banner
Leo

Leo的恒河沙

一个活跃于在珠三角和长三角的商业顾问/跨境电商专家/投资人/技术宅/骑行爱好者/两条边牧及一堆小野猫的王/已婚;欢迎订阅,日常更新经过我筛选的适合精读的文章,横跨商业经济情感技术等板块,总之就是我感兴趣的一切
ホーム我的PKM体系精读文章读书笔记归档

2023-12-31-お金を節約するためだけではない:オープンソースのパスワードマネージャーの可用性レポート | 少数派会員 π+Prime

#omnivore#工具#网络技术126
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
这篇文章讨论了开源密码管理器的可用性,并提到了Bitwarden和KeePass作为替代1Password的选择。文章指出,尽管1Password在密码管理领域具有领导地位,但也面临着一些质疑和顾虑。对于那些想要迁移到开源方案的用户来说,并不是一件容易的事情,需要考虑数据迁移和操作习惯等因素。文章还提到,纯粹以省钱为导向的决策是错误的,开源光环本身并不足以保证安全性。因此,文章的目的是从安全性和便利性的角度研究从1Password迁移到Bitwarden或KeePass的可行性,并为有意尝试的用户提供一些建议和技巧。

お金を節約するためだけではない:オープンソースパスワードマネージャーの使いやすさレポート | 少数派会員 π+Prime#

#Omnivore

オープンソースとクローズドソースには必然的な優劣はなく、無料と有料も総合的なコストの一つの考慮要素に過ぎません。

TL;DR

  • いくつかの合理的な疑問に直面しているにもかかわらず、1Password はほとんどのユーザーにとって最も安心できる選択肢であり、提供されるサービスレベルに対する価格設定も合理的です。価格要因だけで 1Password から逃れようとする場合、最良の選択肢は 1Password を使い続けることかもしれません。
  • ある程度の技術力を持つユーザーにとって、Bitwarden や KeePass などのオープンソースの選択肢で 1Password を代替することは可能であり、使用体験は数年前よりも改善されています。相対的に、KeePass の初期設定のハードルは低く、Bitwarden は機能面でより充実しています。

パスワード管理の分野において、1Password のリーダーシップは疑いの余地がありません。しかし、時間が経つにつれて、疑問や懸念が徐々に蓄積されています:サブスクリプションモデルへの決定的な移行、クラウドストレージ、Electron「ラッピング」開発は、多くの古いユーザーを苛立たせました;2 回のベンチャーキャピタルからの資金調達や商業業務の大規模な拡張も、「大衆路線」からの逸脱への懸念を引き起こしました。

そのため、「良い 1Password の代替品は何か」という質問は、多くのユーザーが関心を持つ問題となりました。多くの選択肢の中で、KeePass と Bitwarden を代表とするオープンソースの選択肢は、特にギークユーザーに好まれています。

しかし、もし本当にいくつかの推奨に従って 1Password からこれらのオープンソースの選択肢に移行しようとすると、それは簡単なことではないと気づくでしょう。オープンソースの「自主性」は「自助」を必要とすることを意味します。この手間をかける意欲があっても、既存のデータを完全に移行できるか、以前の操作習慣を継続できるかは、ためらいの要因となります。

さらに、パスワード管理に関して言えば、純粋にお金を節約することを目的とした決定は間違いであると言え、オープンソースの光環自体は安全性を保証するものではありません。

したがって、この記事の目的は、安全性や利便性などの観点から、1Password から Bitwarden または KeePass への移行の実現可能性を調査し、試してみたいユーザーにいくつかのヒントやテクニックを提供することです。

オープンソースの選択肢はどれくらいあるか#

オープンソースのパスワード管理ツールは少なくありませんが、Bitwarden と KeePass は、評判、機能、クロスプラットフォームサポートなどの多くの面で 1Password と対抗できる数少ないツールです。これらのパスワードストレージメカニズムは、1Password がクラウドに移行する前後の 2 つのモードにそれぞれ似ています。

