Skip to content
Published on

2026年のパスワードマネージャー徹底比較 — 1Password 8 / Bitwarden / Proton Pass / Dashlane / KeePassXC / iOS Passwords / Android Credential Manager

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

2025年末にNISTがSP 800-63B-4を確定し、「定期的な強制変更は行わない」「最低15文字推奨」「パスキー優先」が標準になった。パスワードマネージャーはもはや「あると便利なツール」ではなく「無いと職務怠慢」のインフラだ。だが2026年の市場は、LastPass事件の余波、1Password 8のElectronリライト安定化、Proton Passの無料攻勢、OS内蔵ソリューションの台頭が同時並行で起きている。本稿は主要14製品を率直に比較する。

2026年のパスワードマネージャー地図 — 商用 / オープンソース / 無料OS内蔵の三勢力

2026年の市場は事実上、三つの陣営に分かれた。

陣営代表製品強み弱み
商用SaaS1Password 8、Dashlane、NordPass、RoboForm、LastPassUX、家族共有、サポート月額課金、ベンダーロックイン
オープンソース / 自己ホスト可Bitwarden、Vaultwarden、KeePassXC、Proton Pass透明性、自己ホスト可能一部UXに粗さ
無料OS内蔵iOS/macOS Passwords、Android Credential Manager、Apple Keychain、Google Password Manager、Firefox Passwords無料、デフォルト統合クロスプラットフォームに弱い

興味深いのは三陣営が互いの領域を急速に侵食している点だ。AppleはiOS 18で初めて独立した「Passwords」アプリを切り出し、「OS内蔵は弱い」という先入観を揺さぶった。GoogleはAndroid 15でCredential Managerを統合APIとして標準化した。Proton Passは「無料 + E2EE + オープンソース」の組み合わせでBitwardenのシェアを直撃し、1PasswordはWatchtower、SSHキー管理、開発者ツールで一歩先を行こうとしている。

選択基準の優先順位も2026年に組み替えられた。(1) パスキー対応品質、(2) クロスプラットフォーム同期の安定性、(3) E2EEアーキテクチャの透明性、(4) 家族・チーム共有モデル、(5) 2FAトークン保管ポリシー、(6) インシデント発生時の責任構造 — この順で見るべきだ。価格は最後の変数で、データを失ったり漏えいさせたりした際のコストは、全マネージャーの生涯購読料を圧倒する。

LastPass 2022年事件とその影響 — なぜ信頼が重要か

LastPassは2022年8月と11月の二度、攻撃を受けた。二度目ではGoTo(LogMeIn)にホストされたバックアップから暗号化されたvaultデータ、URLメタデータ、一部の平文IP・メール情報が流出した。vaultはマスターパスワードで保護されていたが、攻撃者がオフラインのbrute-forceを無制限に試行できるようになった点が致命打となった。マスターパスワードが弱い、もしくはPBKDF2の繰り返し回数が低い(レガシー設定で5,000回のみという事例あり)ユーザーは事実上、露出状態となった。

LastPass事件が2026年まで残した教訓は三つだ。

  1. メタデータも秘密である。 vaultのURL、フォルダ構造、添付ファイル名がLastPassでは平文だった。攻撃者は「この人物がどの取引所・銀行・企業SaaSを使っているか」を正確に把握できた。以後1Password、Bitwarden、Proton Passは、いずれもメタデータの暗号化を強化する方向に動いた。
  2. KDFパラメータの透明性が重要。 ユーザーが自分のvaultのPBKDF2/Argon2の繰り返し回数、メモリコスト、並列度を確認・調整できる必要がある。Bitwardenは2023年から新規ユーザーにArgon2idをデフォルト適用している。
  3. インシデントコミュニケーションは誠実でなければならない。 LastPassの事後説明は「マスターパスワードを強くしていれば安全」という責任回避と受け止められ、信頼の回復不能なダメージを残した。LastPassのグローバル市場シェアは2026年時点で一桁にまで落ち込んだ。

LastPassは現在も運営されており製品自体は改善されたが、セキュリティツールの本質が「信頼」である以上、回復は遅い。2026年現在、新規ユーザーにLastPassを第一候補として勧めるセキュリティ研究者はほぼいない。

