ハクソク

世界を動かす技術を、日本語で。

まだ間に合ううちにBitwardenからパスワードを取り出そう

4日前原文(osnews.com)

概要

  • Bitwarden の今後に対する懸念が高まっている状況
  • 新CEO就任や料金改定、価値観の変更などの動き
  • 「Always free」表記の削除と再表示の経緯
  • オープンフォーマット(KeePass形式)への移行推奨
  • Bitwardenの将来性とオープンソース性への疑問

Bitwardenの変化と将来への懸念

  • Bitwarden の長期利用者から、最近 KeePass形式 への移行を行った経験談
  • 2024年2月に 新CEO が就任し、3月には Premiumプランの価格が2倍 に値上げ
  • 価格改定の告知が、目立たない新機能発表内で実施された事実
  • 新CEOの経歴は M&A(合併・買収) 分野での実績が多く、企業の切り売り傾向
  • 公式サイトから「 Always free」の文言が2024年4月中旬に消去
    • 以前はプラン選択画面下に明記されていた
    • 無料プラン は現時点で存続しているが、将来的な保障は不明瞭
  • 企業文化を示す GRIT の意味が変更
    • 以前: Gratitude, Responsibility, Inclusion, Transparency
    • 現在: Gratitude, Responsibility, Innovation, Trust
    • Inclusion (包摂)と Transparency (透明性)が削除され、 Innovation (革新)と Trust (信頼)が追加
  • 「Always free」表記は一度消され、SNS上で話題化後に再掲
  • これらの変更は公式発表やブログ、SNSでの説明が無く、 透明性の低下 が指摘される
    • 4年前のCEOブログ記事の GRIT 説明も静かに修正

パスワード管理とオープンフォーマットの重要性

  • 予期せぬ方針転換や 無料プラン廃止 リスクに備え、 KeePass形式 などの オープンフォーマット 利用を推奨
    • 任意の互換アプリでデータを管理できる柔軟性
  • Bitwarden はApache 2.0ライセンスだが、今後もオープンソースが維持されるか不透明
  • パスワード資産を プロプライエタリなサービス企業方針 に依存しない運用の重要性

まとめと提言

  • Bitwarden の今後に不安がある場合、早めの データ移行 を推奨
  • KeePass などのオープンなパスワード管理方式への切り替えが安心材料
  • 企業の価値観や運営方針が変わるリスクを考慮し、 自己管理 の徹底が重要

著者:Thom Holwerda Mastodon: @[email protected]

Hackerたちの意見

Bitwardenに対する警戒感は妥当だと思うし、そのメッセージが広まっているのはいいことだね。ただ、「できるうちに」という表現はちょっと大げさだと思うし、プライベートエクイティについての大事な(正しい)ポイントから気をそらすだけだと思う。

メッセージの変更にはあまり満足してないけど、それだけでは注意を払うきっかけにしかならないと思う。ボールトのエクスポートが最初の重要な機能変更になるとは全く思えないし、その前に実際の問題の強い兆候が出てくると思う。今のところ、実際の変更は価格の値上げが発表されたことだけだし、消費者の視点から見ると安い方がいいのは明らかだけど、これはサブスクリプションプランが意味を持つ製品だと思う(今のところ無料プランも残ってるしね)。だから、価格変更に対して怒るつもりはないよ。競合もいるし、新しい価格が合わないと思ったら、そっちに切り替えればいいし(まだ利用可能なボールトエクスポートを使って)。警告が狂ってるとは思わないけど、個人的にはちょっと強め/早めだと思うし、今の適切な反応は慎重に見守ることだね。

君の言うことは分かるけど、やっぱり安全策を取る方がいいと思う。パスワードをエクスポートするのは2秒でできるし、暗号化されたファイルにエクスポートできると思うけど、私はプレーンテキストのjsonファイルでgpgしたよ。安全策を取るのは悪くないよ。

