンバーがいる
  • G2 Enterprise Grid ReportのEnterprise User Satisfaction部門で、11四半期連続1位を獲得したとしている

企業と個人が使う主な機能

  • 企業は、SSO、SCIM、セルフホスティングを導入オプションとして活用できる
  • ITチームは、イベントログとアクセス制御により認証情報の利用状況を確認する
  • すべての従業員とデバイス全体で認証情報リスクを低減する機能を提供
  • 個人ユーザーは、パスワードを覚えなければならない負担を減らし、複数のデバイスとブラウザでログインの自動入力を利用できる
  • 個人アカウント保護には侵害アラートが含まれる

パスワードマネージャーの機能セット

  • 生成・保存・自動入力

    • アカウントごとに強力で一意なパスワードとパスキーを保護する
    • 無制限のデバイスで安全に保存し、すぐに自動入力できる
  • 集中管理

    • アクセス制御、ポリシー、集中管理された項目の所有権、セキュリティレポートを1か所で管理する
  • ツール連携

    • SSOプロバイダー、ディレクトリサービス、SIEMツール、AIエージェント、ビジネスが依存する各種ツールと統合できる
  • インポート

    • ブラウザや他のパスワードマネージャーから数分でパスワードを移行できる
  • 共有

    • 組織コレクションでチームメンバーと共有したり、Bitwarden Sendで暗号化されたテキストやファイルを送信したりできる
  • セルフホスティング

    • オンプレミスやプライベートクラウドにBitwardenをホストしてデータ主権を確保できる
    • さらに多くの機能: Bitwarden Features

Access Intelligenceとフィッシング防御

  • Access Intelligenceは、組織内で使用中のAIアプリケーションを識別し、認証情報リスクを低減する機能
  • 弱い、または使い回されたパスワードは、アカウント侵害への経路になり得る
  • Bitwardenは、Webサイトやアプリごとに強力で一意なパスワードを生成できるよう支援する
  • 悪意のある類似Webサイトでは自動入力しないため、フィッシング防御に役立つ

料金プラン

  • 個人向けプラン
    • Premium: 月額$1.65、年額$19.80請求
      • 統合認証アプリ、ファイル添付、緊急アクセス、セキュリティレポートなどを提供
      • 他のユーザー1人とボルト項目を共有できる
    • Families: 月額$3.99、最大6人、年額$47.88請求
      • プレミアムアカウント6つ、無制限の共有、無制限のコレクション、組織ストレージを提供
    • 基本的なパスワード管理は常に無料で提供される
  • ビジネス向けプラン
    • Teams: 1ユーザーあたり月額$4、年払い
      • Premium機能に加え、認証情報の共有、イベントログに基づくアクティビティ監査、既存ディレクトリ同期、SCIMプロビジョニングの自動化を提供
    • Enterprise: 1ユーザーあたり月額$6、年払い
      • PremiumおよびTeamsの機能に加え、きめ細かなアクセス制御、Passwordless SSO統合、アカウント復旧、セルフホスティングの柔軟性、Access Intelligenceによるリスク低減、全ユーザー向け無料のFamiliesプランを提供
    • 大規模組織は営業相談を通じてカスタムプランを検討できる
  • 表示価格はUSD建ての年間サブスクリプションで、税金は含まれない

1件のコメント

 
GN⁺ 2023-09-26
Hacker News の意見
  • オープンソースなので Bitwarden を好きになりたかったが、1Password のほうがはるかに先を行っている
    1Password 8 が、多くの人に嫌われた Node ベースの UI へ大きくリファクタリングされたにもかかわらず、いまだにずっと優れているのは皮肉だ
    父に母語の翻訳があるという理由で Bitwarden を教えようとしたが、実際に使ってみると、オートコンプリートの失敗、ログイン保存検出の失敗、アカウントからのログアウト、バックグラウンドアプリ終了によるブラウザの生体認証失敗、ひどい管理 UI といった小さな欠陥が積み重なり、ほぼ使い物にならなかった
    個人プランは安いがファミリープランは高く、セルフホスティングも可能ではあるもののコストがかかる
    人々がセルフホスティングと言うとき、たいていは Rust で新たに作られた vaultwarden を指しているが、私の知る限り監査を受けたことがなく、リモート脆弱性の可能性をどう信頼しているのか分からない
    Bitwarden も VC から投資を受けており、成長しなければならないのは理解するが、成長圧力なしに持続可能な事業が所有するプロジェクトが恋しい。1Password も同じだが、VC 投資を受けたスタートアップが 1 年後も信頼できるかは不安だ

