パスワード管理ツール Part7 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パスワード管理ツール(ソフトウェア)について語るスレです。
前スレ
パスワード管理ツール Part6(c)2ch.net
http://potato.2ch.net/test/read.cgi/software/1437557542/ ポータブル化可能なもので指紋認証できるものが欲しい 過去レス見ると暗記とか完全記憶とか定期的に出てるけど
そもそも丸暗記する必要はないだろ。
サービス名やカテゴリーとかから、自分だけのパスワード生成規則作って
それだけ覚えてればいい。(文字制限対策にフォールバック規則も決めとく)
欠点は、ルールが複雑だと慣れるまでは生成に時間がかかること。
管理ツールは入力高速化とアカウント管理、あとエントロピーチェックのために使ってる。
最悪、バックアップ含めアクセス失っても全部再生成できる。 >>670
2-3箇所サイトから漏洩して突き合わされてもルール見破れない?
共通部分が長くてサイト別の部分が短いと、
その短い部分だけブルートフォースするだけになるよ。 拷問されたら吐いてしまう可能性あるから完全記憶も完璧ではない >>671
やればわかるが大変なのは最初だけ。慣れると驚くほど速くなる
>>673
よくある、基本となるパスワード+サイト名2-3文字を前後に、のような
単純なのはそれがあるからお勧めしない。
俺は基本部分も固有情報から生成してるので、共通する部分はないかあっても小さい。
もちろん頑張られちゃうと見破られるけど、換字ルール(asciiコードに置き換える等)
を複数使ってるし、数年に一度アカウントの整理も兼ねて規則と全パスワード
を変更してるから、自動化された攻撃対策としてはまあ十分かなと。 あと、データベースの同期とか考えなくてよくなるのは隠れたメリットかも。
全アカウントを含むデータベースは自宅のUSBだけにして、
他ではその端末でよく使うもののみ含む最小限のデータベースを使ってる。
とくにスマホで長いマスターパス打つのは辛いし、かといってKDFのパラメータもあまり増やせない
(俺のだとArgon2:t=16,m=16MB,h=4が実用上限界)
利便性考えるとキーファイルも端末上に置いときたい。
つまりスマホ同期を前提とするとセキュリティ面で妥協せざるを得なくなるけど、
別々なら問題ないしスマホのが突破されても最小限の情報しか洩れない。 俺も昔はそうだったけどキーボードポチッで全入力できる利便性に負けました
解読されないようにされないように頭ひねってると規則がどんどん複雑になって実用面が疎かになるのよな 何ていうか
昔の人は苦労したんだねえ、というやり方を今でもやってる的な そこらの一般市民のデータが重要な訳ないしなあ
セキュリティ意識の高い人や厳重なパスをハックするよりも脆弱性のある人間そのものをフィッシングやらでハックした方がお手軽だろうし ツールの目的を誤解している
完璧なセキュリティを提供するものではなくて、
全部のサイトでIDとパスワードを共通にするのが危ないのは判るけど、
かといって全部変えたら覚えられない、という問題に対する解決策に過ぎない
破ろうという悪意があったら、多分キーロガーとか仕掛けると思うので、
それでも対抗できる方法でないとやる意味がない 侵入されたら終わりってKeePassのサイトにも書いてあるしな そもそもパスワード管理ソフトの仕事はただのメモ帳代わりだしな
メモ帳がパクられたら書いてあるパスワードがバレるのは当然よ
自動で入力してくれるやらメモの中身を暗号化してくれるやらは商品ごとの付加価値であってそれをどのレベルまで求めるか 結局自己満足とパラノイアの世界だからねー
年金やもんじゅみたいに滅茶苦茶重要なはずのデータは易々と盗まれるのに、大したことない個人の銀行口座ガチガチに固めるのもアホらしい なんかスレチな気がしてきたからそろそろ引っ込みます。
長文連投スマソ
>>683
誤解かなー、ツールへの信頼度の違いな気が。
使い回しが最悪で管理ツールがベターなのは共通認識として、どれ位マシなのかについて
683はかなりマシ、俺は(ツールと使い方によっては)ちょっとマシでしかないと思ってるような。
681に貼ったような一連の報道もそんなニュアンスだし。まあOrmandyは口悪いから
「LastPassとか使ってるやついんの?ちょっと触っただけで脆弱性ボロボロ出てくるけどw」
とか言ってるけどね。
放置されてたら被害は時間の問題だったと思うんだが、なぜか日本では(大して実害ない)
LastPassサーバーのハックほどにも話題にならない、そこら辺から海外との温度差が生じてる気が。
あと俺の伝え方が悪かったが、ブラウザRCEでアウト(やや言い過ぎだが)ってのはリモートの攻撃者から見て
キーロガー仕込むより遥かに簡単に盗めるってこと。砂箱破る必要があるかないかは大きいよ。
極論言えばMy Documentにおいた平文メモより脆いわけで(こっちはローカルの攻撃に弱いけど)
ちなみにユーザーモードキーロガーならセキュアデスクトップで概ね防げるけど、
カーネルモードやハードウェアロガーまで考えるなら物理セキュリティ、FDE、アクセス制御や
仮想化含めた総合的対策が必要で、それが管理ツールの範疇外なのはセキュリティに完璧がないのと同じく自明
ま、682や685は正しいよね。要は利便性とセキュリティのバランスをどこでとるかでしょ。
