2026年にパスワードマネージャーが必要な理由(パスキー時代の到来後も)
パスキーはウェブ全体で展開が進んでいますが、2026年時点でその対応範囲はまだ部分的です。パスワードマネージャーはパスキー、OTP、そして膨大に残るレガシーパスワードを一手に管理します。これがその率直な評価です。
パスワードマネージャーの役割
パスワードマネージャーは、すべてのアカウントごとに固有のランダムなパスワードを生成し、それらのパスワードを単一のマスターパスワードから導出した鍵で暗号化して保存し、ログイン時に認証情報を自動入力します。このアーキテクチャはパスワードの使い回しを排除します。使い回しこそ、アカウント乗っ取り攻撃において最も悪用されやすい行動です。本サイトで比較している5つのマネージャー(Bitwarden、1Password、Proton Pass、NordPass、KeePassXC)はいずれもゼロ知識暗号化を実装しています。つまり、ベンダーのサーバーが侵害されても、そこに残るのは暗号化されたデータの塊だけであり、ユーザーのマスターパスワードがなければ復号できません。
2026年、パスキーはパスワードマネージャーを置き換えない
パスキー(FIDO2 / WebAuthn)は、特定のオリジンに暗号的に紐づくフィッシング耐性のある認証情報です。対応しているところでは、パスワードに対する明確なアップグレードです。問題は展開状況にあります。2026年時点で主要サイトのパスキー対応はまだ部分的かつ不揃いです。銀行、行政サービス、ニッチなSaaS、そして大半の旧来型エンタープライズシステムは依然としてパスワードに依存しています。主要なパスワードマネージャー(Bitwarden、1Password、Proton Pass)は現在パスキーをパスワードと並べて保存できるため、マネージャーは両方の正しい保管場所であり続けます。
最初のマネージャーを選ぶ
3つの選択肢でほとんどのユーザーをカバーできます。Bitwarden Freeは、オープンソースで監査済みの実装により無制限のパスワードに対応します(github.com/bitwarden + bitwarden.com/help/is-bitwarden-audited による)。Proton Pass Freeも同様で、スイスを管轄地とします(proton.me/pass/pricing による)。KeePassXCはクラウドコンポーネントを一切持たないローカル専用の選択肢です(keepassxc.org による)。同期の好み(監査済みクラウド対ローカル)に合うものを選び、ブラウザに保存したパスワードをインポートし、マネージャーのアカウント自体に2FAを有効にしてください。
マネージャーの選択よりマスターパスワードが重要な理由
監査済みのゼロ知識パスワードマネージャーはいずれも、メモリハードなKDFを介してマスターパスワードから導出した鍵でボルトを保護します(Argon2idが現在のベストプラクティス、高い反復回数のPBKDF2が旧来の標準)。マスターパスワードが短かったり推測しやすかったりすると、暗号化の強度は無意味になります。暗号化されたデータの塊を盗んだ攻撃者は、それをオフラインで総当たり攻撃できるからです。解決策はパスフレーズです。ランダムな辞書単語を4〜6個並べればおよそ50〜80ビットのエントロピーが得られ、これは快適にタイプできる程度の短さのどんなパスワードよりも強力です。
出典
Bitwardenの監査: bitwarden.com/help/is-bitwarden-audited。Bitwardenのソース: github.com/bitwarden。Proton Pass: proton.me/pass/pricing + github.com/ProtonPass。KeePassXC: keepassxc.org + github.com/keepassxreboot/keepassxc。Argon2(Password Hashing Competitionの優勝者): password-hashing.net/argon2-specs.pdf。すべてのURLは2026-04-30にアクセス。