パスワードマネージャーにはLastPassを長年使ってきたのですが、この度Bitwardenへ乗り換えました。
2021年にマルチデバイス利用が有料化されても、2022年に情報が漏洩しても、LastPassを使い続けてきたロイヤルユーザーだったわけですが、ついに見切りをつけました。
その理由は、Firefox拡張機能で到底受け入れ難い個人データ収集を開始したからです。
あるときネットを見ていたら、ツールバーに注意マークが出ていることに気付きました。クリックしてみると、LastPassがアップデートに伴って新たなデータ収集を要求しているとのこと。確認してみると…。
新たに必要なデータ収集:
開発者によると、拡張機能は次のデータを収集します:ブラウジングアクティビティ、ウェブサイトアクティビティ、認証情報、位置情報、個人を特定可能な情報、金融と支払いの情報
なんじゃこりゃ???
私はプライバシー情報利用には比較的寛容な方で、Appleの「プライバシーを守れます」みたいな広告に何も感じなかったぐらいなのですが、そんな私でさえこれはちょっとすぐには同意しかねる内容です。パスワードマネージャーは元々センシティブな情報を扱うことから相応の権限は必要だと思いますが、これは機能権限じゃなくてただのデータ収集ですからね。「これらの情報にアクセスします」なら分かりますが、「収集します」はちょっと。
具体的にどんな情報なんだ?と思って調べてみると、Firefoxヘルプに未翻訳ページがあり、見てみるとこんな感じ。
Personally identifying information – Examples: contact information like name and address, email and phone number, as well as other identifying data such as ID numbers, voice or video recordings, age, demographic information or biometric data.
個人を特定可能な情報 – 例:氏名や住所、電子メール、電話番号などの連絡先情報およびID番号、録音または録画、年齢、人口統計情報または生体認証データなどのその他の識別データ。Financial and payment information – Examples: credit card numbers, transactions, credit ratings, financial statements or payment history.
金融と支払いの情報 – 例:クレジットカード番号、取引、信用格付け、財務諸表または支払い履歴。Authentication information – Examples: passwords, usernames, personal identification numbers (PINs), security questions and registration information for extensions that offer account-based services.
認証情報 – 例:パスワード、ユーザー名、個人識別番号(PIN)、セキュリティの質問、およびアカウントベースのサービスを提供する拡張機能の登録情報。Location – Examples: region, GPS coordinates or information about things near a user’s device.
位置情報 – 例:地域、GPS座標またはユーザーの端末付近にあるものに関する情報。Browsing activity – Examples: Information about the websites you visit, like specific URLs, domains or categories of pages you view over time.
ブラウジングアクティビティ – 例:特定のURL、ドメイン、一定期間に渡って表示したページのカテゴリなど、閲覧した Web サイトに関する情報。Website activity – Examples: interactions and mouse and keyboard activity like scrolling, clicking, typing, and covers actions such as saving and downloading.
Extension data collection | Firefox ヘルプ
ウェブサイトアクティビティ – 例:スクロールやクリック、タイピングなどの操作やマウスおよびキーボードの動作、および保存やダウンロードなどの行動を含む。
どう見てもスパイウェアです。本当にありがとうございました。
これを読んだだけだと「こんな情報渡していいの?」って感想しか出てこないですが、送信時に暗号化や特定可能情報の除去などはされるのでしょうか…?そもそも「個人を特定可能な情報」が含まれる時点で個人は特定されるか…。LastPassは過去のデータ漏洩から様々な懸念が指摘され信用がない状態なのに、このような大量のデータ収集をしようだなんて、よくできたものです。
このことはTwitter(現X)ではほとんど話題になっていないようですが、LastPassのFirefox Add-onsのレビューは★1が付けられまくって大荒れです。まあ、当然ですよね。ちなみに他の著名なパスワードマネージャーである1PasswordやBitwardenのFirefox拡張の要求権限を確認してみると、個人データ収集は1件もありませんでした。というか、Firefoxでは拡張機能に対してデータ収集の内容を開示することが最近になって義務付けられたようで、もしかしたら以前からこっそりLastPassがこうした情報を収集していた可能性はあるのかなぁと思います。。
というわけで、これにはさすがの私もこのアップデートを保留し、LastPassからの乗り換えを決意しました。
1PasswordとBitwardenを試して、Bitwardenを選択
乗り換え先の候補としては、1PasswordとBitwardenを比較・検討しました。
今メジャーなソフトというと、この2つになるのかなと。Webブラウザの標準機能やiClouldキーチェーンもありますが、やっぱり特定のエコシステムに依存すると万が一の時に困るので、汎用的に使えるサードパーティ製ソフトがいいと思います。
