ハクソク

世界を動かす技術を、日本語で。

Bitwardenの静かなリノベーション

9日前原文(blog.ppb1701.com)

概要

  • Bitwarden のプレミアム価格値上げと、その不透明な告知方法
  • 経営陣交代 や企業文化の変化、公式サイトの微妙な表現修正
  • 無料プランの約束 や透明性の低下、利用者への影響
  • Vaultwarden などの自前運用の将来性とリスク
  • 今後の動向 を注視すべき理由と、ユーザーへの警鐘

Bitwardenの値上げと告知方法

  • 2024年3月、 Bitwarden がプレミアムプランの価格を 2倍 に値上げ
  • 値上げの告知は 新機能発表の中に埋め込む 形で実施
  • 月額プランが存在しないにも関わらず、 月額換算で価格表示
  • 既存ユーザーには 更新15日前 にのみ通知
  • Mastodon上での公式返答でも 事実を認めるのみ で改善なし

経営陣の交代と企業文化の変化

  • 2024年2月、 CEOのMichael Crandell がアドバイザーへ異動
    • 公式発表はなく、 LinkedIn でのみ確認可能
    • 後任は M&A経験豊富なMichael Sullivan (Acquia・Insightsoftware出身)
      • M&A=買収・売却を主導する経営者
  • CFOも交代 し、InVision出身のMichael Shenkmanが就任
  • 創業者Kyle Spearrinは CTOとして残留
  • 企業文化(GRIT)の再定義
    • 以前:Gratitude, Responsibility, Inclusion, Transparency
    • 現在:Gratitude, Responsibility, Innovation, Trust
    • InclusionとTransparency が削除され、 InnovationとTrust に変更

公式サイト・コミュニケーションの変化

  • 「Always free」表記 が2024年4月に公式ページから消滅
  • 無料プラン自体は 現存 するが、永続保証の表現が消失
  • 企業ブログやプレスリリースでの 正式な発表なし
  • 2022年のブログ記事が こっそり編集 され、内容に矛盾が生じたまま放置
  • 情報隠蔽的な対応 が目立つ

利用者への影響と今後の懸念

  • 信頼構築→依存→条件変更 という典型的なパターン
  • 価格改定や価値観の変更が 段階的かつ静かに進行
  • 公式発表を行わず、 既存コンテンツの裏編集 で済ませる手法
  • 無料プランの継続性や自前運用の将来性 に不安
  • Sullivan新CEOの経歴からみると、 売却や買収の可能性 が高い

Vaultwardenと自前運用の現状とリスク

  • Vaultwarden はBitwardenのAPIを実装し、公式クライアントと互換
  • 公式クライアントが オープンソース であり続ける限り運用可能
  • 今後のリスク
    • クライアントのクローズ化や、API仕様変更で 互換性喪失 の恐れ
    • 企業向けの公式サーバーが主な収益源であり、Vaultwardenは 黙認状態
    • 方針転換時は 突然の互換性崩壊 もあり得る
  • Apache 2.0ライセンス のため、クライアントのフォークは容易
    • 最悪でも リブランドとUI調整 で継続可能
    • 一時的な不便(例:自動入力機能の遅延)はあり得るが 致命的ではない

Bitwarden利用者へのアドバイス

  • 無料プランや自前運用 の将来性を過信しない慎重さが必要
  • 企業の 透明性や価値観の変化、経営陣の意図を注視
  • Vaultwarden などの代替案や、パスワード管理の 自己所有 を検討
  • 変化は 段階的かつ静か に進むため、 常に最新情報の確認 が重要
  • クライアントのオープンソース性 維持が最大の安全網

Hackerたちの意見

最近、GitHubのイシュー・トラッカーでメモリリークの問題が長いこと続いているのを見つけて、Bitwardenをじっくり調べてる。これは自分のブラウザ全てで使ってる拡張機能なんだけど、Safariでは異常に多くのRAMを使ってる気がするし、MS EdgeでもRAMがずっと増え続ける理由なんじゃないかと思ってる。Bitwardenがもっとお金を求めるのは別に構わないけど、私が許せないのは、トップのリーダーシップをプライベート・エクイティのランダムな人たちに変えたり、秘密の値上げをすること。こういう問題が取り上げられてるのは嬉しいし、FOSSに優しい代替品を探すモチベーションにもなってるよ。

