前スレ
パスワード管理ツール Part7 [無断転載禁止]c2ch.net
http://egg.5ch.net/test/read.cgi/software/1485568889/
探検
パスワード管理ツール Part8
レス数が1000を超えています。これ以上書き込みはできません。
前スレ
パスワード管理ツール Part7 [無断転載禁止]c2ch.net
http://egg.5ch.net/test/read.cgi/software/1485568889/
スレ立て乙
ないなら買い切りでマルチプラットフォーム対応のソフト教えてください。
ちなみちdropbox使用してます。
いまバージョン7のベータ版が出ていて、それは買い切りもできることになっている
アプリは立ち上がるけどフォームに入力した内容がクリアされるの?
それってどこにありますか?
見つけきれないんですけど。
自分はSafeInCloud使ってる
買い切りのPro版Android版が550円、iOS版が720円
クラウドはDropboxは勿論、有名どころは大抵対応してる
https://app-updates.agilebits.com/product_history/OPW6
「Show betas」にチェックを入れれば出てくる。
https://forest.watch.impress.co.jp/docs/news/1113031.html
日本語のニュースもあるけど、まだβ版だから自己責任で。
俺達みたいにメモ帳使ってたら
こんなソフトいらないぜ
これいいね。
1pssでも不満はないが使ってみるよ。
それは管理ツールを使わずに記憶やメモでパスワードの文字列を考える人の話
それ正式名称なんですか?
パスワード管理ソフト ID Manager
http://www.woodensoldier.info/soft/idm.htm
φ(..)メモメモ
スマホやタブレットで利用することも考えるとKeePassのほうがいいと思う
SafeInCloudと似通ってるけどこっちはLinuxまで対応してるんで使ってる
UIがちょっと微妙なこと以外は不満無し
>>18
それ二段階認証に対応してなくない?
(ノ∀`)アチャー
どこをどう直されたか見えないところと第2認証等がメモになってコピペになること
またしばしばサーバーがダウン?してオフラインになるのが嫌だった。
SiCは動作が機敏でいいね
A パソコン(ウインドウズ7)だけで使用する。スマホなどでは使用しない。
B 複数のGメールアカウントへのログインが可能
C 日本語対応
この4条件を満たしているのはありますかね?
Bがよくわかりません;;その他の条件ならkeepass、SafeinCloudかな?
>B 複数のGメールアカウントへのログインが可能
これがちょっとよく分からない
一般的なwebブラウザとかメーラーではダメなの?
セキュリティを考えてパスワードが違うので、
ログインするときに自動入力できるとログインが面倒くさくなくて便利かなあと。
SafeinCloud はパソコン版は無料だし、よさそうですね。
実際に試してみないとわかりませんが。
それならどのパスワードマネジャーでも出来ます。同じサイトでもID,PWが違えば
それぞれ違うものとして登録されますから
KeePassもLinux版あるよ。
m(_ _)m
1PASSはwindowsだと怪しい感じがするし、keepassあたりがいいのかなと感じる。
もうやめたわ
Avast Password やKaspersky PMというのがあるけど、前者がおすすめ
Windows 版はスタンドアローンなくて本体ダウンロードしなきゃいけないけど
そうなんだよね、使いづらいなともおもってます
avastのはノーチェックでした調べてみます。
https://youtu.be/oz7vk8XJnh8
使い方を解説した動画
> Windows 版はスタンドアローンなくて本体ダウンロードしなきゃいけないけど
う〜む(思案)
次にsafeincloudを試したら指紋の不具合がなかった!神!
でもこのアプリはクラウド同期が前提なのかな?それが残念
keepassみたいに好きな場所からデータベース読める仕様なら買うのになあ
SiC オプション→クラウド同期→なし にすれば
DBがローカルに保存されるはず
自分もSticky Password Premiumを一応使ってはいるのだが
ソフト本体の問題なのか、ブラウザのプラグインの問題なのか
他のアドオンや拡張機能とバッティングしているからなのか
InternetExplorer 11 と最新のSeaMonkey、あと最新のPale Moonでしか作動してくれない
Firefox 59.0.2やVivaldi等のChromium派生ブラウザにもプラグインを入れてるのに
Stickyのプラグインのアイコンは黒いまんまでピクリともしない
Stickyの導入当初はどのブラウザでも使えたんだが…
(Sticky PasswordのAdd-on、Extensionは最新版をインストールしている)
有料版買わなければ良かったか?