Bitwarden#

Bitwardenは比較的新しいプロジェクトで、2016 年に登場しましたが、優れた機能セットと活発な更新により、一定の評判を築いています。

image

現在の 1Password に似て、Bitwarden は中央集権的な SaaS アーキテクチャを採用しています:パスワードデータはサーバーに保存され、クライアントは読み取りのみを担当します。しかし、Bitwarden のサーバーとクライアントのコード(ほとんど)はオープンソースであり、公式にはサーバーのDocker イメージも提供されており、ユーザーが自分でホスティングすることを許可し、奨励しています。

問題は、この公式バージョンは多くのコンポーネントを含み、非常に重く、少なくとも 2GB のメモリと 12GB のハードディスクスペースを確保する必要があり、多くの個人サーバーにとっては負担が大きすぎます。

したがって、「自分で Bitwarden を構築する」と言うとき、一般的にはコミュニティが開発した、オリジナルの API と互換性のある軽量バージョンサーバー Vaultwarden1** を自ホスティングすることを指し、その後、各プラットフォームの公式クライアントと組み合わせて使用します。**Vaultwarden は初代 Raspberry Pi でも動作し、現在のほとんどの NAS や VPS では問題ありません。

KeePass#

KeePassの歴史ははるかに古く、2003 年末から存在しています。そのアーキテクチャはより伝統的で、旧版の 1Password に似ています:サーバーはなく、すべてのデータはKDBX 形式(その主体は暗号化された XML)で保存されます。2 この形式を読み書きできるツールはすべて KeePass の「互換クライアント」として機能できます。実際、オリジナルの KeePass は Windows のみをサポートし、インターフェースと操作設計が非常に古いため、互換クライアントがより一般的な選択肢となっています。

image

** したがって、KeePass を選択する場合、主に考慮すべき問題は (1) どのクライアントを選ぶかと (2) どのようにパスワードライブラリを同期するかです。** 具体的な選択肢の推奨は後ほど紹介します。

ちなみに、KeePass エコシステムのオープンソース文化は模範的と言えます。Reddit ユーザーの「誰を選ぶべきか」という質問に対して、2 つの競合クライアントの開発者が「商業的な相互称賛」を行ったり、提案された拡張形式について共同で議論したりする様子が見られます。現在の厳しいオープンソースコミュニティでは、こうした雰囲気は珍しいです。

セキュリティと安定性#

セキュリティと安定性はパスワード管理ソフトウェアの生命線です。しかし、これはユーザーが理解しにくく、優劣を判断するのが難しい要因でもあります。各製品の公式ウェブサイトを見ると、どれも堅固で完璧な印象を与えます。

私の提案は…… これらの宣伝を無視することです。確かに、暴力的な攻撃に対する耐性だけを考えると、十分な長さの暗号化アルゴリズムを使用すれば、基本的には合格です。例えば、この記事で取り上げる 1Password、Bitwarden、KeePass はすべて 256 ビット AES 暗号化をサポートしており、設計構造と鍵の長さは機密情報を保護するニーズを満たしています。たとえ量子コンピュータが明日普及したとしても、これは一時的に「破られる」アルゴリズムではありません。

** しかし、パスワード管理者にとって、暴力的な攻撃は直面する可能性のある脅威の一部に過ぎません。** パスワード管理者は複数のパスワードライブラリ、サーバー、クライアントなどの複数のコンポーネントで構成されるシステムであり、その中の各コンポーネントは攻撃を受けたり故障したりする可能性があり、全体の「木桶」の安全性と安定性に影響を与える「短板」となります。

ただし、さまざまな潜在的な脅威を列挙し、各製品の防御能力を比較することは難しく、この記事の範囲ではそれを行うことはできません。しかし、別の視点から考えることができます:** 情報システムにおいて、「信頼」—— 他者の行動に対する仮定と依存 —— は脆弱性の根源であり、過度または不適切な信頼はリスクとなります。** したがって、異なるパスワード管理者がどのような「信頼」を必要とするかを比較することで、リスクを見つけやすくし、自分が受け入れられるかどうかを判断できます。