    • 1Password がひどい Electron アプリに移行すると発表したとき、主要なパスワードマネージャーや Strongbox のような知名度の低い製品まで評価したが、1Password 8 の UX 低下があっても、なお比較にならないほど優れていた
      数週間前まで V7 で粘っていたが、事情によりアップグレードが必要になったため Bitwarden も含めて再度見直した。しかし UX は改善されたように見えず、さらに重要なのは、大きなセキュアメモが 1 つあるという理由でインポートをすべて拒否したことだった
      そのメモだけをスキップするのではなく何もインポートせず、スキップするオプションもなかったため多くの手作業が必要になり、結局、必要なメモを保管庫に入れたいという要件も満たせなかった
    • 1ユーロという価格はパスワードマネージャーにちょうどよいと思って有料ユーザーとして使っているが、欠陥があるという指摘はその通りだ
      以前使っていた LastPass はフォームフィールドの検出がはるかに良く、一時的なポップアップ上に作った UI を何年たっても新しいタブ方式にきちんと置き換えなかったのは悪い選択だったと思う。LastPass、uBlock Origin、TreeStyleTabs のようにすべきだった
    • 最後にいつ使ったのか気になる。最近 UI 変更があり、以前より良くなった
      1Password より個人・ファミリーアカウントが安く、長年 Bitwarden の有料顧客として使っているが、このような問題に遭遇したことはない
      ちなみに 1Password は VC 投資でほぼ 10 億ドルを受け取っており、成長圧力は相当なものだろう
    • 「Bitwarden も VC から投資を受けた。問題ない」という話は、まったく問題なくない
      VC 投資とは、いつか資金を回収しようとするという意味であり、パスワード管理サービスはその圧力をかけておくにはあまりにも重要すぎる
      他の多くの VC 投資サービスが大きく壊れていった前例を見ると、いつか支払わなければパスワードを人質に取る、あるいは同じくらい過激な行動に出る可能性は十分にあるように思える
    • データセンターでのホスティングは高いが、自宅でホスティングするのは高くない。どうせインターネット料金を払っているなら活用すればよい
      自宅サーバーの電気代は月 3 ユーロ程度で、Vaultwarden だけでなく Home Assistant、Nextcloud、Jellyfin、Immich など複数のサービスを動かしている
      Docker と Compose で保守も簡単で、プライベートネットワーク上で動かし、外部アクセスは必要なときに VPN で制限している
      単一サービスだけをホスティングすると高くつくが、複数のサービスを一緒に動かせばずっと安くなる
  • サーバーのオープンソース Rust 実装である vaultwarden もある: https://github.com/dani-garcia/vaultwarden

    • 公式 Bitwarden サーバーも AGPL ベースの自由なオープンソースである: https://github.com/bitwarden/server
    • Vaultwarden に欠けている唯一のものは SSO/OAuth だ。関連 PR が何年も開いたままだが、もはやマージされる望みは失った
    • チームのパスワードには Vaultwarden を使い、個人用には Password Store を使っている
      別のサーバーへ移すとき、復元した Docker ボリュームから最初データベースを見つけられなかったことを除けば問題はなく、それも Docker の問題か、自分が何か間違えた可能性が同じくらいある
    • 個人用に vaultwarden を使っているが、素晴らしい
  • 思ったより否定的な反応が多くて意外。自分の中では、Bitwarden は HN で愛されている製品のままだった
    10ドルのプレミアムを払って使っているけれど、実際にどの機能を活用しているのかはよく分からない。ただ製品そのものは気に入っている
    ただ、競合製品をあまり調べたわけではないので、ほかのパスワードマネージャーに大きな利点があるのか気になる