反論としては、心配しなきゃいけないものがあるっていうのは、そもそも問題だよね。

これを使ってパスワードを保存してるよ: https://www.passwordstore.org/ これはシェルスクリプトで、パスワードをgitリポジトリに保存するもので、エントリーごとに1つのファイルがあるんだ。ファイルはGPGキーで暗号化されてる。単なるgitリポジトリだから、好きなインフラを使ってデバイス間で同期できるよ。iOSではFOSSクライアントを使ってて、iPhoneを手に入れる前はAndroid用のもあったよ。

passに+1!VPSで秘密を保存するのに使ってる。GITと同期できるのが好き。いい感じだね。

それに興味があるんだけど、gitリポジトリは何でホストしてるの?GitHubのプライベートリポジトリとか、自分のサーバー?プライベートキーのバックアップはどうしてるの?

一度passを使ってみたことがあるんだけど、Unixの哲学に従ってるのは好きなんだ。でも、アカウント名が全部クリアで見えるのは自分には無理だな。

もう10年近くこれを使ってるけど、かなりシンプルだね。それでも商業用パスワードマネージャーの使える期間は4〜5年くらいで、劣化したり、買収されたり、サービスが終了したり、価格が急上昇したりして使えなくなることが多いみたい。「pass」はずっと使い続けられるよ。

指摘ありがとう。似たようなシステム使ってるけど、パスワードのディレクトリをgitリポに入れる発想はなかったな。

Bitwardenを数年推奨してきて、2022年からは年会費も払ってるけど、10ドルは本当に良い価値だと思ってた。でも、こんなことが出てきたから、もう推奨するのは控えてる。少なくとも、全てが落ち着いて新しい価値提案が完全に示されるまでね。他の人たちが言ってるように、まだ移行する時期ではないと思う。とはいえ、バックアップ目的で暗号化エクスポートをするのは悪くないし、代替案を探し始めたり、Bitwardenを使ってる知り合いに同じことをするように声をかけるのもいいと思う。この状況がどうなるか、注視していくよ。

同意だね。今のところ自分のニーズを満たしてくれてるから使い続けるつもり。でも、パスワードマネージャーを使ってない人に大声で勧めるつもりはないよ。近い将来に彼らがどんな変更をするか責任を持ちたくないからね。ちなみに、彼らがお金を稼ごうとしてるみたいだから、前述の熱意で自分の職場でも使われるようになったけど、体験は良くなかったからここでもおすすめはしない。彼らの強みはFOSSで信頼される名前だったのに、それを捨てていくのを見るのはちょっと悲しいね。でも、他の誰かがその廃墟の上に新しいものを築くんじゃないかな、Vaultwardenみたいに。FOSSを選ぶことの美しさだよね。

自分でDockerでホスティングしてみるのもいいよ。LLMを使えば驚くほど簡単にできるし、すごくうまく動くから。自ホスティングの変更がないことを願ってる。

Bitwardenには「様子見」アプローチを取ってる。しばらくの間、支払いをして使ってて満足してるし、リーダーシップの変更がユーザーに対して敵対的にならないことを願ってる。でも、Bitwardenを選んだ大きな理由の一つは、ちゃんとした「エクスポート」ボタンがあるからで、今回のニュースでオフラインバックアップが数ヶ月前のものだって思い出した。彼らの製品ロードマップに関係なく、明日何か事件が起きてユーザーがパスワードにアクセスできなくなることもあるから、オフラインバックアップは良いアイデアだよ。それにVaultwardenもいいね。仕事で使ったことがあって、自分でホストしたこともあるけど、パスワードマネージャーのユーザーとして言えるのは、基本的に区別がつかないってこと。だけど、Bitwardenにお金を払ってるのはパスワードマネージャーのためじゃなくて、家族と共有できる安全な同期のためなんだ。VPNが分からない家族のためにね。