なんかまだ知らない人多いみたいだけど、管理ソフトやアプリ関係なく、ブラウザ関係なく、WebからGmailへログインすれば、そのアカウントと紐付けのような形でワンクリックで複数のGmailアカウントへ入れるから。
これはGoogle上の機能で、Chromeとかそういうのも関係ないから。
便乗スマン。自分もenpassを使用しているんだけど、例えばクレカが3種類あったら微妙にフィールドを変更させないと使いにくいとかあると思う
他にポイントカードや電子マネー、銀行など
やっぱり自分でクレカ系や銀行系といったオリジナルテンプレートを作っておいて、テンプレに合わない場合に微調整する感じなのかな?
どうもしっくりこないんだよね
入力するのはウェブサイト以外の場合もあるからマッシュルーム対応は必須なんだよなぁ。
SISを使い続けるしかないかな?
でもこれのパスワードジェネレータあまり良くないんだよなぁ。
ノートPCとデスクトップPCに入れてるけど、最初に入れたノートの方は同じ様な事が起きてる。
最近入れたデスクトップはすこぶる順調なんだけどね。
これ、ソフトの方と拡張機能のバージョンが上手くあってないんじゃないかと思う。
どっちも削除して再インストールした方がいいかも
https://www.truekey.com/ja
クロームの拡張機能で使ってみたんだけど、1PASSと比べると一手間多いね。
1PASSは拡張機能ボタンでログインしたいサイトを選ぶとそこに飛んでいき自動でログインしてくれる。
safeは自分で行きたいサイトまで飛んでいき拡張機能ボタンを押さないといけない。
俺がやり方分からないのか、それもと他に方法があるのか分からんが操作は1PASSが楽。
https://authy.com/
ならないですよね??
その観点からすると
>>53
とか大手しかないね。
更に言うならWebAuthn実用化されて2段階認証やパスワード管理自体も消えて欲しい
有料のベンダーは信用がなくなったら客が金払わなくなって倒産しちゃうからね。
無料のベンダーは問題起こしてもすぐ倒産にはつながらないし意識も高くない。
GoogleやFacebookの情報漏えいを見れば明らかなんだよね。
オープンソース系は非常に面白いサービスには向いているがSecurityやビジネスにはクローズドソース系のほうが向いてるのは明らか。
GPGやVeraCrypt、SoftEtherなど一定の信頼を得てる暗号化製品は大体OSSだし
SchneierもOSSであることを推奨事項の一つに挙げてる
そもそもOSSと有料無料は別の話なんだが?
GoogleやFBも何の関係もないし(これらはユーザーが商品なだけ)
定期的にやらかしてるLPやKeeper、間抜けな脆弱性連発のアンチウィルスベンダーと
Ormandyや欧州委員会の監査でも脆弱性見つからなかったKeePass比較してもねえ
当然、オープンソースで同等機能のものが出てきたら、有料ソフトは衰退するしかない。
だからオープンソースと無料は別だと…AuthyもOSSだけどフリーミアムだろ
まとまった購入が見込める企業ではサポートや一元管理の需要があるからんなこたない
それに最近のアンチウィルスみたく本業以外の付加機能で差別化もできるし
買い切りのソフトなら高くても買うが
ウイルスバスターみたいに毎年更新するのは面倒くさい。
DBはDropbox。Boxcrptor使うとAndroidでDBの保存が
うまくいかないんです。Keepass2Android、KeepassDroid両方ともダメ。
キャッシュがなんたらとパスが表示されるのですが、すぐに消えてしまって、、
作成者はそっちの方がいいんだろけど、消費からしたら買い切りがいい。
自分は1PasswordとAuthy使ってるな
今どき多要素認証は基本だから使うの前提
あなただけにはオススメする。ただしIDMを否定することもない
>>53
これベクターで毎週セールで3年版3000円でセキュリティソフトのフルバージョンごと売ってるな。
年1000円でIntelSecurityフルバージョンごと使える?