    • 自分も本当に驚いた
      「はるかに先を行っている」みたいな話は多いけれど、それが具体的に何を指すのかはあまり見えてこない
      最近の職場では LastPass と 1Password を使っていて、個人用には Bitwarden を使っているが、自分は Bitwarden のほうがずっと良いと思う
      ブラウザプラグインはパスワードの入力・変更をより安定して検知し、保存・更新を提案してくれるし、iOS 版もほかのネイティブアプリのパスワード自動入力とよりスムーズに統合されている
      チーム共有機能では遅れているかもしれないが、個人用途では関係ない
      Bitwarden の大部分はオープンソースだが、一部にプロプライエタリなコンポーネントがあるため 100% ではない、という点に HN 的な怒りがあるように見える。ただ、ソフトウェアは天からマナのように降ってくるべきで、事業を支えてはいけない、という態度は理解しにくい
      同じような方式の VS Code にはこうした恨みがあまり向かないのも不思議だし、Bitwarden がもっとそれらしいダークモード UI を作れば良くなるのかもしれない
    • ソフトウェア界隈には、オープンソースの解決策が同じ分野のほかのソフトウェアより高い基準を求められるという奇妙な現象がある
      自分も Bitwarden Premium を使っていて気に入っている。うちの組織は別のエンタープライズ級パスワードマネージャーを使っているが、ずっと複雑でインターフェースも遅い
      同じ機能の 80% をオープンソースで得られるなら、「最高」でなくてもそれを使う、という原則を持っている
    • 正直、競合を引きずり下ろそうとする組織的な試みのように感じる
      これまで HN では Bitwarden を称賛する投稿ばかりだったし、自分で使っていて、ここで不満として挙がっている問題はほとんど経験していない
      唯一の不満はデスクトップアプリの生体認証ログインが少しぎこちないことくらいで、致命的な問題ではない
    • Bitwarden をしばらく使ってきたが、自分には完璧に動いている。特に不満なく必要なことをしてくれる
  • 参考までに、Bitwarden は昨年 1億ドルの VC 投資を受けている
    いつかは積極的にマネタイズしなければならないという圧力が来る可能性が高い
    https://techcrunch.com/2022/09/06/open-source-password-manag...

    • 主な代替は LastPass と 1Password だが、LastPass はセキュリティ上の欠陥で崩れつつあり、1Password は VC 投資で約 10億ドルを受けている: https://techcrunch.com/2022/01/19/1password-series-c-funding...
      どこかの時点では、ただ受け入れて付き合っていくしかない。使っている製品が将来変わるかもしれないし、後で別のものへ移行しなければならないかもしれない
      代替案は KeePass のようなものを USB ドライブに入れておき、クラウド同期やブラウザ・ネイティブアプリの自動入力統合を諦めることだが、実際にはそうした機能こそがこの種の製品の中核だ
      それがないなら、机の引き出しに入れた紙のメモのほうがましとも言える
    • VC やプライベートエクイティ投資家が入ってきたら、その製品から早く離れるのが自分の人生の原則だ
    • パスワード管理サービスに、いったいなぜそれほどの金が必要なのだろう
      さらに悪く考えると、VC にその金額以上の回収を納得させるほど、今後何をしようとしているのだろうか
    • ブートストラップ事業をはるかに好む立場から見ると、この規模の資金調達は狂気じみて見える
      これほど成長し人気のある製品があるなら、なぜわざわざそれほどの金を受け取るのか、本気で理由が知りたい
    • 情報ありがとう。こんなに簡単に移行できる安価なサービスに、あれほど大きな金額が入ったとは、かなりの額だ
      少し心配になる
  • Bitwarden は良い。どこでも使っていて、パスワードをうまく管理してくれる
    自分にとっての主要機能は組織機能が使いやすいことだ。妻とパスワードを簡単に共有できる
    家計や子ども関連のアカウントは共有しなければならないことが多く、二人ともパスワードが必要になるが、Bitwarden はそれをとても簡単にしてくれる