以下の表は、この考え方に基づく(高度に簡略化された)比較であり、一部はイーサリアムの創設者 Vitalik Buterin の方法を参考にしています。各セルの分母はそのコンポーネントに関与する提供者の総数を示し、分子はその中で期待通りに機能する提供者の数を示しています。例えば、「1/1」は「そのコンポーネントには 1 つの提供者しかおらず、その提供者が期待通りに機能する場合にのみ正常に使用できる」ことを示します。

コンポーネント1PasswordBitwardenKeePass
パスワードライブラリストレージ1/12/21/N
サーバー1/12/20
クライアント1/11/1N/N

説明と分析は以下の通りです:

1Password: 商業製品として、1Password はサーバーからクライアントまで開発者によって提供されており、パスワードライブラリも開発者のサーバーに保存されており、コードはすべてクローズドソースです。これは最も典型的な「中央集権」モデルであり、一般ユーザーにとっては最も手間がかからないですが、開発者への信頼に大きく依存しています。プラス点として、2015 年からクラウドサービスを提供し始めて以来、1Password は重大なセキュリティ事故やダウンタイムを経験していません。当然、これは一つの資格であり、全幅の信頼の理由にはなりません。

Bitwarden: 1Password のワンストップモデルと比較して、(自ホスティング版)Bitwarden の最大の違いは、複数の提供者が存在することです:クライアントは Bitwarden が提供し、サーバーとパスワードライブラリのストレージ(コードは Vaultwarden プロジェクトから)をユーザーが自分でホスティングします。言い換えれば、このシステムの「信頼」は非常に分散しています。ユーザーは Bitwarden と Vaultwarden のコードを信頼するだけでなく、これらのコードをホスティングするために使用するサーバーも信頼する必要があります —— 技術的な能力や消費者向けの自ホスティングサーバーの品質に制限されるため、その信頼性は実際には市場で検証されたクローズドサービスである 1Password よりも高くないかもしれません。

KeePass: これは最も「去中心化」された選択肢です。その利点は、信頼する必要のあるサーバーがないこと、パスワードライブラリのストレージとクライアントに豊富な選択肢があることです。欠点は、信頼が分散していることです:ストレージソリューションやクライアントを導入するたびに、別の第三者の安全性と安定性を信頼する必要があり、多くの小規模なオープンソースプロジェクトはそのような信頼を支えるには不十分であることが経験的に示されています。

見ての通り、オープンソースはより安全であることを意味しません。逆に、設定が不適切であれば、オープンソースのパスワード管理者を使用することで、より大きなリスクにさらされる可能性があります。

もちろん、この点を指摘する目的は退却を促すことではなく、選択時に利点と欠点を注意深く天秤にかけ、相応の「準備」をすることを読者に促すことです:Bitwarden の選択肢を選ぶ場合は、できるだけ信頼できる自ホスティング環境(例えば、安定していて性能が十分な NAS やクラウドホスト)を準備する必要があります;KeePass の選択肢を選ぶ場合は、安定したクラウドストレージと信頼できるクライアントを選ぶ必要があります。

使いやすさ#

安全性と安定性という前提を分析した後、パスワード管理者自体が「使いやすい」かどうかにも注目する必要があります。実際、多くの意見によれば、パスワード管理者を使用することが「安全」である理由の大部分は、ユーザーの記憶負担を軽減し、ユーザーが複雑で(高エントロピー)、重複しないパスワードを設定することを奨励するからです。もしパスワード管理者がユーザーに使う意欲を失わせるほど複雑であれば、再び手動入力や弱いパスワードの再利用に戻ることになり、その利点は消えてしまいます。

そのため、以下では 1Password、Bitwarden、KeePass の使いやすさを複数の観点から比較し、設定や使用に関するヒントや提案を交え、読者の選択と探求を容易にします。

クロスプラットフォームサポート#

パスワード管理者ほどクロスプラットフォームサポートが必要なソフトウェアは少ないでしょう。1Password 8 デスクトップ版が Electron に移行するという物議を醸す決定を発表した際、開発チームの主な理由はクロスプラットフォーム開発の効率を高め、プラットフォーム間の機能差を減らすことでした。