1Password 8 — 家族・ビジネスの標準

1Password 8はElectronベースのデスクトップリライトとして始まり、初期はmacOSユーザーから批判を浴びた(ネイティブKeychain統合の喪失、メモリ使用量、ショートカット消失)。2024–2025年にかけて性能が安定し、2026年時点でmacOS Sequoia、Windows 11/12、Linux(公式deb/rpm)すべてで一級のクライアント体験を提供する。

主な差別化要素は次の通り。

  • Secret Keyアーキテクチャ。 マスターパスワードに加え、アカウントごとに128bitのSecret Keyがクライアントで生成される。サーバーはマスターパスワードのハッシュだけではvaultを復号できない。LastPass式のオフラインbrute-forceは事実上不可能だ。
  • Watchtower。 Have I Been Pwned連携、弱い・再利用パスワード検出、ドメイン期限切れ間近の警告、2FA未設定サイト、弱いKDF設定の警告を1画面で表示。
  • Travel Mode。 国境でデバイスを押収されるケース向け機能。指定したvaultだけをデバイスに残し、残りはサーバーのみ保管。直前にトグルすると機密vaultがデバイスから綺麗に消える。
  • 開発者統合。 1Password CLI(op)、GitHub Actions連携、Kubernetes Operator、SSH agentモード、Biome/Wasp等のシークレット注入を標準化。
  • パスキー。 2024年に一般ユーザーGA。2025年に家族共有パスキーGA。2026年にビジネスSSO連動パスキーが定着。

価格は個人 3.99/month、家族(5)3.99/month、家族(5名) 6.99/month、ビジネス $7.99/user/month。30日無料試用と、学生・OSSメンテナー割引がある。2026年時点で「複雑な家族共有 + Watchtower + 開発者ワークフロー」を一気に解決したいなら、1Passwordは事実上のデフォルト選択肢だ。

Bitwarden — オープンソースの王者

Bitwardenはクライアント、サーバー、モバイルアプリすべてがGPLv3で公開されているフルスタックOSSパスワードマネージャー。2026年時点で自己ホスト(Vaultwarden含む)が最も多い解決策で、無料プランだけでも無制限vault、無制限デバイス、フル同期が利用できる。

FreePremium($10/year)Families($40/year, 6人)Teams($4/user/month)Enterprise($6/user/month)
vault項目無制限無制限無制限無制限無制限
デバイス無制限無制限無制限無制限無制限
2FAトークン保管無し有り有り有り有り
ファイル添付無し1GB1GB1GB1GB
セキュリティレポート基本Watchtower級Watchtower級有り有り

2026年時点の主な変化:

  • パスキー対応。 2024年にクライアントGA。2025年以降vault内に直接保存し、全プラットフォーム(Web、デスクトップ、モバイル)で同期可能。
  • Argon2idがデフォルト。 新規アカウントのデフォルトKDFがArgon2id。既存PBKDF2ユーザーは移行可能。
  • 自己ホスト。 公式Bitwardenサーバーに加え、Vaultwarden(Rust製の互換サーバー、単一コンテナ)が人気。家族や小規模チームがNAS・VPSに乗せる例が多い。
  • Bitwarden Secrets Manager。 2023年から別製品として提供されているKVシークレットストア。HashiCorp Vaultのライトな代替として位置付け。

Bitwardenは「信頼はコードで証明する」という哲学を貫き、2025年初頭にライセンス変更の懸念が浮上した際は、Mozilla Public License 2.0の部分採用で落着した。OSS優先・自己ホスト・無料優先のユーザーには、2026年時点で最も推せる選択肢だ。

Proton Pass — 無料 + Protonエコシステム

Proton PassはスイスのProton AG(ProtonMail、ProtonVPN、ProtonDriveの提供元)のパスワードマネージャー。2023年正式リリース後、2024–2025年に爆発的に成長し、2026年現在の無料プランは市場でも最も寛大な部類だ。

