Bitwarden

https://gyazo.com/aee5ee57c3649aed8100363a4182f13e https://bitwarden.com/

「Bitwarden」は2016年8月に初版がリリースされた後発のソフトですが、セキュリティと利便性のバランスが取れていると評価の高いパスワード管理ソフトです。Windows/Mac/Linux/Android/iOSに対応したアプリやChrome/Firefox/Edge/Safari/Opera/Vivaldi/Brave/Tor Browseに対応したブラウザ拡張機能など対応の範囲が広く、無料版のみでも保存するパスワード数の上限なしに、複数デバイスで一般的な利用で必要とされる機能はほぼ使えます。

月額1ドルの有料版のみの機能は、優先的テクニカルサポート、高度な多要素認証オプション（Google Authenticatorなどによる2段階認証は無料版でも利用可能）、1GBの暗号化されたファイルストレージ機能などです。また、Webサイトのヘルプなどは英語のみですが、アプリやブラウザ拡張機能は日本語化されていますし、モバイルアプリでは、iOSのFaceID、TouchIDやAndroidの指紋認証にも対応しています。

「Bitwarden」ではオープンソフトですべてのソースコードがGitHubで公開されています。「1Password」「LastPass」はホワイトペーパーで暗号化の技術仕様などが公開されていますが、ソースコードは非公開のため実際に仕様通りに実装されているかは確認が難しいのに対し、「Bitwarden」ではすべてのソースコードが公開されているため、実際の実装をソースコードで確認できます。

更に、セキュリティ監査の企業として著名なCure53によるソースコード診断及びペネトレーションテストを実施し、そのレポートが公開されていますし、バグ報奨金プログラムも実施されているなど、セキュリティの強化に力を注いでいます。データの保存は「Bitwarden」が運用するクラウドが基本ですが、利用者自身が運用するサーバー上に自分専用の「Bitwarden」のサーバーを立ち上げることも可能です。

データはマスターパスワードを元にPBKDF2-SHA-256の反復回数100,001回(デフォルト値、設定で変更可能)により導出された鍵で、AES-256により暗号化されます。また、マスターパスワードはデバイス側でPBKDF2-SHA-256の反復回数100,001回(デフォルト値、設定で変更可能）でハッシュ化された後、更にサーバー側で PBKDF2-SHA-256の反復回数100,000回でハッシュ化され保存されます。（2019年1月現在）