結果として、macOS の古いユーザーがネイティブインターフェース版を奪われたことに対して気にしているものの、これにより 1Password がサポートするプラットフォームが増え、デザインの一貫性が強化されました。デスクトップシステムからモバイルシステム、ブラウザからコマンドラインまで、基本的に 1Password が自分が使用するプラットフォームをサポートしているかどうかを心配する必要はなく、各プラットフォームのネイティブ機能のサポートも非常に迅速です。

image

Bitwarden#

** これに対して、Bitwarden は全体的に良好で、プラットフォームのカバレッジやネイティブ機能のサポートにおいて 1Password と完全に一致しています。** しかし、デザインのレベルやユーザー体験を考慮すると、Bitwarden の製品ははるかに粗雑です。

例えば、同じくウェブ技術を基にしたパッケージである 1Password 8 のデスクトップ版は、数回のイテレーションを経て、Electron を使用したソフトウェアの中では非常に高い水準に達しています。一方、Bitwarden は、コントロールスタイル、アニメーションの質、操作感が何年も前に留まっているかのようです:設定画面は独立したウィンドウがなく、リストビューは Shift による複数選択といった基本的な慣習的なインタラクションすらサポートしておらず、クライアントを専用に作る意味をほぼ失っています。モバイル版も完全に同じデザインとフレームワークに基づいており、体験も似ています。要するに、最高の評価は「鼻をつまんで使える」ということです。(幸いにも、パスワード管理者のインタラクション頻度は高くないため、確かに「鼻をつまんで使えればそれでいい」という製品の一種に属します。)

image

実物は証明写真よりも醜い.jpg

KeePass#

**KeePass の状況はさらに混乱しています。** 前述のように、オリジナルの KeePass は Windows のみをサポートしており、推奨する価値はありません。他のプラットフォームはすべて、サードパーティの互換クライアントに依存しています。

さらに、KeePass の公式ページには互換クライアントのリストが提供されていますが、その大部分の情報はすでに古くなっています。筆者のテストによれば、以下はこの記事執筆時点で各プラットフォームで推奨されるクライアントであり、読者の参考にしてください。複数の選択肢が挙げられている場合、推奨度に応じて順序を減少させています。

プラットフォーム推奨クライアント
Windows/LinuxKeePassXC (オープンソース無料、Qt フレームワーク)
macOSStrongbox (オープンソース、高度な機能 €15 / 年または €60 の買い切り) KeePassXC KeePassium (オープンソース、高度な機能 $20 / 年または $80 の買い切り)
iOSStrongbox KeePassium
AndroidKeepass2Android (オープンソース無料) KeePassDX (オープンソース無料、寄付版、$10 の買い切り)
ブラウザStrongbox 自体 (Chromium、Firefox、Safari) KeePassXC-Browser (Chromium と Firefox) KeePassium 自体 (Safari のみ)
コマンドラインKeePass XC 自体

(実際に試したのはこれだけではなく、リストに挙げられていないものは基本的に重大な機能不足やメンテナンス停止があるものです。使えるかもしれませんが、体験が非常に悪いため、時間を無駄にしないように一つ一つ挙げることはしません。興味のある読者は自分で試してみてください。)

ちなみに、もし 1Password が「ラッピング」フレームワークに移行したことに不満を持って他の選択肢を考えているのであれば、特に macOS/iOS での Strongbox を強く推奨します。価格には少しハードルがありますが、これはあなたが見た中で最も Apple のデザインガイドラインに合致したソフトウェアの一つであり、「ネイティブ感」は旧版 1Password に名を馳せたものを超えています;また、KeePass の簡素な基盤の上で 1Password に劣らない使用体験を実現していることから、その実力は確かです。

image

Strongbox

初期設定の難易度#

1Password のような「フルマネージド」サービスにとって、その価格の一部はサービスコストです。そして、DIY ソリューションを考慮する以上、手を動かすことは避けられません。しかし、どの程度手を動かす必要があるか、Bitwarden と KeePass には確かに多くの違いがあります。

情報を読む

全文字数 10786 字

この記事を読むのに必要な時間は 18 分です。

フォントサイズの選択

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。