≪ベクターPCShopニュース≫ 2018年4月14日号
https://pcshop.vector.co.jp/service/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┏━ Windows・Mac・Android・iOSを守る究極セキュリティが【3,000円】━┓
------------------------------------------------------------------
【3,000円】マカフィー リブセーフ 3年版
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
【24時間限定】 3,000円
http://vafs.vector.co.jp/clicker/C26/E5/D136/A180414101/Umcafee/ 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)
年1000円でセキュリティを確保できるかどうかの価値観によるよね
万が一の際に自分なら1500円買い切りのアプリの方が乗り換えやすいし、まあMcAfeeは嫌いだ
WINやMac、複数デバイス使ってると何にでも対応してるIntelMcAfeeは年千円で何台でも入れ放題で一元管理で使えるから便利なんだよね。
Mac使いで有名な天才プログラマー小飼弾氏も画像とか見るとMcAfee使ってるね。とりあえずMcAfee千円でもっといて必要があれば別の使うのがいい。
パスワードの変更とか書き換えはどうすりゃ良いのかな?
項目選択するとすぐグループまで戻ってしまって編集出来ない
項目長押ししても削除、切り取り、コピーしかメニュー出てこないし
IDMはパスワード管理というよりも秘密のメモ帳として重宝してる
自分の場合
IDやパスワード入力時→専用キーボードとして起動
Keepass2android設定変更等→Keepass2androidアプリをランチャ等で起動
主な管理をPCでしているせいか運用は主に↑でまかなえてしまっているけれど
専用キーボードで起動してパスワードを変更したいシチュエーションってどんな時だろう
Aというシステムのパスワードを変更したい時、まずAを立ち上げるってことかな?
Aというアプリを立ち上げてKeepassの専用キーボード切り替えた後に
「しまった先日Aのサイトのパスワード変更したけどKeepass設定変更していないや」ってケースに遭遇したら
・ホームボタンでランチャから(自分の場合は実際は通知エリアに置いたランチャから)Keepass2Androidを起動して設定変更
・タスク切り替えでアプリAに戻る
で新しい設定になったKeepass専用キーボードでID/パスワード入力を継続すると思います
パスワード変更時、専用キーボードから現パスワード入力して
新パスワードを新たに作り出す時に困ってた
>>82
なるほど!keepass本体から起動すれば編集モードに入れるんだね
途中で書き込んでしまった
>>82
使い方ありがとう助かったよ
単品選択時の長押しメニューにも編集あれば良いのにな
人それぞれだからなぁ〜
ビック3の見た目で判断すればいんじゃない?
アプデでDB壊れないか心配
Googleも対応すればいいのに
https://cloudblogs.microsoft.com/enterprisemobility/2018/04/24/microsoft-authenticator-account-backup-and-recovery-coming-soon-to-an-ios-device-near-you/
メールアドレスは自動入力出来たけどパスワード画面に切り替わると、自動で入力されなくなった。
右クリックからパスのみ入力を選んでもダメ。2段階認証ももちろんダメだった。
他のウェブサイトでも、1画面にメールとパスの入力欄があれば問題無いけど、別画面でそれぞれ入力させるところは全滅。
パスワード管理ツール潰しの動きでもあったのか不安になってる。
・windowsでも共有使用可能
・日本語対応
・Chromeでオート入力可能
こんな俺得パスワード管理ソフトはありますか?
Bitwardenとかどう?
なんか使いづらいからブラウザごとダウングレードしたけど、そのうち使えなくなったらどうするか・・
調べてみたんだけど、iPhoneの記事ばかりなんだけど、Androidも指紋認証対応してる感じだよね?
すげー良さげだから家帰ったらインストールしてみるわ!ありがとう
これでIDMからのインポート対応してれば完璧っす
Androidのバージョンが6未満だと指紋認証のAPIが標準ではないから使えない場合もあるから気を付けてね
BitwardenはLastpassからのデーター移行がうまくいかなくて
あきらめた。というか、移行後に手作業の修正が多くてウンザリだった
名前順とか新しい順といったオートで換えられても、好きなようには・・・
PCのほうだとできるんだけど、androidでもできるなら教えてください。
PCでのファイル管理ならそれやってるよ、ありがとう。
頻繁に順番を換えなければ便利だよね。
1000単位でカテゴリー分けして、100単位以下で順番を決めるみたいな。
現に俺はPCでもスマホでも使っているけど、料金請求されることなく快適に使えているよ
https://keepass.info/news/n180506_2.39.html
おれもその両方で同期できてるが、最近スマホの方で金払えて表示が出てうざい
無視しとけばいいの?