  • 無料プラン。 無制限vault項目、無制限デバイス、hide-my-emailエイリアス10個、2FAトークン保管、Proton Sentinelセキュリティ監視、パスキー保管 — すべて無料。
  • **Proton Unlimited(12.99/month)Mail/VPN/Drive/Pass/Calendarのバンドル。PassPlus単独プラン(12.99/month)。** Mail/VPN/Drive/Pass/Calendarのバンドル。Pass Plus単独プラン(4.99/month)もある。
  • エイリアス機構。 2022年のSimpleLogin買収後、Protonメールのエイリアスと統合。サイトごとに使い捨てメールエイリアスを生成しvault項目に紐付けられる。
  • E2EE。 Proton全体と同じくクライアントサイド暗号化。スイス法人。PGP互換キーを利用。

Proton Pass最大の差別化要因は「プライバシーフルスタック」だ。メール、VPN、ドライブ、カレンダー、パスワードを一社・一ID・一支払いでまとめる。難点はProtonエコシステムへのロックインが強くなる点、米国・アジアの一部地域では同期の遅延が1Password/Bitwardenよりやや感じやすい点だ。

Dashlane / NordPass / Enpass / RoboForm — その他の選択肢

Dashlane

VPNバンドルが強み。2024年にネイティブデスクトップアプリを廃止しWeb専用に切り替えた判断が一部ユーザーの反発を呼んだが、ブラウザ拡張の品質は依然良い。ダークウェブ監視と家族共有UXは滑らか。価格はPremium $4.99/monthで平均よりやや高い。

NordPass

NordVPN、NordLayerを展開するNord Securityのパスワードマネージャー。XChaCha20をメイン暗号化に使う点が差別化ポイントだが、実質的なセキュリティ影響は軽微。Nordエコシステムのバンドル価格は魅力。NordPass単独で選ぶ理由は弱い。

Enpass

ローカルファースト型マネージャー。vaultファイルをユーザー自身でiCloud/Dropbox/OneDrive/WebDAVに置いて同期する。買い切り(永久ライセンス)オプションがあり、「サブスク疲れ」のユーザーに人気。家族共有UXが弱く、パスキー対応が2025年になってようやく一般ユーザー水準に達した点が難点。

RoboForm

古参の強者。2026年も健在だがUIは時代を反映していない。フォーム自動入力は今なお業界トップクラスとの評価があり、税申告・予約・取引などフォーム入力が多いユーザーには意外と役立つ。新規ユーザーへ積極的には勧めない。

KeePassXC — ローカルonlyの古典

KeePassXCはKeePassXのフォークとして始まり、現在はKeePassエコシステムの事実上の公式デスクトップクライアントだ。2026年時点でmacOS、Windows、Linuxすべてで一級のネイティブアプリを提供する。

特徴:

  • 単一の.kdbxファイル。 vault全体が一つの暗号化ファイル。iCloud、Dropbox、Syncthing、Git annex、USB等、ユーザーの好きな方法で同期する。
  • サーバー無し。 ベンダーロックインゼロ。プロジェクトが消滅しても、KeePass互換クライアントさえあれば.kdbxは永久に読める。
  • YubiKey HMAC-SHA1チャレンジ応答。 マスターパスワード + YubiKeyの組み合わせで2FAを強制可能。
  • ブラウザ統合。 KeePassXC-Browser拡張 + ネイティブメッセージング。
  • モバイル。 公式モバイルアプリは無い。iOSはStrongbox、KeePassiumなど、AndroidはKeePassDXを使う。

KeePassXCの弱点はモバイル体験と家族共有だ。家族vaultを運用するなら、家族全員がKeePassを覚え、同期方法を合意する必要がある。逆に「データは自分のデバイスにしか置きたくない」というユーザーには、2026年も断然のベスト選択肢だ。

iOS Passwords (iOS 18) + macOS Sequoia — Appleの無料強豪

iOS 18(2024年秋リリース)からAppleはKeychainのパスワード機能を独立した「Passwords」アプリに分離した。macOS Sequoia、iPadOS 18、visionOS 2にも同じアプリが入る。2026年時点でこのアプリは事実上、無料パスワードマネージャー中で最も統合度が高い。