リスクをどうとるかは多分に主観的要素が絡むし、実現可能なセキュリティレベルは知識にもよるし。
「そこまでのセキュリティ必要か?」と聞かれたら別に必要ではないと答えるけど、俺の場合セキュリティを
利便性に置き換えても同じ答え。人によっては物凄く生産性が変わる場合もあるかもしれんけど
使い回しが蔓延してるうちはまず狙われないとは思うが、最近は末端の人間も標的型攻撃の踏み台にされたりするし
大規模被害が出るまで明るみにならなかった攻撃例とかもあるし、使うツールや運用を決める上で
セキュリティは1つのポイントにはなるんじゃないの。
(念のため、KeePass信者というわけじゃないよ。1Passwordとか比較的しっかりしてると思う) 基本となるパスワード+サイト名2-3文字でやってたけど、たしかに突き合わされたら意味ないな…
パスワード生成させるか キャッシュカードの4桁の暗証番号なんかは、
カードに書いてある口座番号から固定のルールで計算してる。 いいかげん鍵助におまかせするのもつらくなってきたので泥窓で同期できるソフト探しに来た
SafeInCloudとLastPass試してたけどここ見て入れてみたEnpassもいい感じ
SafeInCloudはFaviconが視認性はいいけどラベル欄はEnpass(のカテゴリ一覧)のほうが分かりやすいね
クラウド同期はクラウドストレージのルートにDB保存するので間違って消してしまいそう
Enpassのクラウド同期はEnpassフォルダ掘ってくれるから分かりやすくていい
あとクラウドやWebDav以外にフォルダ同期も選べるのでResilioSync的なものと併用すればLAN内で同期完結できる
バックアップやデータの場所を自分で選べるのもいい
ただ現状でFavicon使えないのとデスクトップ版は問答無用でProgramFiles(86)に突っ込まれるのが残念
ポータブル版は持ち出し志向だからフォルダ同期やバックアップがなくなってるし痛しかゆし IdManagerみたいにアカウント毎項目名を都度設定できるソフトはありますか?
WindowsだけならIdManagerで不満は無いんだけどandroid などと同期したいなぁと dashlaneと1passwordテストしてlastpassで頑張ることにした。
よいのないねぇ。 PCもスマホも同じような比率で使う人なんていないだろうしな
必ずどっちかが補助だから、補助の方はてきとーでいい lastpass入れたらブラウザの動作が重くなったっす >>696
Chromeにパスワード保存機能あるじゃん KeePassをPCでキ―ファイルのみで使ってたけど
Andoroidでも使うにはパスワードも設定しなくちゃいけないんだな
めんどくせえ >>700
どのアプリ使ってるのか知らないけど、パスワード空のまま復号してみてもダメ? キーファイルが一つだけだとなんだか不安だ
ふたつ使えるようにしてくれ >>701
できました
keepass2androidです
ありがとう Windowsで
KeePass系を
指紋認証で使いたい場合の最適解ってなんでしょう
WindowsHelloの認証をストアアプリ以外から利用できるライブラリってないのかな 1password入れてアカウント作って
スマホの調子悪いから一回アンスコしてまたいれたんだけど
これって秘密鍵ってのないと入れんよね?
マスターパスワードだけじゃないのかよ...
詰んだ? この記事書いた人素人?どこから管理者権限が出てきたんだよ
単刀直入に、任意のウェブサイトがKeeper上の全パスワードを盗める脆弱性と書けばいいのに >>707
一応GooglePlayのインストール数は一千万越えてるのでユーザーはそれなりにいるらしい
ただし他のアプリと比較するとこの数字いまいち信用できない
なんでChromeウェブストアと2桁違うんだ >>710
Chrome版がモバイル版と同時にリリースされたのかは知らんが、
Wiki見ると結構色んな端末にプリインされてるようだからその効果だろ win10に最初からプレインされとるからな
パスワードマネージャなにそれな人達は他アプリ比較もせず入ってるもん使うだろうし
そういう層はマイクロソフトにお薦めされるままEdge使ってるか
プリインのデスクトップ版だけでブラウザ拡張は入れないかなんじゃないの dashlaneからlastpassに乗り換えようかと思ったけど
結局そのままになりそう
UIがすきだわ >>713
俺んちのWin10にはストア版もデスクトップ版もインストールされてないんだが KeeperがArs Technicaを告訴、脆弱性報道巡り
http://www.zdnet.com/article/security-firm-keeper-sues-news-reporter-over-vulnerability-story/
数名のセキュリティ専門家はTwitter上で非難
Keeperは以前、別の脆弱性を発見したFox-ITも訴えると脅していた模様 ところでkeeperは悪名高いpckeepperさんとは無関係なのかえ? みんな元記事読んでないんかい…
発見したのはGoogleの研究者で、90日の公表猶予が設けられたがKeeperは24時間以内に修正
今回名誉棄損で訴えられたのは、主要ニュースメディアの1つで脆弱性を真っ先に報じたArs Technica
理由は16ヵ月も脆弱だったというのは間違い、ということらしい(本当か?