1Passwordは言わずと知れた老舗のパスワードマネージャーで、元はMac専用ソフトということもありMacユーザーには馴染み深いソフトです。私がパスワードマネージャーを使い始めた頃、当然候補に挙がったわけですが、1Passwordは有料ソフトということで無料で使えるLastPassにしたんですよねぇ←
Bitwardenは2016年にリリースされたオープンソースのパスワードマネージャーです。新興のソフトですが、もう10年経つので信用も積み重なってきているかなと。LastPassが急速に信頼を失う中で、乗り換え先として1Passwordと共によく名前を聞きましたし。
それで両方とも試してみたのですが、最終的にBitwardenを乗り換え先とすることにしました。
どちらもパスワードマネージャーとしては必要にして十分な機能を有しており、どちらかが優れているというのは無かったのですが、個人的には1Passwordのほうにネガがありました。
1Passwordはセキュリティが強すぎて使い勝手が悪い
パスワードマネージャーに高いセキュリティ性は必要ではありますが、1Passwordはかなり厳格なセキュリティで使い勝手が悪いと感じました。
まず、1Passwordは「ログインしっぱなし」っていうのが出来ないんですよね。デバイスやブラウザを再起動した後は必ず再ログインが必要で、マスターパスワードか生体認証をしなければなりません。
でも、MacやiPhoneを他人に貸すことないし、それらのデバイス自体にパスワードがかけられているわけですから、アプリケーション側でさらに毎回認証を求めるというのは個人的には過剰に感じます。いちいち使い始める時に認証が必要なのは、正直面倒臭いです。それに対してBitwardenは設定でログインしっぱなしができるので、楽ちんです。まあ、セキュリティ的には本当はよろしくないのでしょうが…。
あとは認証にSecret Keyが必要というのに不安を感じました。1Password特有の認証として、マスターパスワードだけでなくSecret Keyなるものによる認証が必要なんですよね。これはアカウント作成時に取得できるEmergency KitというPDFに記載されているシリアルナンバーみたいに複雑なコードで、デバイスで初めてログインする時などに必須となるコードです。つまり、バックアップコードとかではなくて、普通のログイン情報の1つです。
マスターパスワードだけでなくEmergency Kit(Secret Key)を持っている人でなければログインできないということで、セキュリティを高める多要素認証の一種だと思いますが、ログインするときにPDFファイルが必須なのって、どうなの?って思ってしまいます。Secret Keyは毎回必要なわけではなくそのデバイスでの初めてのログインの時などで、必要になる場面自体は少ないですが、その時に必ずしもEmergency Kitが手元にあるとは限らないと思うんですよね。PCが急に壊れてデータが吹っ飛んだとか、買い替えた時にうっかりして移行を忘れたとか…。先述の通りSecret Keyはバックアップコードではないので、手元にSecret Keyがないと1Passwordにはログインできないということになります。ちょっとこれが逆にリスクに思えてなりませんでした。ログイン管理はパスワードマネージャーに依存していますので、うっかりで肝心のパスワードマネージャー自体にログインできなくなるなんて最悪です。いやま、これによって第三者によるログインは非常に難しくなり、セキュリティが高まるのは分かるんですが…。
実は、3年前にLastPassのサブスクを意図せず切らしてしまい、その時にいい機会だと思って1Passwordのお試しをしてみたことがあったんですが、上記の理由で結局LastPassを継続したんですよねぇ。
ただ、2024年に待望の復元コード機能が導入されたため、「Secret Keyを失ったら最後二度とログインできなくなる」という重大な問題は解消されました。それでも万が一の時にすんなりログインできない場合がある、といのが気になるので、まだ個人的にはネガではあります。
逆に、とにかくセキュリティを求める方には1Passwordの方が良いかと思います。セキュリティと利便性は相反するものなので、いいバランスが難しいなぁとは思います。
Bitwardenは大正義・無料
費用面では、1Passwordは完全な有料ソフトであるのに対して、Bitwardenは無料でも利用できるため、Bitwardenに軍配が上がります。
1Passwordの個人用プランは年間35.88ドルかかります。現在のクレジットカードのレートだと160円/ドルぐらいなので、年間5,700円ぐらいになります。
それに対してBitwardenは無料でも利用できます。しかも、無料でもマルチデバイス利用が可能で、そのデバイス数も無制限。有料プランで利用できるようになるのも本当に付加価値って感じの機能だけで、パスワードマネージャーとしては無料でも本当に十分です。もともとLastPassに課金し始めたのも、マルチデバイス利用が有料化されたから仕方なく、でしたからね。。
そうなると無料のBitwardenで十分というか、1Passwordが高いですね。というか、円安の影響がデカいです。。本来の感覚的には3,600円ぐらいだと思うんですが、それだったら割と妥当な金額に感じます。でも、6,000円近くとなると高く感じます。こういう時に円安はつらい。。ちなみにLastPassは年間39.6ドルでしたから同水準ではあります。
というか、1PasswordのIndividualプランの料金がよく分からないです。35.88ドルというのは公式サイトから引用した料金(年払いで月あたり2.99ドル、2.99×12=35.88)ですが、ログイン後の画面に表示されたのは年払いで47.88ドル、月払いで4.99ドルでした。一応、公式サイト上の方が正だとは思うんですが…。
今のところBitwardenには満足
Bitwardenに乗り換えてからしばらく経ちますが、今のところ特に不満もなく、満足しています。まあ、パスワードマネージャーなんてそんな優劣がつくようなものでもないのでしょうが・・・。
Bitwardenとは長い付き合いをしたいなとは思いますが、LastPassみたいにお漏らししたり、個人データ収集をし始めたりをしないという保証は無いので、どこまで信頼を維持してくれるか、、、とは思います。そう考えるとApple謹製のiCloudキーチェーンとか、Google謹製のChromeの方が安心感自体はありますがね。
というわけで、今もLastPassを使っている方は一刻も早く別のパスワードマネージャーに乗り換えることをおすすめします!!
コメント