  • iCloud Keychainバックエンド。 E2EE。全デバイス紛失時も、iCloud Recovery Key + 連絡先 + Apple IDパスワードの組み合わせで復旧可能。
  • パスキー一級対応。 Appleデバイスで作成したパスキーは全Appleデバイスで自動同期。
  • 共有グループ。 家族と共有したい項目だけを別vaultにまとめられる。
  • 2FAトークン。 TOTPシードをvault項目に保存し自動入力。
  • セキュリティ推奨。 漏えいパスワード、弱いパスワード、再利用を自動表示。
  • Windows統合。 Windows用iCloud Passwordsアプリ、Chrome/Edge拡張あり。

難点は (1) Androidでの体験が弱い(iCloud for Windows + ブラウザは動くがモバイルは事実上不便)、(2) 家族全員がAppleでないと共有vaultの意味が薄れる、の二点。フルAppleの家庭なら、2026年は1Passwordをわざわざ買う理由は無い。

Android Credential Manager + Google Password Manager

Android 14で導入され、Android 15で広く普及したCredential Managerは、パスワード、パスキー、フェデレーションID(Sign in with Google)を単一APIに統合する。アプリ開発者にとって自動入力とパスキー認証は一つのフローになった。

Google Password Managerはそのバックエンドのデフォルトだ。2026年の変化:

  • オンデバイス暗号化。 同期パスフレーズ(各ユーザーが設定)を使えばvaultは端末内でのみ復号される。Googleでさえ平文アクセスできない。
  • Cross-OS同期。 Chrome経由でWindows/macOS/Linux/ChromeOSへ。
  • パスキー。 Android、Chrome、ChromeOSで一級対応。外部セキュリティキー(Yubikey)もPRF拡張など標準フローのまま動く。
  • Family Group共有。 Googleファミリーグループと連携し、一部項目を家族と共有可能。

難点は (1) OS統合がAppleほど滑らかではない(アプリごとに自動入力の挙動が微妙に異なる)、(2) iOSではChrome自動入力は動くが一級OS統合ではない、の二点。

Mozilla Firefox Passwords — ブラウザ内蔵オプション

Firefox Lockwiseは終了したが、その機能はFirefox本体とFirefox Syncに吸収された。2026年時点でFirefoxに保存したパスワードはMozillaアカウントで同期され、一部項目はHave I Been Pwnedベースの漏えい警告を表示する。

機能状態
クロスデバイス同期Mozillaアカウント + Firefox Sync
パスキーFirefox 121から一般対応、2026年時点で安定
2FAトークン非対応(別途認証アプリが必要)
家族共有非対応
自動入力(モバイル)iOS/Android Firefoxアプリで対応

Firefoxしか使わないユーザーが無料解を求める際の妥当な選択。Chrome/Safariを併用するなら同期の意味は薄れる。

2FAトークン / パスキー / Yubikey統合

2026年のパスワードマネージャーの論点は二つ。(1) TOTPシードをvaultに入れるか、(2) パスキーをどこに置くか。

TOTPシードをvaultに入れるトレードオフ

利点は自動入力が一段で済むこと。サイトのパスワード欄とOTP欄をマネージャーが同時に埋める。欠点はvaultが破られた瞬間にパスワードと2FAが同時に漏れることだ — 2FAの本質である「分離された認証要素」が消える。

折衷案:

  • 一般サイト(ECサイト、コミュニティ): vaultにTOTPを入れて良い。
  • 金融、メール、クラウドコンソール、vault自身: 別認証アプリ(Aegis、Raivo、Ente Auth、1Passwordの外部モード、Yubikey)を使う。
  • vault自身のマスターは必ずハードウェアキー(Yubikey、Solokey)で保護。

パスキーの保管場所

2026年時点の主な選択肢:

  • Apple Keychain / Google Password Manager。 OS同期型。最も滑らかだがOSロックイン。
  • 1Password / Bitwarden / Proton Pass。 Cross-OS同期可能。WebAuthn PRF拡張広く対応。
  • Yubikey、Solokey、Nitrokey。 デバイスバウンド非同期パスキー。紛失時のバックアップキー必須。