2019年からBitwarden(BW)のプレミアムを使ってたんだけど、今年の初めにパスワードの自動入力がちょっと不安定になってきたから、BWから離れることにしたんだ。新しいインストールでもそうだったし、時間もかかるしね。以前はEnpassを使ってたけど、あれがかなり改善されてるのを見て嬉しかった。自分のボールトをどこに保存するか選べるのもいいし、BWに比べてパスワードの入力が速くて効率的なんだ。だから完全にEnpassに移行したよ。どこでもクライアントが使えるし、ブラウザのプラグインもあるし、ちゃんと動くしね。このニュースを見て、移行がちょっと先見の明があったなって思った。必要があればUSBにバックアップとしてKeypassXCも使ってるよ。

「Bitwardenは様子見の姿勢で行くつもりだ。」俺はそうは思わない。見た目が悪いし、それだけでリーダーシップがユーザーに対して敵対的か、最近の行動が製品に対する人々の価値観から逸脱していることを理解できない無能であることを示している。もし彼らがコミュニティや顧客と同じことを理解したり気にしたりしていないなら、顧客にとって良い価値提案が続くような選択をする理由はない。テック企業がこんなことをやめる唯一の方法は、私的資金が入ってきて全てを台無しにする前に、みんなが利益を得ることができなくなることだと思う。要するに、大規模な脱出と破産が次の企業に「enshitiffication」の手法を使うことを再考させる唯一の結果になるだろう。俺たちは、強奪ではなく公正な価値に基づいた企業が必要で、Steamのように運営されるべきなんだ。Steamはユーザーを裏切ったことがないから、ゲーム業界で揺るぎない地位を築いてるんだよ。

自分はVaultwardenしか使ってないんだけど、これはBitwardenのAPIをオープンソースで再実装したものらしい。個人的には特に問題なく使えてるけど、将来的にBitwardenの公式アプリと互換性がなくなるかはわからないな。

ちょっと告白するけど、HNでネットワークパスワードマネージャーの話をよく見るけど、その魅力がよくわからない。みんながいろんなコンピュータを使い回してるから、同期が必要なのかな?自分はKeePassXCに全部入れてるし、暗号文は他のファイルと同じバックアップ体制で管理してる。あと、USBメモリにコピーも入れてポケットに持ってるよ。

パスワードマネージャーがスマホ、デスクトップ、ノートパソコン、ブラウザに同期できるのは便利だよね。10年前にKeePassを使ってたけど、今は統合された体験の方が好き。特にモバイルでよく使うからね。それに、チームや組織内で複数のチームが秘密を共有することも考慮すると、フラットファイルは売りにくいから、こういうアプリがほとんどの手間を省いてくれるんだ。1Passwordのアカウントにたくさんお金を払ってるけど、自分たちで解決策を作るなんて想像できないよ。

僕の場合はまさにその通り。Linuxのゲーミングワークステーション、仕事用の(管理された)MacOSのノートパソコン、Googleブランドの(Pixel)Androidフォンがあるんだけど、Bitwardenはどこでもちゃんと動くし、技術的にも信頼性が高いって評判だよ。それに、プライバシーが曖昧な無料プランに頼るのではなく、ちゃんとお金を払えるのがいいね。

「KeePassXCに全部入れてるよ」 俺もそうなんだけど、.kdbxファイルに何かを追加したり編集したりすることはめったにないんだ。ほとんど変わらないから、スマホにコピーを持っておいて、たまにKeePassDroidで開いてるよ。もしパスワードを頻繁に変更したり編集したりするなら、自動入力や他の機能が好きだろうから、ネットワーク型のソリューションの方がずっといいと思うよ。

主にスマホのことだね。他にも複数のデバイスを持ってる人もいるけど。僕にとっての大きな利点は、リアルタイムのオフサイトバックアップがあって、すべてのデバイスを同時に失っても生き残れるってこと。強盗や火事、襲撃、車の事故など、相関するシナリオでは可能性があるけど、他の人がどれだけそのことを考えてるかは分からないな。KeePassを使ってる人たちは、まるで障害者みたいに生活してるよ。何かにサインアップするよう頼むと、2週間後に30分の時間を取らないといけないし、ウェブサイトを使うよう頼むと、手動でのデータ転送が何かの理由で遅れたから、家に帰るまで待たなきゃならない。もしスマホを落としたら、2ヶ月後でもその予想外のパニックからまだ立ち直れないんだ。こうでなきゃいけないとは思わないけど、KeePassを使ってる人たちや他の戦略を使ってる人たちが本当にこれを考え抜いてるかどうかも疑問だな。