Androidだと違うんかな
lastpassフリーミアムなのは分かってるけど無料で同期もできて個人使用だと事実上制限も無いし、ちょっと悪い気になってくる
「ゼロ」とか「オー」を入れないとか
「1」「l」は使わないとか
細かく設定できるのがあったら教えてください
あと管理ツール使うなら視認性とかどうでもよくね?
俺が知る限りではKeePassが細かく設定できる
>>110の言うとおりで、大抵の管理ツールにはパスワード生成機能は搭載されてる
単体のパスワード生成ソフトということなら、俺は Password Creator TypeB というのを昔から愛用してる。
古いソフトだけど、Windows10 でも動作するよ。ご希望通り使用可能文字とかも一通り設定できる。
Password Creator TypeBの詳細情報 : Vector ソフトを探す!
https://www.vector.co.jp/soft/winnt/util/se161038.html
覚えやすさが制御出来る
https://www.vector.co.jp/soft/win95/util/se256847.html
Keepassのが良い感じですね
他の管理ツールで「細かく設定」できるパスワード生成機能がついてるのって
何がありますか?
ただし、オフラインのやつをお願いします
荒しです
荒し
Keepassを超えました
まだガキがいるんだな
https://keepass.info/news/n180506_2.39.html
winのver1803で機能しなくなったが、2日後には修正されて使えるようになった。
Androidのバージョンなどや機種でも挙動が異なるよね
https://pbs.twimg.com/media/DdK1vt-W0AAPV_T.jpg
これができないなら結局1passwordか・・・ってなってしまう
つ Green Browser
すまんどういうこと?色々調べたがわからんかった
そのブラウザ使ったら解決できるってこと?
サイト ユーザー パス
yahoo abc 123
google def 456
amazon ghi 789
みたいなこんな感じのテキストファイル作っておけばいい
初心者は有料1pass使っとけってことてすね。
以外に複数フィールド欄二対応してるソフトは少ないのな
それを電子手帳に入れておくのが一番やね
パソコンに入れていると何の表紙に漏れるかわからないし
https://www.giveawayoftheday.com/roboform-everywhere-8-0/get-key/
1年ごとの更新は面倒くさい。
クレカなら自動更新じゃないの
消えてしまう?
新バージョンが公開されるや光の速さで「新バージョン出たのでお願いします」みたいな催促コメントばっかりされて
あくまでも有志だって理解してるのかねぇ
それにどう対応するかは開発者の自由
重複すればノイズでしかないが
キーファイル対応きた
どうでもいい
利益構造が怪しい
っていうかパスワードマネージャーって大抵フリーミアムモデルでマネタイズしてると思うけど
対応プラットフォームも多いし同期の手段も多様
どうやって開発費を回収してるのか不思議に思っただけ
競合はほとんどサブスクリプションに移行してる
この会社が他にビジネスをしていてそれで儲けてるならわかるが
PWマネージャーだけで開発リソースを回せるとは思えない
そういう意味で怪しいと思った
インド?だか知らないけど営利企業である以上
社会奉仕活動が目的でないのは間違いあるまい
要は成長市場だから買い切りモデルでも利益出てるとのこと
https://discussion.enpass.io/index.php?/topic/1192-i-dont-trust-the-lifetime-offer/
保存データがどうなるかわからないからちょっと嫌
あとはブラウザ以外のアプリでの自動入力が欲しいな
あー確かに。マッシュルーム対応だな
いやAndroidだとEnpassキーボードがあるけどWindowsだとブラウザの拡張機能からじゃないと自動入力できないのよ
海外だとちょっとは言及されてるのにパスワード管理ソフト関連はやっぱ国内じゃマイナーなのか
(自分のツールの環境晒すとかこういうの使う意識と真逆の方向性だし)
皆がこれ使うってレベルの凄くメジャーなツール出ないと普及しないんじゃないかなぁ
普通に喜んでるよ
必要な人が必要なときに使うもんだと思うし
他人なんてどうでもいいんでないの
メジャーどころなら1PasswordかLastPassでしょ
日本の場合は道具がないんじゃなくて道具を使おうとしないだけ
ここPC関連の板だし
もし、プラグインならどれがおすすめ?
俺は別のソフトを使ってる。Windows で WinAuth、iOS で Authy だね。
XCはインクリメンタルサーチできるところが好きだけどブラウザ連携がFirefoxのKeeより劣るんだよな
フル版は有料なのが原因?
