パスワード管理ツール Part7 [無断転載禁止]©2ch.net

1名無しさん@お腹いっぱい。2017/01/28(土) 11:01:29.59ID:AjAF52TL0
パスワード管理ツール(ソフトウェア)について語るスレです。

前スレ
パスワード管理ツール Part6(c)2ch.net
http://potato.2ch.net/test/read.cgi/software/1437557542/

832名無しさん@お腹いっぱい。2018/02/02(金) 22:38:35.87ID:tea6vqwk0
>>831
それは自動ログインね
けど入力だけでもwebサイトや解析サービス提供者に悪意があればパスワード見られちゃうよ
というのが元の研究の話

833名無しさん@お腹いっぱい。2018/02/02(金) 23:09:03.23ID:Dac5tAMZ0
ロボはそれでぬかれちゃうんだよねぇ

834名無しさん@お腹いっぱい。2018/02/03(土) 02:49:48.17ID:IhzQKMAy0
フォーム自動入力なんてのもあるし、怖いねえ
ツールそのものより使って平気な人間の方がこわい

835名無しさん@お腹いっぱい。2018/02/03(土) 08:34:59.98ID:7fOINmTS0
.

836名無しさん@お腹いっぱい。2018/02/03(土) 11:45:48.83ID:7xFuR0HP0
>>781
このスレ定番のkeepassだと、steamにも対応してるけどダメ?
鰤にも対応してるし、全部1まとめに出来るけど。

837名無しさん@お腹いっぱい。2018/02/03(土) 16:20:29.69ID:i5aI0H5J0
>>829を悪用する拡張機能まで出てきたらしい
https://www.bleepingcomputer.com/news/security/first-malicious-chrome-extensions-detected-using-session-replay-scripts/
ちなみにCNETの記事は誤解を招く表現になってるけど、一般的な解析サービスの中に
パスワードなどの重要情報をマスキングもせずにリプレイするものがある、てのが最大の問題
そのつもりがなくてもパスワードを見てしまうこともあり得る

838名無しさん@お腹いっぱい。2018/02/05(月) 15:23:58.20ID:UIBIwKPT0
>>828
ここにいるぞ!

それと最近のブラウザはワリとパスワードを覚えていてくれるから、それほど困らないよ。
アドオン云々とか悩まずに好きなブラウザやアプリを利用できて精神的にはラクチンです。

839名無しさん@お腹いっぱい。2018/02/05(月) 15:37:29.53ID:rvA+TNKb0
ブラウザが覚えてくれるから楽だけどkeeになってFirefoxのパスワード保存のチェックボタンが勝手に解除されるようになった
セイで一々チェックを入れ直さないと行けなくなったkeepassの時は勝手にに解除されなかったのに…
あのセイでクソ面倒

840名無しさん@お腹いっぱい。2018/02/05(月) 16:05:47.74ID:GgyJcWyN0
大抵の人はブラウザにパスワード覚えさせたくないからパスワード管理ツールの自動入力使うのでは

firefox使ってないからよく知らんけどkeeてkeepass用ブラウザアドオンの中の一つにすぎないのと違うんか?
これまでkeepass単体でできてたならアドオン削除すれば解決すると思うが
他のアドオン使ってたってことなら「keepassでできてた」って言われてもどれのことだかわからんが

841名無しさん@お腹いっぱい。2018/02/05(月) 21:45:50.59ID:uR8fVp3C0
>>822はKeeFoxの事を間違えてKeepassって言ってるのかねぇ
まあKeeFoxもKeeもどちらも同じURLで配布されててバージョンが違うだけではあるんだが
WebExtensionへの移行に伴って名前が変わったからややこしい

842名無しさん@お腹いっぱい。2018/02/05(月) 22:22:17.92ID:aoHdenuO0
ブラウザに覚えさせるのはよくないな
と思うのが、こういうツールを使う出発点

843名無しさん@お腹いっぱい。2018/02/05(月) 23:54:18.23ID:dXla1fds0
Dashlane試したら覚えてないくらい昔のパスワードが勝手に追加された
Firefoxの古いプロファイルから拾ってきたらしい
正直恐怖を感じた

844名無しさん@お腹いっぱい。2018/02/06(火) 03:40:38.27ID:6E5Yb/as0
あるよなあそういうの
探ろうと思えばいかに簡単か

845名無しさん@お腹いっぱい。2018/02/06(火) 07:16:29.78ID:w84kVi6v0
おいおい、疑似挿入とか義理チョコみたいなもんだ(´・ω・`)