    • 自分もそう使っていたが、妻と自分は単に1つの Bitwarden アカウントだけを使えばいいのだと気づいた
    • 自分も共有機能、つまり組織機能を使っているが、自分が分かっていないだけなのか、共有した後はパスワードを表示したりコピーしたりできないように思う
      自分で共有した項目でも同じだ。自動入力が使えるときは問題ないが、常に動作する、あるいは利用可能とは限らない
  • タイトルが誤解を招く。これは完全な「無料のオープンソース」ではない
    Bitwardenサーバーはデュアルライセンス構造になっている
    一部はAGPLのオープンソースで、一部機能はソース公開型のBitwardenライセンス
    さらに、オープンソースのコアもセルフホストするには登録が必要で、セキュリティアップデート、プッシュリレーサーバー、ライセンス検査のような補完サービスを提供するためだという
    ドキュメントにはないが、インストール間でライセンスキーを共有しないようにと言っているのを見ると、テレメトリの改善もありそう
    ソース公開型ライセンスが必要なのは理解できるが、成果物がビールのように無料でもなく、表現の自由のように自由でもないなら、なぜ一部をオープンソースとしてライセンスするのか分からない
    企業が、ほとんどオープンソースではない製品をオープンソースとしてマーケティングして得る利点が何なのか、真剣に気になる
    https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
    https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...

    • 「Commercial.CoreとSSO統合: 大規模組織やエンタープライズ環境向けに設計・開発された一部の新しいモジュールコードは、ソース公開型ライセンスであるBitwarden Licenseで配布される」という内容だ
      それ以外のBitwardenは、費用の面でも自由の面でも無料・自由ソフトウェアだ。なぜ違うと思うのか分からない
      Vaultwardenが存在し、Bitwardenクライアントと互換性がある
    • 何かがオープンソースなら必ず無料で、何でも許す寛容なライセンスでなければならない、とどうして皆が仮定するのか分からない
      Webサイトをざっと見る限り、自由なオープンソース精神というより、透明性のための公開に近いように見えた
    • 実際に気にする人は多くないだろうが、ライセンスFAQの文言上、サーバーをFOSS専用としてホストできそうに見える
      apiにはBitwarden LicenseのCommercial Coreが含まれるが、モジュールをビルドする際にdotnet/p:DefineConstants="OSS"引数を渡すと無効化できると書かれている
    • 自分で言っているとおり、マーケティングだ
  • まだPadlocが出ていないのは意外
    エンドツーエンド暗号化、オープンソース、簡単なセルフホスティング、良いUIとUXを備えている
    家族全員に使わせて、1年以上使った末に結局積極的に貢献するようになった
    Tauriベースのデスクトップアプリもある
    利害関係の開示: 貢献権限はあるが、販売やそれに類する収益は受け取っていない
    https://padloc.app

    • Android 13のPixel 7上のGoogle Playで「このアプリは古いAndroidバージョン向けに作られているため、お使いのデバイスでは利用できません」と表示され、インストールできない
      星評価まで見ると信頼感が湧かない
    • 初めて見たが、ブランディングとデザインが「学生プロジェクトだから近寄るな」と叫んでいる感じ
      パスワードマネージャーから受けたい印象では全くない。ちなみに私はUI/UXデザイナー
    • Wi-Fi同期ができるのか気になる
      大手はみんなその機能をなくそうとしているようだが、パスワードマネージャーに望む唯一のことは、自分のすべてのパスワードをクラウドに保存しないことだ
  • Bitwardenが完璧ではないにせよ、passを「簡単」と呼ぶのはおかしい
    特に、技術にずっと不慣れな家族とパスワードを共有しなければならない立場ではなおさらで、1Passwordは頑固なUIがむしろ邪魔になることが多い
    Bitwardenはセキュリティ・価格・デザインの間で良いバランスを取っていると思う
    ただし資金調達と経営陣の変化に対する懸念には同意する

