Bitwarden Part 01

bw豆知識
bwはロックとログアウトがあり、
ロックはローカルに保管庫データを残した状態。
この状態だと、オフライン状態（サーバダウンや、ネット切れ）でもアンロックできる。
ログアウトは、ローカルの保管庫データを消し去るので、オフライン状態だと保管庫にアクセスできない。

利便性か安全性かの問題なので、上記を踏まえて選んでください。

有料にしたとしても、年額$10だからね。

有料プランにする機能的メリットって薄くて、ほぼbitwardenの存続を願うお布施みたいな感じ。

一応書いておくと、
– 添付ファイル（合計1GB）
– TOTPクライアント機能
– 2FAの選択肢広がる
– ヘルスレポート（漏えいチェック）
– emergency access
みたいな感じ

https://bitwarden.com/pricing/

なお、無料ユーザでも、一人までならパスワード共有できるのも地味に便利だよ。

LastPassは完全自動入力どころか、自動送信までできるからね。移行したときに違いを感じるけど、同じサイトでも複数アカウントあると、キーボードショートカット連打で切り替えできるからこっち使ってる。
好みの問題だけど。

複数選択して削除できないのがめちゃくちゃ不便なんだができないよな？

キーボードショートカット参考になった、ありがとう。

自己解決したみたいだけど、一応
vivaldiでも他のブラウザでも、Androidの場合、パスワード入力欄でAutofillのボタンがでる場合が多いので、ユーザ名より先にパスワード欄をタップするのおすすめ。
Autofillのボタンがでないときがある場合は、Bitwardenの電池最適化を外すのをオススメ。
あと、通知バーのボタンにBitwardenのAutofillが追加されているので、パスワード欄で反応しないときはそれを使ってる。

ブラウザで入力した値や、POSTする時のデータを取得する行いだから、気軽にできる操作ではなさそう。
ちゃんと調べていないので、推測でしかないです。

>10　どうもありがとう、助かった
・ユーザ名は空欄、カスタムフィールドにアドレスを入れたところ、自動入力成功したがこれをbitwardenで保存しますか？と聞かれる
・ユーザ名とカスタムフィールド、両方にアドレスを入れたところ、自動入力成功して保存しますか？も出ない
ってことで、ユーザ名とカスタムフィールドの両方に入れるのがお作法としては正しいんですかね？
サイトによるんでしょうが、なんか二重管理っぽくなって違和感が・・・まあ動けばいっか

↓こんな感じ

読めるならGitHubのソース見れば？
脆弱性が本当にあるなら見れば分かるはず

2FAを破る方法は次の2つだけである

秘密鍵をデータベースから盗む
➁ブルートフォースアタック

ログイン時に2FA要求されないバグとかログアウト時に情報を消さないバグがあるとかなら
これらの方法以外もいけるかもしれんが
余程スパゲッティコードになってないとそんなバグは無いんでね

Bitwardenのサポートに連絡しても2FAの設定を削除する事はできない

ノーマルSamsungブラウザだとダメなのにベータ版だとばっちり認識できましたわ
別アプリのベータ版は盲点だった
色々試してまた報告します

samsungブラウザ、playstoreからインストールしたもの（13.2.2.4）はちゃんと、urlも認識してくれた。

galaxystoreからいれたsamsungブラウザ（13.2.2.4）は、
例えば楽天なら、「://member.id.rakuten.co.jp」みたいに、一部欠損して認識してた。

試せるならplaystore版のsamsungブラウザいれたら、どですかね。（もしくは、ベータ版も別アプリとしてインストール可能）

samsungブラウザ、playstoreからインストールしたもの（13.2.2.4）はちゃんと、urlも認識してくれた。

galaxystoreからいれたsamsungブラウザ（13.2.2.4）は、
例えば楽天なら、「://member.id.rakuten.co.jp」みたいに、一部欠損して認識してた。

