Scribble at 2021-03-13 08:37:45 Last modified: 2021-03-13 09:11:14

「ビットの監視人」という名前のサービスが Hacker News で紹介されていた。パスワードを通知するサービスとのことで、プレミアム・プランだとパスワード・マネージャの機能も使えるようだ。

そろそろ、前から気になっていたパスワードの管理サービスや管理プログラム、それから ISO/IEC 27000 シリーズというマネジメント実務という観点での情報管理について、まとまった著作が殆どないという事実があるからだ。個々のサービスや技術を紹介する著作は、国内だと IPUSIRON 氏の本が知られているものの、それ以外は貧弱としか言いようがなく、しかも代わりにオンラインで有益な情報があるかと言えば、そういうわけでもない。オンラインで Twitter の投稿なりブログ記事としてプレゼンスが高いのは末端のコーダだが、彼らはせいぜいオンライン・サービスやコマンドの使い方や既存のプログラミング言語での実装に興味が偏っていて、離散数学とマネジメントという技術的・社会的な二つの原理原則的な観点に殆ど関心も知見もないからだ。こういう連中が小手先のテクニックと安っぽい正義感や〈善意〉だけで、軽率なサービスを公開したり愚かな事業を立ち上げるというのは、IT ベンチャー業界における風物詩と言ってもいい。それであれば、技術についても企業内の実務についても、15年くらいの経験がある人間（もちろん、他の話題とは違って「有能」だとは言ってない）として、できる者が率先して何か公開しておくのが望ましいだろう。

Bitwarden の話に戻ると、システムがオープン・ソースとして公開されているので、ブラウザやアプリケーションで利用するだけではなく、サーバも自分のマシンに入れて運用できる。C# で書いた .Net の SDK を必要とするようだが、いまでは Linux にも .Net SDK は入るので、業務用途でも無理に Windows Server のインスタンスをクラウドに立ち上げなくてもいい。

実際に無料アカウントを取得して使ってみた限りでは、なかなか使いやすい。オンラインのパスワード・マネージャは使うべきじゃないと言ってるが、相手に通知するサービスとしてはよく出来ている。それにしても、最近の実装だと KDF (key deriveration function）のアイテレーションは10万回にも設定するのか。これは参考になった。これまでハッシュ関数とかを使ったアイテレーションは3,000回くらいでやってたけど、弊部の実装基準としては10万回でパフォーマンスに問題がなければ、これを採用しよう。ちなみに、サービス・サイトで以下のような注釈がついている。

「Setting your KDF iterations too high could result in poor performance when logging into (and unlocking) Bitwarden on devices with slower CPUs. We recommend that you increase the value in increments of 50,000 and then test all of your devices. （あなたのアカウントで独自の KDF 値をディフォールトよりも高く設定すると、遅い CPU のデバイスで Bitwarden にログインしたりロックを解除するときのパフォーマンスが低下するかもしれません。なので、いきなり巨大な値に変えるよりも前に、まず値を50,000だけ引き上げて、あなたのデバイスでパフォーマンスがどれくらい変わるかをテストしてみてください。）