(窓の杜も管理者云々とか偽UI注入とか誤報だらけだから、英語なら訴えられてたかもね なお16ヵ月というのは、同じ研究者が16ヵ月前に殆ど同じ脆弱性を報告してたから
だから前回の脆弱性がきちんと修正されてなかったと思われたんだけど、Keeperの言い分では
「いや同じじゃねーし、影響受けるの最新ver.だけだし(=脆弱性が再度導入された)」
てことみたい。 わざわざ告訴するようなところのは御免だわな
堂々と記事を否定だけすればいいものを keepass 日頃使用してたんだけど、最近HDDがやられて、HDDは無事復旧できたんだけどkeepassだけが起動できなくなった(*´Д`*)
同じ症状で復旧できた人いない?
下記の症状と似てるような気がする。リペアーモードは上手くいかなかったけど、、、
http://kppn012.blog.so-net.ne.jp/2012-12-08 アプリ内課金ってのは泥スマホ機種変しても再購入は不要? Enpassか
OneDrive同期に対応はいいな
ちょっと試してみるか Enpass半額ってことはSafeInCloudと同額くらいになってるん?と思って比べてみたら
SafeInCloudも40%オフで安くなってた
https://plus.google.com/+SafeInCloud EnpassのMSストア半額になってなくね
てかブリッジ版とフルUWP版の間に
1000円分もの価格差があると思えん Enpass購入したけど
日本語に萎えるな
今のままSafeInCloud使い続ける ん?なにが?
そういうの要らないからほんと
ヤフコメから出てくんな >>674
たかがゲームだろうが、キーロギングでもされようものなら、
どんなパスワード管理ソフトも無力化できる Windows,Mac,iPhone,Androidで共通して使えるソフト有る? カードの番号とかも管理させたいけど、今ひとついい方法がない >>750 なんだよRoboformって無料だと15件までしか登録できないじゃん
詐欺かよw 金払ってまでこんなもん使うかバカw Robo8なら無制限なんやで、なお同期
EnpassやSafeinCloudはPC版がブラウザ入力のみ(ブラウザ以外のアプリの自動入力未対応)
RoboformはAndroid版なんか微妙(専ブラからじゃないとパス補完効かない?
あと非ブラウザのパス登録&入力方法が良くわからない)
なんつうかいろいろ惜しい 有料含めて10以上のサービス試してきたけど結局keepassに帰ってきてしまった オンラインバンキングのサイトとかは次から次へとパスワード管理ツールは凝った仕掛けのないシンプルなヤツの方がいいやね メルアドとパスワードを同時に入れられるシンプルなサイトがいいね
と解釈した >>758 有るに決まってんだろw
1万人が各1万件登録して1万年使ってれば1回ぐらいパスワード消えるよ いやカーネルメモリリークの話でしょ、ニュースみろ
まともなツールならユーザー空間上で暗号化してるはずだけど
どうなんだろね keepassの添付ファイルを開くテキストエディタを指定したりできない?
内蔵の簡易エディタが簡易すぎて役に立たない >>760 案の定この手のソフトとは何の関係もなかったじゃん >>761
特定の拡張子以外は(EFSで暗号化された状態で %TMP% に出力されてから)、関連付けられたソフトで開くという仕様があるので、
例えば .hoge とか適当な拡張子を任意のソフトに関連付けさせてから、その拡張子を持つファイルを添付するとかってのを思いついた
これで開くとダイアログが表示されてから添付ファイルが開かれる
で、編集して保存終了したあとにダイアログのインポートボタンを押せばおk なるほど
正直に .txt なんかにしてるのがいかんのか
エントリの中からなら 開く - 外部プログラム があるんだから、
あと3mmくらい空気読んでデフォルトをそれにしてくれるだけでいいのに enpassとsafincloudのセール中に買い損ねた
なぜか8日までだと思い込んでたわアホだ chromeIPassはKeePassの正規表現で書かれたURLは認識してくれるのでしょうか?
当方の環境ではアスタリスクが混じったURLには反応しませんでした。
あるいは他に複数のURLに対応する方法があればご教示ください。 サブPCのFirefoxを最新にしたらKeePassとFirefoxの連携が取れなくなったよく使ってるメインは
連携できてるのに…何が違うのかさっぱりわからん… オートタイプ中心で運用するのが安定するように思われる ■ このスレッドは過去ログ倉庫に格納されています