試せるならplaystore版のsamsungブラウザいれたら、どですかね。（もしくは、ベータ版も別アプリとしてインストール可能）

お客様番号を入れるフィールドは次の記述があります。

<input class=“sc-iwsKbI sc-jzJRlG hrJBLy” type=“number”
placeholder=“お客様番号” value>

そのフィールドにマウス当てると
imput.sc-iwsKbl.sc-jzJRlG.hrJBLy

となっていて、「.」と「スペース」とちょっと記述が違います。

カスタムフィールドにはどの文字列を記入するんでしょうか？

ロック時の生体認証での解除プロセスが面倒臭すぎる
UIや機能は1Passwordを上手くパクってるけどアプリやブラウザ拡張はユーザビリティが全般的に今一つだな
これは有料とか関係ないから早く改善してほしいんだよな

ゆうちょダイレクトの番号入れてくれるのはホントに有能。

連続書き込み申し訳ありませんが、自動入力したいのは次のサイトです。
https://my.nichigas.co.jp/signin

bitwardenの暗号化ストレージってどういう用途に使えるんですか？
dropboxとかone driveみたいに同期フォルダに使えるんでしょうか？

1Passから乗り換えて数日、かなり満足してる。
ただブラウザのアドオンで使う場合、初期がタブが開くようになってるのが不満。
デスクトップ版やWEBから開くと保管庫なのになんでアドオンだけその設定なんだろ。
しかしこれで無料って信じられんな。
もっと早くから使ってればよかった。

カスタムフィールド
https://excesssecurity.com/bitwarden-custom-fields/

ありがとう。
でも、拡張機能のリンク先はになってるんだよな。
サポートにきいてみる。

roboformから移行してきたんだけど
カスタムフィールドにもIDとpassがコピーされるのはどうしようもない？
結構な数だから手動で消すのしんどいんですよね

情報ありがとうございます
今回は恥ずかしながらAndroid側の設定を忘れていたという超初歩的なミスだったんですが反応しないときのためにメモしました

とりあえず旧パスワード（現パスワード）を入力して、
Ctrl+shift+9（または、右クリックのコンテクストメニューからパスワード生成）で、新パスワードをクリップボード格納、それを新パスワードと確認用フィールドそれぞれにペーストしてサブミットかな。

bwの自動保存確認がでればいいけど、でない場合もあるのでその場合すぐに自分で登録パスの更新をする。

ありがとうございます。
に教えてもらったカスタムフィールドなんですが
そのガス会社のサイトで自動入力ができなくて、プログラムの記述（？）を
カスタムフィールドに入力してるんですけど、どうもうまくいきません。
imput.sc-iwsKbl.sc-jzJRIG.hrJBLy
って記述されてまして、ググって調べたところ、imputのあとの文字をフィールドに
入力するってあって、その通りに入力してもお客様番号が自動入力できません。
なにが違うんでしょうか？

1GBを1TBと勘違いしてました。
たぶん使うことないないかな・・・

お騒がせしました、適当にやってたら設定できました。

firefoxなら未対応。
https://bitwarden.com/help/article/biometrics/#browser-extensions

Chrome拡張はロック解除にTouch ID使えるぞ
公式Macアプリをインスコしてオプションのブラウザ統合を有効にしてアプリは起動したままにして拡張のオプションで生体認証を有効にする

パスワードが平文だとか誰でも簡単に復号化できるとかそういうカジュアルなハッキングを防ぐのは大事だけどダークウェブでツール買うようなガチの犯罪者に目をつけられたら無理だろ
そもそもリスク犯して一個人をターゲットなんかにするはずもないからやっぱり関係ねーよ

おかげさまで、1日でLastPassから完全移行しました
スマホでの安定度はこっちが上だな

確認したバージョンは13.2.2.4
古いのだと、うまく動作しないかも？
https://www.reddit.com/r/Bitwarden/comments/hf2kt1/samsung_internet_now_supports_bw_autofill/?utm_medium=android_app&utm_source=share

LastPassから移籍してきました
Android版のvivaldiで使えますか？
自動入力の設定は有効にはしたんですが入力フォームをタップしてもbitが出てきません
設定方法あれば教えてください