複数のデバイスと家族共有。妻といくつかのアカウントを共有してるから、1Passwordでプライベートと共有のボールトの間を移動できるのは本当に便利だよ。

私のKeePassXCデータベースは、Nextcloudに自動で同期されるんだ。PCではNextcloudクライアント、スマホではKeepass2Androidを使ってるけど、Bitwardenと同じ結果が得られるし、余計なこともないよ。

ポケットにUSBメモリがあるのはいいけど、鍵を落として割れたり、雨に降られて濡れたりしたらどうなるの?

スマホとパソコンを行き来してるんだ。ワークステーションでアカウントのパスワードを取得する必要があるとき、長い生成されたパスワードを何回も入力する代わりに、オンラインでログインできるのが便利なんだ。ほとんどのワークステーションではUSBストレージデバイスが完全にブロックされてるけど(FIDO2キーはOK!)、スマホからどのコンピュータにもパスワードを送れるUSBウェッジがあったら最高だな。これみたいなやつね。https://www.inputstick.com/ (高いし、売り切れだし、アメリカには発送しないけど)

同期は大事だし、ユーザーエクスペリエンスも重要だよね。妻と出会う前に数年間デスクトップでKeePassを使ってたけど、彼女に使わせるのは完全に失敗だった。ワークフローが嫌いだったんだ。別のツールを開いて、ログインして、正しいサイトを探して、パスワードをコピー&ペーストするのは手間がかかりすぎた。それに、うまくいってるときでも同期は最悪だった。必ず何かが原因で同期が遅れたり、競合が起きたりして、私たちの変更の一つが静かに失われてしまった。入力したパスワードを探しに行くと、もうそこにないことがよくあって、その時は同期競合のバックアップファイルを掘り返して失ったパスワードを手動で再入力するか、サイトのパスワードリセットフローを通らなきゃいけなかった。めちゃくちゃだったし、それはデスクトップ2台とノートパソコンだけの話だよ。その時はbtsyncを使ってたけど、遭遇した問題はファイルベースの同期にはどれも当てはまる。パスワード管理には、全体のデータベースファイルの同期は正しいアプローチじゃないと思う。結局、ブラウザプラグイン付きの自己ホスト型BitWardenに切り替えたら、ずっとスムーズになったよ。

自分のサーバーでホストしてるVaultwardenを使ってる。スマホ、タブレット、ノートパソコン、デスクトップ2台の間で同期するためにね。どれからでもログインを追加できて、全てのデバイスで更新されるのが理想なんだ。俺は他の人よりも機械が多いかもしれないけど、誰でもパソコンとスマホは持ってるだろうし、その2つをリンクさせたいのは普通だと思う。

これはほんとに些細な変更に対する過剰反応だね。実際にはまだ「常に無料」っていうのが同じページの価格ラインにあるし、みんなが証拠としてリンクしてるページだよ。 https://bitwarden.com/products/personal/#whats-the-differenc... 編集: 一時的に消えたけど、5月15日のスナップショットから5月18日に戻されたよ。 https://web.archive.org/web/20260515190646/https://bitwarden... 5月18日のスナップショット: https://web.archive.org/web/20260518183728/https://bitwarden...