この投稿/リンクありがとう。昨年、デスクトップのUXが他のサービスに合わせてクソ化し始めてから、Bitwardenをちょっと警戒してる。ブラウザの自動入力は完璧に動いてたのに、今は無駄な白いスペースが多くて遅いし、AIが作ったSaaSみたいな標準化されたUX要素になっちゃった。Vaultwarden、Proton Pass、Keepassをチェックしてみるつもりだけど、残念ながら、ユーザーを軽視して完璧に機能してたツールが台無しにされるのはまた別の話だね(LastPass、Authy、Google Readerとか、挙げたらキリがない)。

UIの再設計が「en shitification」の意図された意味だとは思わないな。BWは8年前から使い始めて以来、パスワード管理の無料オプションではずば抜けて良いと思う。UIの変更は好きかって言われると、うーん、あんまり好きじゃないけど、そんなに頻繁に使うわけじゃないから気にしてないかな。

値上げにはあまり気にしてないけど、新しいCEOがPEの考え方を持ってるのが心配。これって、Bitwardenが価値を引き出すことに集中して、製品が停滞して質が落ちることを意味するよね。セキュリティや品質が落ちる前に、逃げる準備をしないと。

PE?プライベート・エクイティは、公共のクソ化への滑りやすい坂道だね。

+1 有料会員だよ。値上げにはまぁまぁ納得してる。でも、CEOが変わったタイミングで「ずっと無料」っていうのが無くなるのはちょっと心配だな。

ほんとに「エンシティフィケーション」のサイクルに疲れてきた。最近、Androidの認証やキャプチャの変更について知ったのも大きなストレスポイントだった。数年前にAppleの代わりにもっとオープンな選択肢としてAndroidに移行して、同じ頃にLastPassからBitwardenに移ったんだ。これらのインフラサービスが、何も考えずに長年うまく動いてくれればいいのに。資本主義の間ずっと、どんどん悪化していくのを我慢しなきゃいけないの?(そう思う)

これは私のプロジェクトじゃないけど、VaultwardenはBitwardenのオープンソース(Rust製)代替バックエンドだよ。しばらく前からあるし、今もメンテナンスされてると思う。 https://github.com/dani-garcia/vaultwarden

1Passwordの新しい価格設定が原因でBitwardenに移行したよ。生き残りのサイクルって感じかな。

ああ、マジか。最近Bitwardenに移行したばかりで、有料プランに入ったのは、複数ユーザーの共有ボールトと個人ボールトへの緊急アクセスが理由だったんだ。これを台無しにしたり、めちゃくちゃ高くしないでほしいな。

いい投稿だね。BitwardenからKeepassXC / KeepassDX / Syncthingに切り替えたよ。Androidのスマホ、LinuxのPC、WindowsのPCで使ってる。これがBitwardenを初めて使う前の設定だったんだ。最近のKeepassの体験はかなり良くなってる!Bitwardenからのインポートも簡単だし、おすすめ!

どのKeePassのバリアント?

これを使ってたけど、iOSに切り替えたときにBitwardenに乗り換えたよ。AndroidでSyncthingには何を使ってるの?以前は公式のSyncthingアプリがあったけど、メンテナンスが止まっちゃったんだよね。人気のフォークもあったけど、その人もやめちゃったし。iOSでSyncthingを使おうと思ったけど、Möbius Syncしかなくて、バックグラウンドで動かないんだよね。これが最終的にBitwardenに切り替えた理由なんだ。でも、もちろん次に何をするか考えないとね。