  • 満足して使っていて便利だが、2FAまで含めて重要なものをすべてクラウドの一か所に集めることが実際どれほど安全なのか気になる
    あまりにも価値の高い標的に見える
    一方で、すべてを手動で同期するのは面倒だし、結局は自分のコンピュータで暗号化したあと同期はクラウドを経由するのだから、何が違うのかも気になる

    • 利用する各サービスごとに一意で十分に強いパスワードを作れる必要がある。アカウント管理では、これが絶対的に最も重要な第一歩だ
      大規模に見れば、パスワードマネージャーを使わない人たちはパスワードを使い回す。それで終わり
      一般大衆のアカウントセキュリティを実際に最も大きく改善する方法は、パスワードマネージャーを使わせることであり、保管庫が盗まれて解読されるリスクを考慮しても同じだ
      ほとんどの人にとって、パスワードのクラウド管理は事実上譲れない。「保管庫がコンピュータにあったが、落としてディスクが壊れた」ということが起こり続けるし、全員に適切にバックアップさせるのは大規模には不可能だ
      自分がすべてのアカウントに一意で十分に強いパスワードを作れるなら、パスワードマネージャーを避けて小さなリスクを1つ減らすことはできる
    • 私もほぼすべてのパスワードをBitwardenに入れているが、すべての卵を1つのかごに入れないように、2FAトークンは入れていない
      2つの秘密を両方とも中央集約すると、実質的に2要素認証ではなくなる
      モバイルではAegis、コンピュータではpassとOTP拡張を使い、Bitwardenとは完全に別のパスワードを使っている
      Bitwardenのクラウド保管庫が心配なら、Rustベースの自由なオープンソースサーバー実装であるvaultwardenインスタンスを立てて、クライアントを接続できる。まだ自分では試していないが、うまく動くと聞いている
    • 私はKeePassを使っているが、同期は面倒ではない
      ファイルはDropboxにあり、別のデバイスでアプリを開く前にはいつも同期されていた
      データベースのバックアップも、ファイルをコピー&ペーストするのと同じくらい簡単
    • データが十分に価値あるものだったり、自分がより良い方法を扱える能力を持っていたりするなら、最高の解決策ではないかもしれない
      平均的なユーザーにとっては、すべてのアカウントにhunter42を使うより、パスワードマネージャーを使うほうが圧倒的に良い
    • この用途で、自宅のRaspberry PiにBitwardenサーバー実装であるvaultwardenをセルフホストしている: https://github.com/dani-garcia/vaultwarden
      データベースも頻繁にバックアップしている。私には十分うまく動いていて、1社のクラウドに自分のデータを保存しなくて済む
  • オープンソースで使いやすい: https://www.passwordstore.org/

    • passや他のクライアントで感じていた多くの不便を解消しようとしてprsを作った
      passと互換性があり、同じリポジトリを使う
      https://github.com/timvisee/prs
    • これは少し違う。パスワード管理アプリというより、~/.password-storeGPGで暗号化したパスワードを保存する標準とリファレンスCLI実装に近い
      パスワードを扱う複数のGUIクライアントや、他の管理ツールから取り込むためのツールもある
      良いアイデアのように聞こえるが、クライアントがソフトウェアサプライチェーン攻撃にさらされる可能性がある点が気になる。毎回新しいバージョンを評価できるだけの専門知識は自分にはなさそうだ
    • コンピューターに詳しい人にとっては使いやすいかもしれない
      家族にpassを紹介してみるといい。一般の人には1Passwordでさえ設定は簡単ではない
      誰もがパスワードマネージャーを使うようになるまでにはまだ道のりが長く、より現実的な代替はおそらくパスキーだろう
    • passは設計上、設定したWebサイトと各記録の履歴メタデータがすべて露出する
      脅威モデルに合う場合もあれば、合わない場合もある
    • https://github.com/passff/passff を参照すればよい