846名無しさん@お腹いっぱい。2018/02/06(火) 08:07:54.19ID:3hgvlDCi0
フォームにパスワードを擬似挿入

847名無しさん@お腹いっぱい。2018/02/06(火) 16:23:34.20ID:JQrBhniL0

848名無しさん@お腹いっぱい。2018/02/06(火) 17:31:48.90ID:wyYWepgY0
>>847 怖すぎるううう

849名無しさん@お腹いっぱい。2018/02/07(水) 09:59:13.09ID:VxTFgCav0
誘導で来ました。Androidアプリで質問。
マッシュルーム対応のアプリを知っていたら教えてください
今のところは
ぱすわ〜ど帳SA
https://play.google.com/store/apps/details?id=jp.developerwaiwai.passworder
SIS-パス管理
https://play.google.com/store/apps/details?id=jp.sisyou.kumikashi.mpassmgr
パスワード管理帳(パスメモ)
https://play.google.com/store/apps/details?id=jp.co.nsw.android.passmemo

850名無しさん@お腹いっぱい。2018/02/08(木) 06:57:26.67ID:bo3KjaEm0
Androidのスレで聞こうよ

851名無しさん@お腹いっぱい。2018/02/08(木) 08:58:44.96ID:smbDOiUN0
パスワード管理ツールスレだから泥アプリの質問でも間違ってはいないけど
板的にはPCよりだしここはPCとモバイルで連携機能のあるツールの話題がほぼメイン
マッシュルーム型はスマホ内だけで完結するような作りの物が多いので
ここではほとんど話題にあがらないし詳しく答えられる人もいないと思う

852名無しさん@お腹いっぱい。2018/02/08(木) 10:22:31.65ID:kalsy/0V0
>>850-851
そこからの誘導です。ありがとう

853名無しさん@お腹いっぱい。2018/02/08(木) 22:04:22.57ID:sBvbOJFT0
Androidアプリの出来が良かったからPC版も使ってみたら良かったみたいなソフトはないんかな
聞いたことないけど

854名無しさん@お腹いっぱい。2018/02/08(木) 22:11:11.16ID:wKY+ksbO0
スマホをメインに使ってる人はPC持ってない

855名無しさん@お腹いっぱい。2018/02/09(金) 01:43:55.31ID:57caH74U0
最近ではRememBear が使いやすい
ちょっとトボケたようなクマがかわいい

まだリリースされたばかりだから必要充分な機能だけついてる

856名無しさん@お腹いっぱい。2018/02/09(金) 01:56:09.51ID:MV0qeuum0
>>855
公式サイトではAndroid 4.3以上とあったけどPlayストアでは5.0以上と言われた
いい加減スマホ買い換えるか

857名無しさん@お腹いっぱい。2018/02/09(金) 12:57:13.44ID:xoyMXIai0
端末間での同期とか要らないからオフラインで使えてAndroid 8.0のオートフィル対応してるソフトないものか…

858名無しさん@お腹いっぱい。2018/02/09(金) 16:42:35.36ID:ra6DMNMT0
自分オッサンだからID/パスワードの管理をPC以外で行うことなど考えられないが
若い人はすごいなあ
イヤミじゃなくてその柔軟さがうらやましい

859名無しさん@お腹いっぱい。2018/02/09(金) 17:23:12.14ID:57caH74U0
おっさんだからこそ、そこは紙とペンじゃないの?
スマホアプリのみってことか

それは置いといて、Password Store っていうのがストアにあるけどあれってPGPとかGitとか勉強しないと使えないのよね?
結構面白そうだからちょっと検索したけどめまいがしたわ
日本語で分かり易い解説書ってないかな

860名無しさん@お腹いっぱい。2018/02/09(金) 17:34:05.07ID:R2cjQ9ed0
そもそもスマホを持ってないので……

861名無しさん@お腹いっぱい。2018/02/09(金) 18:37:24.27ID:+jcPfcXx0
>>859
基本、UNIXユーザ向けだからね。

862名無しさん@お腹いっぱい。2018/02/09(金) 19:15:52.08ID:BQJVG/8s0
>>857
試してないがKeepass2AndroidがBeta版で対応したらしい
https://www.xda-developers.com/keepass2android-beta-autofill-android-oreo/

863名無しさん@お腹いっぱい。2018/02/09(金) 19:37:04.51ID:VExQKjUY0
>>858
PCとか柔軟じゃん。髪だろ!

864名無しさん@お腹いっぱい。2018/02/09(金) 20:34:45.63ID:xedXeup90
また髪の話してる(AA略)

865名無しさん@お腹いっぱい。2018/02/10(土) 11:29:59.70ID:NFL0N+XP0
bitwardenというアプリ、なんとなく避けてたけどTOTPにも対応してるのね
LastPass からの移行を考えてしまうわ

866名無しさん@お腹いっぱい。2018/02/10(土) 20:49:21.91ID:4rPu7mZe0
keepass+kee(firefox)でゆうちょダイレクトのお客さま番号を自動入力させるにはどうすれば

867名無しさん@お腹いっぱい。2018/02/10(土) 22:23:17.46ID:XaD+qmyP0
文字列フィールド追加して自動入力をカスタマイズしても無理?

868名無しさん@お腹いっぱい。2018/02/10(土) 22:34:31.48ID:4rPu7mZe0
フォームの検出のホワイトリストのとこ?

