Bitwarden

オープンソースのパスワード・マネージャーBitwardenは、2要素認証で保護されていないアカウントのセキュリティ層を追加し、アカウントへのアクセスを許可する前に電子メールによる認証を要求している。

認識できないデバイスからのログインなど、疑わしいと思われるログインの試みが検出された場合、ユーザーは電子メールで受け取った認証コードを入力するよう求められる。

認証コードを入力できないユーザーは、パスワード保管庫にアクセスできない。

「2月から、ビットワーデンは、ビットワーデンアカウントに2段階ログイン(2FA)を利用していないユーザーのアカウントセキュリティを強化します

“認識されないデバイスからログインする場合、ユーザーはログインの試行を確認し、Bitwardenの保管庫をよりよく保護するために、電子メールで送信された検証コードを要求されます。”

Verification code screen
認証コード画面
Source:ビットワーデン

このセキュリティ・ステップは二要素認証の一形態であるため、基本的に、Bitwardenは自分自身で有効化していないユーザーに対しても、これを強制している。

これは追加的な保護を提供するが、最良のアプローチは、認証アプリまたはさらに良いFIDO準拠のパスキーを介して多要素認証を有効にすることだろう。

2FAメソッドを有効化したり、APIキーやSSOを使ってログインしたりすると、ユーザーは自動的にこの新しいセキュリティ・メカニズムから外れることになる。セルフホストインスタンスも除外される。

Bitwardenが別のFAQページで説明しているように、以下のイベントは余分なコードプロンプトをトリガーします:

  • 新しいデバイスからのログイン
  • モバイルアプリまたはデスクトップアプリの再インストール
  • ウェブブラウザのクッキーをクリアする

Bitwardenは、Eメールの認証情報をパスワードマネージャーの保管庫内に保存しているユーザーのサブカテゴリーを認識しており、来週導入される新しい認証ステップから生じる実際的な問題について警告している。

EメールとBitwardenアカウントの両方からロックアウトされるのを避けるには、ユーザーはEメール認証情報への独立したアクセスを確保するか、Bitwardenアカウントで2FAを有効にする必要があります。

この特別なセキュリティ・ステップは、弱いマスター・パスワードや再利用パスワードを使用する言い訳とみなされるべきではありません。

ユーザーは、長くてユニークなものを選び、さまざまな種類の文字を含めることで、マスターパスワードがブルートフォースされにくいことを確認する必要があります。