企業環境では「vault同期パスキー」と「デバイスバウンドパスキー」をポリシーで分けるケースが増えた。Admin・HSMアクセスはデバイスバウンド、一般SaaSはvault同期、というように。

Yubikey/Solokeyとvaultの関係

Yubikey 5シリーズ、Yubikey Bio、Yubikey 5C NFCなどは2026年時点でほぼ全マネージャーで2FAとして機能する。要点は「vault解錠用キー」と「サイトログイン用キー」を分離し、各2本以上保有すること。キーの紛失は一発で終わる事故ではなく、バックアップキーがあって初めて復旧できる事故と捉えるべきだ。

企業向けvault — BeyondTrust / CyberArk / Delinea / Akeyless

個人向けマネージャーとは別に、企業環境では「人間用パスワード」と「機械用シークレット/クレデンシャル」をPAM(Privileged Access Management)で別管理する。2026年の主要ソリューション:

  • CyberArk。 PAM市場の事実上の標準。Vault、PSM(セッションマネージャー)、CPM(自動ローテーション)、AAM(アプリtoアプリ)、Conjur(クラウドネイティブシークレット)等にモジュール化。金融・公共で圧倒的。
  • BeyondTrust。 Password Safe(伝統的vault)、Privilege Management(エンドポイント権限制御)、Remote Supportを統合。Bomgar買収以降のリモートサポートワークフローが強み。
  • Delinea(旧Thycotic + Centrify)。 Secret Serverがコアvault。CyberArkより軽量で導入が速い。中堅企業で人気。
  • Akeyless。 クラウドネイティブvaultlessアーキテクチャ。DFC(Distributed Fragments Cryptography)で鍵を断片に分散保存。SaaSファースト環境に適合。

これらは1Password/Bitwardenとは別カテゴリだ。ユーザーが自分でパスワードを覚えたり入力したりする場面はほぼ無く、システムが一時権限を発行し、セッションを録画し、自動ローテーションを担当する。開発者にとっては、GitHub Actions、Jenkins、KubernetesがOIDC trustで短命トークンを引き出す流れが標準になった。静的シークレットをvaultに置いておく時代は急速に終わりつつある。

E2EEアーキテクチャの違い — Bitwarden vs 1Password vs Proton

三者すべて「エンドツーエンド暗号化」を掲げるが、実装は異なる。

Bitwarden

マスターパスワード → PBKDF2-SHA256(またはArgon2id) → マスターキー → vault対称鍵を解錠 → vaultを復号。サーバーはvault対称鍵自体を知らない。新規アカウントのデフォルトはArgon2id(メモリ64MB、繰り返し3、並列度4)。ユーザーがKDFパラメータを調整可能。

1Password

マスターパスワード + Secret Key(ランダム128bit、クライアント発行) → SRP-6a認証 → 二重キー導出。サーバーはマスターパスワードのハッシュだけではvaultを復号できない。新デバイス登録時にSecret Keyの入力が必要。このため1PasswordはEmergency Kit(PDFで印刷推奨)を強く推奨している。

Proton Pass

Protonエコシステム全体と同じくPGPベースのキー構造 + ECC。ユーザーパスワード → 導出キーがPGP秘密鍵を解錠する。PGPキーがvault項目ごとのキーを解錠し、項目キーが実データを復号する三層構造。

三者すべて「サーバー侵害時もvaultが平文で露出しない」を保証する。違いは (1) デバイス登録の摩擦(1Passwordが最も保守的=最も煩雑)、(2) リカバリ手段の多様性(1Passwordは家族リカバリ、BitwardenはEmergency Access、Protonはリカバリコード + 携帯)、(3) メタデータ保護の範囲(2026年時点で三者ともメタデータ暗号化の方向に強化済み)、の三点だ。