869名無しさん@お腹いっぱい。2018/02/11(日) 03:50:39.38ID:rl144dVh0
色々探したらKeepass2入れた
USBリムーバブルメモリーに入れてインストールフォルダーは隠しファイル。
そこで一元管理してたらPC初期化だろうとパスワードは失わない。
パスワード自動生成機能がうれしい

870名無しさん@お腹いっぱい。2018/02/11(日) 05:10:34.53ID:4jxHIk2P0
>>869
バックアップはどうしてるの?

871名無しさん@お腹いっぱい。2018/02/11(日) 14:39:27.74ID:PzLUtxXh0
keepassは殆どオフラインかつ外に持ち出さないHDDとUSBにkdbxファイル、googleドライブとonedriveに鍵だけ置いてるんだけどこのやり方不味いのかな

872名無しさん@お腹いっぱい。2018/02/11(日) 14:45:33.69ID:RaG0JRah0
普通はデータベースをクラウドに置いてキーファイルをUSBに入れない?

873名無しさん@お腹いっぱい。2018/02/11(日) 15:20:13.98ID:PcChJ9sJ0
マスターキーだけ脳内で、残りの全ては好きな場所に
クラウドでもok

874名無しさん@お腹いっぱい。2018/02/11(日) 15:22:58.40ID:+XodZyHw0
人それぞれだが、USBなくしたりHDDが突然死したりしたときを思うとデータベースをローカルに置いとく気にはなれないな
俺はどっちもクラウドだけどサービスは分けてる

875名無しさん@お腹いっぱい。2018/02/11(日) 15:39:25.33ID:PcChJ9sJ0
バックアップという意味では、別ドライブに一番頻繁にバックアップする先があって、
たまにUSBメモリにもバックアップして、
年1くらいでクラウドのも更新する

パスワードだけじゃなくて、システム全体のバックアップだけど
クラウドはglacierなので、置いとくのは安いけど、読み出すとなるとそれなりに金かかる
だから災害時用で、使うことがなければそれに越したことはない

876名無しさん@お腹いっぱい。2018/02/11(日) 16:41:55.98ID:fLgcnT5L0
滅多にエントリー増えないのでキーファイル、DBとも複数のUSB/HDDにコピーしてる
が災害時用にVeraCryptコンテナにつっこんでクラウドにも上げてある。
(もちろんVeraやクラウドのパスワードは脳内

まあAESは差分解析に強いし、仮に脆弱性あっても何千回も更新する人は稀だろうし、
何よりVIPでもない一般人を狙う物好きもいないだろうから
脆弱なマスターパスワードでなければそのまま上げてもいいと思う。

脆弱なパスワードの例:
"k1araj0hns0n," "Sh1a-labe0uf," "Apr!l221973," "Qbesancon321," "DG091101%," "@Yourmom69,"
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html

877名無しさん@お腹いっぱい。2018/02/11(日) 16:44:10.03ID:fLgcnT5L0
KeePassデフォルトのKDFは時代遅れなので、キーファイルを組合せないなら
大小文字数字記号含む15文字以上のランダムな文字列推奨。それが覚えられないならKDFを変更。
Argon2にして
1. ParallelismはCPUの総スレッド数の半分〜やや多め程度
2. Memoryは低スペ機やモバイルなら16MB(16777216bytes),高スペなら32MB
3. Iterationsは問題を感じない範囲でなるべく高く。大体の人は10〜400以内になるはず

注1:あくまで個人的推奨。Argon2開発者の推奨とは異なる
注2:KeePassフォーラムでも言及されてるがデフォルト設定ではArgon2にする意味がない。必ずパラメータを変更すること
注3:miniKeePassなどArgon2をサポートしてないアプリもあるので、使うアプリを確認
蛇足:ChaCha20はAESほどセキュリティが検証されてないので個人的には非推奨

878名無しさん@お腹いっぱい。2018/02/11(日) 18:11:57.93ID:RaG0JRah0
chacha20はGoogleでデフォルトに使われてるし腐るほど検証されてるんじゃないか?

879名無しさん@お腹いっぱい。2018/02/11(日) 18:42:34.01ID:YT8cIlNi0
>>878
全くされてないわけじゃないけど、AESほど徹底的でもない
ただLinuxやMacだと適切なメモリ保護がない関係で
ストリーム式のChaCha20をデフォで使うようになってる、これも言うべきだった

880名無しさん@お腹いっぱい。2018/02/16(金) 20:36:52.30ID:G7u1V2f50
いつの間にかAndroid FirefoxだとYubikey認証がバイパスできなくなってやがる

881名無しさん@お腹いっぱい。2018/02/17(土) 17:39:09.78ID:cxN9rfud0
KeePassからGoogle Chromeへオートタイプ(Ctrl+V)しても、なんにも貼付けられなくなっちまった
Chromeのバージョンアップのせいだろうな

882名無しさん@お腹いっぱい。2018/02/17(土) 18:37:21.01ID:J5usB+9c0
早合点はよくないぞ
他のWebページでも試してみたか?

新着レスの表示
レスを投稿する