実際に起こったけど、みんなが気づいたら元に戻ったね。

このページではこれについて触れてるよ: > 「常に無料」というモットーが、削除された後に静かにサイトに戻ってきたって話が広まったんだ。(リンクされた記事も証拠を示してるよ: https://blog.ppb1701.com/the-quiet-renovation-at-bitwarden#:...>。)

モバイルからそのページを見ても「常に無料」って表示されてないな。それに、戻るボタンが効かなくなるし。うーん…切り替えないとダメだな。

原則を守るリーダーを置き換えて、物事をダメにして売り飛ばすことが仕事のハゲタカリーダーに変わるのは、全然オーバーリアクションじゃないよ。

オーバーリアクションだとは思わないな。エクスポートを制限したりコストをかけたりしてユーザーをロックインするのは結構一般的だし。今日エクスポートできるのは、Bitwardenがエクスポートを無効にした5年後に何もないよりずっといいよ。

どうしてそれが信じられないほどのオーバーリアクションなの?パスワードマネージャーを切り替えるのが特に大変でも高くもないし。

最後の仕事は、ずっと無料プランを提供するって約束してた製品だったんだけど、1、2年前にそれを取り消しちゃったんだよね。

真剣な質問なんだけど、どうしてパスワードマネージャーには無料が必要なの?みんな食べていかなきゃいけないし、パスワードマネージャーのメンテナンスをしてる人たちもね。技術にはたくさんの高価なラップトップやスマホ、AIやクラウドのコストがあるのに、秘密管理のための唯一の受け入れられる価格が$0って時々思えるよ。

「ずっと無料」オプションを約束したんだよね。それを信じてサービスを利用する人もいたし。多くの会社は無料プランと有料プランを提供していて、絶対に有料に移行しないユーザーのコストも負担してる。もし会社が「ずっと無料」を本気で守るつもりがないなら、最初から約束するべきじゃないよ。

何年も有料ユーザーだったけど、無料プランの変更発表はこれからの悪化の兆しだと思う。古い体制が去って、ユーザーのためにならない取り組みを始める可能性がある。最悪の場合、私のデータを売ったり、セキュリティを危険にさらすようなバカな変更を導入したりするかも。

パスワードは重要だから、支払いを忘れたりお金がなくなったりして失うのは大変なことだよね。非有料ユーザーには読み取り専用モードでアクセスを提供すると思うから、無料版がなくても大惨事にはならないと思うけど、ずっと無料プランが必要だと思う人の気持ちはわかるよ。

私にとっては、無料である必要はないけど、サブスクリプションサービスやクラウドホスティング専用にはなってほしくないんだ。それが1Passwordを辞めた理由。ビジネスの気まぐれにパスワード管理を任せるのは好きじゃない。プライベートエクイティがこの製品カテゴリーに目をつけて、買収や無茶な値上げで「価値を引き出す」まで時間の問題だと思う。

後退してるのが問題なんだよね。無料じゃなきゃダメだなんて誰も言ってないし、そう言ったのは彼らだよ。ただ約束を守ればいいだけなんだ。

もし使ってるもの全部にお金を払わなきゃいけないなら。

無料である必要はないけど、いつでも取り上げられるような設定にはしたくない。今はVaultwardenを自分でホストしてその権利を得てる。たとえクライアントの互換性が壊れても、ウェブボールトにはパスワードにアクセスできるからね。企業が自分のデータを人質に取るような立ち位置になると、そうなるだろうと思っておいた方がいい。お金を払うことには問題ないけど、俺を罠にかけようとしてる相手には払わないよ。今のほとんどのテック企業の目標はそれだからね。俺の意見や頑固さは関係ないけど、アイデンティティの管理が政府の立法にロビー活動されてるところが多い。みんな結局はお金を払うことになるだろうし、たぶん二重に;一度は直接、もう一度は税金で。

最近の数ヶ月でBitwardenの印象はあまり良くなかったね。一方で、競合はどうなの?KeePassXCは確かにあるけど、基本的にはローカルだし。Bitwardenは「Send」機能もあって、誰とでもすぐに共有できるしね。いつか自分でホスティングするかもしれないけど、選ぶだけでも面倒だし、実際に設定するのはもっと大変だよね…。

自分のKeePass DBファイルは、Googleドライブでもハードドライブでも好きなところにホストできるよ。