3年前にBitwardenを知ったとき、すぐにVaultwardenをホスティングし始めた。今は自分用と友達の会社用に1つずつ運用してるけど、すごくスムーズに動いてるよ。もし自分でホスティングできるなら、Vaultwardenのインスタンスを自分でホスティングするべき。私みたいにVaultwardenのコードベースにちゃんとしたセキュリティ監査がないことに少し不安を感じてるなら、VPNの後ろで動かせば大丈夫だと思う。Bitwardenが潰れることはあまり心配してないけど、すでにしっかりしたオープンソースの代替品があるからね。最悪のシナリオは、BitwardenがクライアントをVaultwardenと互換性がなくすることだけど、OPがすでに言ってたように、コミュニティの誰かがすぐにフォークするだろうね。

クライアントはオープンソースじゃないと思うけど?

Vaultwardenを自分でホスティングできてめっちゃ嬉しい!次々とパスワードマネージャーを渡り歩くのに疲れたんだよね。値段が上がるか、サービスが消えちゃうか。お前のことだよ、Dropbox。

Vaultwardenを使ってるのは、パスワードの問題を解決するために会社にお金を払いたいけど、実際に信頼できる会社がどこか分からないからなんだ。自分の全ての鍵を持ってる会社が、そのことを利用しようとするかもしれないからね。「プライベートエクイティ」について文句を言ってる人もいるけど、その気持ちは分かるし、その前は「ハーバードMBA」の考え方で、顧客を資源として扱うことが奨励されてた。どの会社にも資源として扱われたくないけど、関係性の性質によっては、より悪い会社もある。自分の銀行のパスワードやGoogleのパスワード、証券口座のパスワードを貪欲に見られたくないし、どのパスワードを「仲介」して、もっとお金を取れるかを考えられるのも嫌だ。エクスポートをどうやって妨げるかなんて考えられたくないし(「あ、すみません、パスキーは$SECURITY_BLATHERのせいでエクスポートできません、移行できませんね」みたいな)。プライベートエクイティやハーバードMBAの考え方に、自分のパスワードを持たせたくない。最終的にPE/HMBAタイプに買収されて、自分のパスワードをストリップマインされる会社なんて信じられない。自分のパスワードを担保にしてリアルな借金をしてるような会社も信じられない。お金は彼らが得て、リスクはこっちが負う。絶対に無理。だから、ある意味でパスワードボールトを自己ホスティングするのは嫌だけど、他に誰を信じればいいの?

そうだね、でもVaultwardenは軽い気持ちで自分だけで運用できるものじゃないよ。大事な秘密をホスティングしてるから、もし自分で運用するならバックアップをしっかり管理して、定期的に確認することが大事だよ。バックアップがちゃんと動いてるか、壊れてないか、オフサイトにもコピーを保管しておくのを忘れずにね。

BitwardenからデスクトップでKeePassXCに移行したよ。スマホではKeePassDXを使ってて、これはKeePassXCと互換性のあるAndroidクライアント。ブラウザではKeePassXCのブラウザ拡張を使って、デスクトップクライアントと接続してる。KeePassXCは単一ファイルで動くから、ファイル同期ツールを使ってデバイス間でそのファイルを同期したり、クラウドに保存したりできる。移行して本当に満足してるよ。

これが私の計画でもあるよ、もしAppleエコシステムを離れることになったらね。

ほとんどのパスワードマネージャーにはインポート/エクスポートのための防御策がないみたいだから、Proton PassやVaultwardenにすぐ移行できることを期待してる。できれば自分でホスティングは避けたいんだ。アプリケーションや環境を管理するのは、自己ホスティングしてるものが自分の生活の鍵だと考えると、全然違うレベルの注意が必要になるから。最低でも、信頼できるマシンへのWireGuardトンネルの後ろに置かなきゃいけないし、それは日常的に使うには面倒だよね。

この間、BitwardenのChrome拡張が突然動かなくなったんだ。何年も問題なく動いてたのに。拡張を削除して再インストールしないと動かなかったよ…残念だね。パスワードマネージャーをホスティングするのはゲームじゃないからね。これは人々のリアルな生活やビジネスがかかってるんだ。

ああ!突然の裏切り、呪ってやる!