パスワード管理アプリを使うのであれば、アプリの「安全性・セキュリティ」は気になりますよね?
今回、パスワード管理アプリ「Bitwarden(ビットウォーデン)」の安全性について、公開情報の要約から、情報セキュリティの知見で解説していきます。
Bitwardenって何?という方は、まずリンク先をお読みください。
-
無料パスワード管理アプリ「Bitwarden」の使い方をIT管理プロが解説
続きを見る
Bitwardenが安全な3つの理由
- 「バグバウンティ制度」でバグの修正がはやい
- 外部セキュリティ監査による徹底した安全性チェック
- Bitwardenは「パスワードを保存しない」?
以下順に説明していきます。
1.バグ「懸賞金」制度でバグ検出・修正が爆速
Bitwardenのバグ発見者へ報奨金を出す制度ですね。
あのApple社も同じ制度を起用しています。
つまり、世界中のエンジニア総動員でBitwardenの「バグ探し〜検知・報告〜即座に修正」このような改善スキームが確立している事実があります。
2.外部セキュリティ監査の厳しい安全性チェック
2018年11月に、ドイツのセキュリティ会社「Cure 53」による、第三者セキュリティ監査を行った結果です。
| Cure 53社 → Bitwardenへの指摘 | 対策 |
|---|---|
| マスターパスワード長さが8文字以上は緩すぎる | ・マスターパスワードは複雑で長いものにする ・2段階認証でログイン強化する |
| 侵害されたAPIサーバーから暗号化キー盗まれる | ・APIを使用しない ・暗号化の設定を使用しない |
| オートフィルデータを盗む可能性がある | ・2段階認証でログイン強化する ・ログインアラートのメール通知に気を配る |
基本、個人でパスワード情報を登録して管理する使い方であれば、”2段階認証でBitwardenのログインを強化する"対策で問題ないでしょう。
次に、2020年に監査会社「インサイトリスクコンサルティング(IRC)」によるセキュリティ評価を行った情報がありますが、 「大きな問題は特定されなかった」結論です。
しかし「最新のBitwardenサーバーアップデートで、1 つの中程度の問題が修正された」情報がありました。
任意のオリジンでホストされているWebアプリケーションは、BitwardenサーバーAPIを呼び出すことができます。
悪意のあるWebサイト(フィッシング攻撃など)が、BitwardenサーバーのAPIを使用して表示されてしまう問題があったようですが、本件は「修正・解決済み」となっています。
3.Bitwardenには「パスワードを保存していない」
Bitwardenはパスワード情報を、クラウドサーバーに保存する前に暗号化(ハッシュ値)します。
つまり、「パスワード文字列を識別できる情報では保存されていない」ことを示します。
Bitwardenハッキングは実質「無意味」
上述の通り、Bitwardenはパスワードを特定できる情報を保存していません。
例え盗まれてたとしても、それは「意味を持たない文字列」です。
Bitwardenエンジニアでもパスワード解析は不可能
Bitwardenに保存したパスワードは、アプリから離れるタイミングで、完全に暗号化(ハッシュ化)されます。
よって、Bitwardenのエンジニアでも登録したパスワード情報の中身を知る方法がありません。
Bitwardenマスターパスワードの保存場所は?
アプリのロックが解除される間のみ、デバイスのメモリに保持されます。
これは、Bitwarden保管庫のパスワード情報を復号化するため必要です。 Bitwarden保管庫が再度ロックされると、デバイスからマスターパスワードを消去する仕組みとなっています。
Bitwardenのセキュリティ準拠
- GDPR
- CCPA
- HIPAA
- SOC2 type2
- SOC3
などなど、詳しく書きだしていくと枚挙にいとまがないので割愛しますが…
とにかく、セキュリティにはすごくこだわっています。
Bitwarden脆弱性は?過去のインシデント履歴も調査
ここからは筆者独自の見解からのセキュリティ対策です。
- 現在Bitwardenに脆弱性がないか?
- 過去どのような脆弱性が発生したか?
脆弱性の情報は、「JVN iPedia - 脆弱性対策情報データベース」サイトで調べた結果、
2020年以降、一回も脆弱性は発生していません(2022年5月時点)。
因みに、2020年以前で発生した2件は、「自分でBitwardenサーバを構築した場合に限り」です。
つまり、「なんのこっちゃわからん」といった方には無縁な脆弱性です。
Bitwardenを安全に使うための個人のセキュリティ対策
さて、セキュリティ対策から脆弱性までチェックした結果、Bitwardenが堅牢であることは実証されました。
しかしながら、どれだけセキュリティが強固なシステムであっても、
100%はありません。
必ずハッカーにつけこまれるスキがあります。
これは世のセキュリティ専門家、何方に聞いても同じ見識であり、セキュリティの真理ですね。
Bitwardenも同様ですので、使う側もセキュリティの意識と対策を考えなくてはいけません。
ですが、
「セキュリティなんて、どう考えて、どのように対策すればいいのよ?」
システムという類のものが苦手な方は、そう思いますよね?
Bitwardenにおける個人でやるべき対策はズバり
「マスターパスワードを強化する」です。
具体的には個人でも次の対策は必須レベルです。
- マスターパスワードを使いまわさない
- 2段階認証を設定する
Bitwardenの2段階認証の設定はわかりづらいので、別記事で説明しています。
-
Bitwarden 2段階認証の設定方法
続きを見る
まとめ
Bitwardenの安全性・脆弱性から、安全に使うための個人による対策でした。
- 技術情報を無料公開している
- 外部セキュリティ会社の徹底した監査
- Bitwardenパスワード暗号化のこだわり
- 脆弱性も過去発生しているが爆速で修正
- 最低限、個人のセキュリティ対策も必要
Bitwardenが堅牢なシステム・サービスであることは実証されましたね。
ただし、使う側のセキュリティ意識、対策は必要です。
「使いまわしではないマスターパスワード」および「2段階認証」を設定し、不正アクセスされないようセキュリティ強化しましょう。
本記事の内容は、Bitwarden公式情報「Security FAQs」の和訳を超咀嚼して解説しました。