韓国 / 日本 — ネイバー始作パスワード、Kakao Key、1Password JP

韓国

  • ネイバー始作パスワード。 ネイバーアカウントベースのパスワードマネージャー。ネイバーアプリ・Whaleブラウザに統合。無料。クロスプラットフォームが弱く、macOSデスクトップ対応も弱い。
  • Kakao Key。 Kakao Talk認証ベースのパスキー・2FAトークンハブ。一般的なvaultというより、Kakaoエコシステム内の認証ハブに近い。
  • 共同認証書(旧公的認証書)。 2020年に独占地位を廃止後も残存。主要銀行は自前認証書や簡易認証に移行したが、一部政府サイトは依然として共同認証書を要求。パスワードマネージャーで管理できる領域ではない。
  • 簡易認証7種(KB、PASS、Kakao、Naver、Toss、Payco、Shinhan)。 事実上の韓国式パスキー。ただしグローバル標準パスキーとは別エコシステムで、1Password/Bitwardenとの直接統合は無い。

実用的推奨: グローバルSaaSは1PasswordまたはBitwarden、韓国の金融・公共は簡易認証/共同認証書。二つのエコシステムは混ざらないという前提を受け入れる必要がある。

日本

  • 1Password JP。 日本で最も人気の有料マネージャー。日本語UX、円建て決済、日本法人向け請求書対応。
  • Trend Microパスワードマネージャー。 Trend Microウイルスバスター利用者中心。単独利用者には積極推奨しないが、Trend Microを全社契約している企業ではセットで使われることが多い。
  • NEC、富士通などSI統合ソリューション。 大企業SI環境ではActive Directory + 自前vault + ICカード認証の組み合わせで運用。CyberArk級のグローバルPAMと併用される場合もある。
  • OTPカード、ICカード、ワンタイムパスワードカード。 日本の金融業界特有のOTPカードやICカード認証は、パスワードマネージャーの対象外。

日本は韓国よりグローバルマネージャー親和性が高いが、大企業環境ではSI・ベンダー依存が強い。個人ユーザー市場では1Password JPが事実上の1位、Bitwardenが急追する構図だ。

誰が何を選ぶべきか — 個人 / 家族 / ビジネス / 偏執

最後に、4つのペルソナ別推奨をまとめる。

1) 個人 — 無料優先

  • フルApple利用者: iOS Passwords + iCloud Keychain。最も滑らかで費用0。
  • フルAndroid/Chrome利用者: Google Password Manager + Credential Manager。費用0。
  • クロスプラットフォーム + OSS: Proton Pass無料 or Bitwarden無料。
  • ローカルonly + 隔離環境: KeePassXC + Syncthing or USB。

2) 家族(3–6人)

  • フルApple: iOS Passwords共有グループ。
  • 混在OS: 1Password Families($6.99/month/6人)。UX・リカバリ・家族共有が最も滑らか。
  • 費用優先: Bitwarden Families($40/year/6人)。
  • プライバシー優先: Proton Unlimited家族プラン。

3) ビジネス(スタートアップ〜中堅)

  • 標準: 1Password Business または Bitwarden Teams/Enterprise。
  • OSS自己ホスト: Vaultwarden + SSO(Authentik/Keycloak)。
  • DevOpsシークレット分離: HashiCorp Vault、Doppler、Infisical、Bitwarden Secrets Manager。
  • PAM必須: CyberArk、BeyondTrust、Delinea、Akeyless から規制・規模で選択。

4) 偏執(脅威モデルの強い個人 — ジャーナリスト、活動家、シニアエンジニア)

  • KeePassXC + Yubikey 5(2本以上)+ Syncthing。
  • 別認証アプリ(Aegis、Ente Auth)。
  • vaultはUSBでのみ移動、クラウドに置かない。
  • マスターは24文字以上のディスワード単語 + 暗記したsentinel。
  • パスキーはデバイスバウンド優先(Yubikey本体)。

推奨の核心は「一つのソリューションが全員にとって正解ではない」という点だ。自分の脅威モデル、家族構成、デバイス組み合わせ、職務環境をまず定義し、その上でマネージャーを選ぶ。そして何より — マスターパスワードを長く、リカバリキットは紙に印刷して安全な場所に保管し、パスキーのバックアップキーを2本以上持つこと。マネージャーを誤選択することよりリカバリ手順を忘れることの方が、はるかに大きな事故を生む。

参考 / References

Discuss on TwitterView on GitHub