# 古典的だが要所を網羅したパスワードマネージャ/オーセンティケータ-Bitwarden By [mayu2001](https://paragraph.com/@mayu2001) · 2023-03-31 --- おはです<(`・ω・´) 昨日、Bitwardenについて和組のDiscordで述べた都合上、暗号資産での使い方に重点をおいて記事にしてみることにしました。まずは、Bitwardenはかなりオープンな感じの米国のスタートアップをギリ卒業した感じの私企業で、そこで開発されたパスワードマネージャで、いつの間にかGoogle Authenticatorが2段階認証においてスマホアプリのみとして提供されている6桁のオーセンティケータ-機能を年10ドルのプレミアムプランにおいて取り込んでいました。それもエンドツーエンド暗号化とオープンソースで。オープンソースでない限りはどこに穴があってアプリの提供元にデータが抜かれていても分からないし、エンドツーエンド暗号化でないと提供元が利用者のデータに読み取ることができるため、古典的ですが、この両者が両立していることは重要です。オープンソースであることのメリットは他にもあって、コピーが出てこられては困るので、価格を年10ドルまで下げてサポートを厚くしないと他にシェアを奪われやすいため、日本語化も適度に行われており、情報の出し方も対応が比較的よいのです。 なお、記事に古典的という表現を用いたのは、ブロックチェーンとは何の関係もないですし、量子暗号耐性までは調べていないからですw 私も元々わずかでいいからマイナンバーカードや運転免許証など、身分証をきれいに撮影できたものをエンドツーエンドかつオープンソースで保管しておいて、すぐに取り出せる僅かのストレージ機能に目をつけて、プレミアムに入ったのですが、それまでは、オーセンティケータ-の機能を統合しているとは知らず、かなりのショックを受けました。それまではオープンソースじゃないけど、複数のデバイスで同期してくれて、エンドツーエンド暗号化していると提供者が主張しているAuthyで妥協していたのが、実に…(略💦) 率直に言って、Google ChromeまたBraveのパスワードマネージャとGoogle Authenticatorを合わせた機能を1アプリでLinux対応までして提供しているので、これら全ての上位互換と言い切っていいと思います。 なお、記事のバナーに使いやすかったので載せてしまった都合上、スクショの全体を示しておきます。例によってBitwardenの企業としての信用調査ですが、以下のようにスタートアップをギリ卒業した感じの米国の私企業です。なお、第三者からの記述の方がいいと思って、このサイトを示しましたが、このサイト自体の信用までは追っていません。 ![](https://storage.googleapis.com/papyrus_images/6dcdba9f73e12c8fa2b975384c6cf3debb63f57dd8eb30e8d0168f05b8b6261e.png) 以下は価格ページです。プレミアムがめちゃ安いw ![](https://storage.googleapis.com/papyrus_images/ad5f6b3e68c9b7138f75c97afd5734d3894f9a205250937c81cff498242ce215.png) 次にソフトウェアとしての概要です。 ![](https://storage.googleapis.com/papyrus_images/8175883dc6a48aa69fe84755daedeb30764f982b985af6a3dd7710d3f24cdb6d.png) 画像大きすぎたので、以下はその続きです。 ![](https://storage.googleapis.com/papyrus_images/c09a129d089d9c0f658e52a6efaafb1ad5a3919380251aeb8a7b74b1a2c98656.png) 監査については、ざっと以下のような感じで、監査組織までは追っていないし、一部のDeFiのように監査組織へのリンクがあるわけではありませんが、監査者個人の氏名が開示されているので、私の印象としては十分かと。 ![](https://storage.googleapis.com/papyrus_images/8fea2ecedc7fc80891d85bf709bda7f5ccbb889b3d6de464118ff5ec4d87b038.png) 監査はソフトウェアそのものについてらしきものと、ネットワーク(サーバ?)のセキュリティとに分かれています。 ![](https://storage.googleapis.com/papyrus_images/e8efb30df0940565cbd87e1cb4a585f99aa05e025127b59e71f0a8a3221119e7.png) 脆弱性の修正の中にLowがまだ解決されてないようです。まぁ、逆に全部完璧と記されている監査所見の方が怪しいですよね。以下によるとドイツの監査組織っぽいですね。 ![](https://storage.googleapis.com/papyrus_images/7412d6c9c8583aaf867824e6475342079b2a84929a4e08da90b4087c18aa5a2b.png) あ、一番下は長いのでこのぐらいでいいだろうと「略💦」としたら文字化けしてしまいました💦 以下はネットワークの監査概要です。 ![](https://storage.googleapis.com/papyrus_images/0adff3f033e7375c99e223f31599357cefa11ea24cd89d13827bc838c9b067e0.png) そして同じ監査者のマリオさん。 ![](https://storage.googleapis.com/papyrus_images/eff5f9ea9f59c3616561ea0f31bb4fbe735a97679e1083140da6b7094e0892d9.png) 実際のGitHubにあるオープンソース。 ![](https://storage.googleapis.com/papyrus_images/072fb7e5cf380caa7f365492c17f158aaf4eff6555d240a0d7507a937507c89a.png) 個人的にですが、暗号資産の操作でよく使うのは、Windows10Pro上のBraveに載せたChrome拡張機能としてのバージョンです。BraveとChromeの間で挙動が異なる拡張機能がありますが、Lastpassが有料化されて以降、何年間か使っていますが、今のところBraveだからという不都合は全くみつけられてないです。 ![](https://storage.googleapis.com/papyrus_images/e9797992a82cf798b2be6a878b57243b378c7a93353452bcf609ad9499631e56.png) \[お気に入り\]が何気に便利です。なお、デスクトップアプリ版をインストールして連携させると、拡張機能の方でもWindowsHelloによる指紋認証でロック解除できることになっています。以下はデスクトップアプリ版でロック解除しようとしたときのスクショです。 ただ、この機能については、Panasonicのレッツノートではうまく機能しているのですが、非常に古いタイプの中古の指紋リーダー(もう吸収合併されて存在しない企業からの富士通へのOEM製品、AuthenTec Inc. AES2660)を外付けしたAsrockの自作デスクトップでは、デスクトップアプリ版では指紋認証によるロック解除できるのですが、拡張機能ではロック解除できないで、理由を調べているのですが、まだ分からないでいます。基本的にめちゃ古いものはめちゃ安いからと言って買わないことですね(自分に言うw) ![](https://storage.googleapis.com/papyrus_images/c5d5c5275b88e73241f861c48040c9fa70831d88a151e5db20d365961b68c162.png) 例としてBINANCEにウェブアクセスしようとしたのですが、今日の時点で、VPNを介して日本のIPアドレス以外を使わないとアクセスできないようです。アプリ版にはログインできるので、そこはまだ調整中みたい。 ![](https://storage.googleapis.com/papyrus_images/75618d50ee6992805a9250ca46394bb543dffe589da94ede5c77db0a93e34988.png) 超便利な機能として、[お気に入り]に入れたセキュアメモはカスタムフィールドにDicord名とか入れとくと右側の四角のマークをクリックするだけでコピーされます。 ![](https://storage.googleapis.com/papyrus_images/587afe494b3904c4e2c3249f454f23c396fa297f801c6b9e30c59d29fd114714.png) ここから暗号資産用途の話になるのですが、アドレスをカスタムフィールドに用意しておくと、同じようにワンクリックでコピーできます。結果的に何段階かのリスクレベルに応じて、複数のEVMアドレスを使い分けるのが容易になり、現在3段階でやってます。 ![](https://storage.googleapis.com/papyrus_images/216002b39ab238b50d74204cd4b7188ee134136f0e49bb33ee78b53c4df9e67a.png) さらに秘密鍵についても、キーとシードをここでまとめて管理しています。これらの情報はロック中でも覗き見撮影されると極めてまずいため、パスワードと同じ扱いで\[非表示\]に設定しておくと、覗き見インシデントは防止できます。 ![](https://storage.googleapis.com/papyrus_images/f5093ce0dc489136bb3290f2fa36b08a73150513c12fd33f63cba85bcda6e823.png) ロック中に開こうとすると、マスターパスワードの入力を要求されます。これはWindowsHelloとの連携はできず、生体認証は無理な仕様のようです。 ![](https://storage.googleapis.com/papyrus_images/73fffa5c2e9d286065b1d523c76dabfa1dd61826df67d6d42bc229dbb717ed92.png) マスターパスワードを入力したからと言って、全ての非表示が解除されるわけではなく、マスターパスワードを入力した数分の間(確か設定で指定できたと思います)だけ、目のマークをクリックするとその項目だけが非表示を解除できます。 ![](https://storage.googleapis.com/papyrus_images/bba965d23fb24813245da287d6791ceb539f2f4c44130bd19ade630eb51c8a5c.png) 最後の、ツイッターに一時期掲載、とあるのは、あくまでアドレスのことで、シードではないのでご安心をw なお、写りがよくなくて申し訳ないですが、スマホ版は生体認証完備。 ![](https://storage.googleapis.com/papyrus_images/552010a51327584a27bc6c0c528e6fdc5e526fafeb164fdb1abf8e99d54df0fe.jpg) 度々、すいません、写りよくないですね💦なぜ別のスマホで撮影しているかというと、Bitwardenのスマホアプリ版はスクショが以下のようになってしまって撮れないんです。実に慎重な仕様に考えてあります。 ![](https://storage.googleapis.com/papyrus_images/1407d783d4f344a6be711c45c4e2cf172c4d27d1e0bb43ab765c7c67c1f99301.png) 二段階認証のAuthenticationコードだけをまとめて表示、コピーするモードです。 ![](https://storage.googleapis.com/papyrus_images/bf0857133844c0171ddc2a4c2ee37fe202df5965a905c4d3c60bd0c9cfa3b09a.jpg) 二段階認証コードについては、残りの秒数がカウントされ、それが少なくなると色が赤くなるので、変わるまで待ってからコピーですね。この機能は他ではみたことないですね。 ![](https://storage.googleapis.com/papyrus_images/b7c7bf28470c8a5f7535dfd570bc241cca72d60d3c7ced925482be04372a5ade.jpg) BINANCEはスマホ版もアプリでいけました。どういうことなんでしょうね?アプリ利用者とウェブ版利用者の区別の意味がはっきりしませんが、CEOのCZが米国の国家機関から提訴されてしまったようなので、いろいろあるのかもしれません。 ![](https://storage.googleapis.com/papyrus_images/c66485d7dacd7f0b260cbdef7b8b8083cc098cb5f5ab83c10df8b3e3f95b742f.jpg) BINANCEのデスクトップアプリもスクショが撮れない部分が多いため、写真で示します。思えば去年の11月以来、日本からの新規ユーザはいないんですね。早めに登録してよかったのか… ![](https://storage.googleapis.com/papyrus_images/29257be2e06d98f478aeedbd97c88445d54d8cc8dd3880137fe02575a76ec977.jpg) 以上、Bitwardenの暗号資産での使い方を私なりにご紹介いたしました。 あとは、AuthyはGoogle Authenticatorと違って複数のデバイスで同期してくれますが、ソースコードが非公開であることと、Google Authenticator以上に秘密鍵のエクスポートができない仕様になっています。Google Authenticator同士の間では、秘密鍵のエクスポート/インポートは全部のアカウントについてQRコードのみにより容易にできますが、このQRコードの仕様はGoogle Authenticatorだけで利用されているため、一つ々々のアカウントについて元の秘密鍵をエクスポートすることはできません。エクスポート機能はBitwardenを使う以上は当面必要性を感じないので今のところ試していないのですが、別の角度から、気になっていることはあります。 実は、Google Authenticatorの独自QRコードによるエクスポートから、各アカウントの秘密鍵を取り出すことができるスクリプトが英語圏で紹介されていたりして、私もTwitterの二段階認証まで秘密鍵の停止と再始動をするのが面倒だったため、それを利用しましたが、本来であれば、AuthyなりGoogle Authenticatorなりに一度でも入力した秘密鍵は、全て破棄する方がベストです。私も一部は破棄して再発行しましたが、全てではないため、これは後々、課題になるだろうとは思っています。 でわでわ<(`・ω・´) --- *Originally published on [mayu2001](https://paragraph.com/@mayu2001/bitwarden)*