Chromeのアドオンについて教えて下さい。
Chrome上からこのアプリを起動させると、ダブという箇所が反転してるんですが
これを保管庫にするってことは可能でしょうか？
タブだとカードタイプしか検索できないくて一手間かかって面倒なんです。

TOTP自体ブルートフォースアタックからどう守るかが永遠の課題
30秒ごとに6桁の数字が変わっても、下手な鉄砲も数打ちゃ当たるで
成功する可能性はある

https://security.stackexchange.com/a/185917

かといってアカウントをロックしたりするとDoS攻撃に繋がるので
怪しいログイン試行に警告を出してマスターパスワード変えてもらう方が現実的

データベースに保存されてる秘密鍵が盗まれても突破出来るけど
その前にマスターパスワードを破る必要はあり
保管庫の内容はマスターパスワードが無いと復号できないし
大規模な攻撃あったら運営がリセットするはず
多分

Androidユーザだけど、アプリでアカウント作成するようなケースもあるので、先にbwでアイテムを登録して、アカウント作成画面で入力させる方法は重宝してるよ。
最近はスマホアプリ先行で、PCからのアクセスを後回しにするサービスもみかけるようになってるしね。

結局のところセキュリティにとっての一番の驚異って単純なブルートフォースアタックやヒューミントなんだよな

2段階認証設定している人は、リカバリーコードを保管するのを忘れずに。
2段階認証が使えなくて、リカバリーコードがないとアカウントとさようらなになるよ。

Unicode絵文字ですか。。。
ちょっとググってきます

Samsungブラウザだと自動入力でどのサイトか認識できずにいちいち検索して探さないといけない
どうにかならんかね

https://bitwarden.com/help/
こちらなら行けると思うよ。

ガスの契約が複数口あって、明細をwebで確認するんですが
複数のidを1つのパスワードで管理、データは1つで管理するってことできますか？
今は契約数分だけデータ作ってるんですが、ちょっとスマートじゃないんで
なにかいい方法とういうか、運用方法があったらアドバイスをお願いします。

ありがとうございます。
chrome使ってて、デスクトップアプリと拡張機能両方とも使ってます。
ヘルプのAccount Fingerprint Phrase見てみたんですけど書いてないようです。
違うヘルプがあるんでしょうか？

1Passaから乗り換えたんだけど、俺的にはbitwardenの方が使い勝手がいいな。
で不便を感じたけどちゃんと設定すれば手間なくログインできるし
あとアドオンのアイコンに数字が出るのもいい感じ。
有料機能はまったく必要ないけど、無料で使うのも気が引けるからお布施しました。
月200円、年間20000円ぐらいまでだったら躊躇なく払える。
いつまでもこのサービスを続けて欲しいですね。

カスタムアイコンの機能追加要望があがってるけど、あんまりすすまなそうだね。

次善策になるか微妙だけど、アイテム名にUnicode絵文字を埋め込むことはできるから、それで代用とかかなぁ。

例:⚡mysitename

サイトのパスワード変更する際に、bwだと旧パス・新パス・新パス復唱の3枠に登録パスが入力される
これを防ぐには新パスと新パス復唱のカスタムフィールドに空欄を登録しておく(new_passwordとかの名前が多い)
lastpassだと旧パスに登録パス、新パスと新パス復唱には自動生成パス候補を入力してくれていたのが便利だったなあ

パスワード自動生成まわりがなんとなく手順が多くて億劫に感じてしまう

てもとのS20では、samsungブラウザでも反応したよ。に書いた使い方でも反応しない？

どうもです

dropboxやonedriveみたいな使い方勝手ではないよ。
ダウンロードしないと開けないし、更新するには既存アイテムを削除して、アップロードし直ししないといけないから、更新頻度の低い機密度の高いファイルを保存しておくとか。

どこかのスレでBitwardenの2段階認証に抜け穴があるみたいなことが書かれてたけど、
結局あれはどうなったんだ？