海外でも言及されるのがレアだしマイナー寄りと思われる
見た限り機能も価格も特色なし
セキュリティ重要なパスワード管理ソフトでマイナーソフト選ぶメリットが無いなあ
僕はEnpass
無料のものでも寄付すれば実質有料だけどな。
スマホを持っていない我輩に死角は無い
「買い切り」ならいいんだけど、毎年更新は面倒。
それと、トリガーを使って同期してるときに操作できなくなるのがイラッとする
enpassに移る人が増えているのはそのせいでしょうね
enpassは最初から環境に左右されないように作られているのでスマホでも困りませんし
私は惰性でkeepassですが、
今から始めて何かを選ぶならenpassとkeepassでかなり迷うと思います
keepassでできることはenpassでもできるので好き嫌いで選ぶってくらいに似ていますし
アンチウイルスに課金するのはやめたがこいつにはお布施してるわ
他に色々でてるけど500以上パス保存してて今さら乗り換えるのも面倒だし惰性で使ってる
少し前にskuidとかいうやつ薦められたがjwordのGMO製で冗談だろと思った
こんなに使うと思ってなかったわ
セールの時に買っておけばよかった
俺も元旦ギリギリに買ったわ
スマホもPCもMacも(Chromeの機能拡張だが)
でも中韓よりは…
カスタムカテゴリとアイコン、ダークモードが個人的には嬉しい
それにwindows helloも
Edge拡張が未対応だしデータベース壊れるの怖いし正式リリースまで5にとどまるわ
>>205は>>204宛ね
そこから買い切りで買ってたけど更新したらフリー化されちゃって毎回有料だからウィンドウでて超うぜぇから乗り換えた
毎年更新とかセキュリティソフトだけでいいわ
Windows 7と共に役目を終えたろ
むしろまだ生きてたの?
暫く名前も聞かなくなったわ
アンチウイルスだけじゃなくセキュリティソフトもいらんよ
入れる方のがトラブル増えるんだよな。
必要最低限の機能だけど相性問題とかトラブル起きにくいし無料だし軽いし
ユーザーの選択権が少なくて勝手にやられる事が多すぎ
アンチウイルスソフトなどという詐欺がまかり通るのである
MSはサードパーティのアンチウイルスを締め出すべき
ソース
Windows Update の際に自動でアカウントをリフレッシュしてくれる程の高性能なセキュリティソフトだ
このようなソフトはMSにしか作れないだろう
おま環
コレほんとそうだよね。
どうでもいいようなことに問題ありみたいなメッセージ出して有料化に誘導しようとするし。
パスの守りを固める事を重視する方針で
初期化してもネット接続した瞬間からアダルトサイトにつながるタイプだった
メーカーのOSイメージから初期化して直したけどそれ以来その子はセキュリティとパスに超こだわってるw
痛い目に遭わない限りみんなけっこう適当だよね
>>226のように公式のイメージファイルが有れば戻せるがそうでない機種も少なくない
やっぱ使いづらい?
頭からっぽかよ
Bitwardenがquantum対応だったのでlastpassの代替として使ってたよ
Bitwardenで十分だったのでlastpassはアカ削除してメインがBitwardenになった
LastPassのWE版はFirefox57安定版公開前に公開されたしNightlyは元々サポートしてない
対応遅いという意味なら同意するが空白期間はなかった
LastPassスレでもBitwarden推しのレスはなぜか微妙なデマが多いんで気をつけてくれ
https://mobile.twitter.com/1Password/status/1016710603359096846
ブラウザじゃもう追い付けないから必死だ
FirefoxSyncのパスワード管理がまともならそれで十分な人は多いと思う
Firefoxのサーバー以外選べるかどうかでだいぶ違うけどな
サーバー選ぶくらいこだわる人は眼中になさそう
http://leia.5ch.net/test/read.cgi/poverty/1531626506
http://smart-life.blog.jp/archives/51898943.html
https://www.roboform.com/php/pums/rfprepay.php?dc=PRIME&;lang=jp
最低限のローカルでのパスワード管理機能は使えるのが望ましい
KeePassがFireFoxで自動入力してくれなくなってもーた!
しょっちゅう使うだけにこれは痛い
なんとかすりゃできるんだろうけど、いろいろやってみて断念
一応入力欄にアイコンは出て、それを押すと
「IDコピー」や「パスワードコピー」はできるんだけどね
昔は最初だけ自分でIDとパスワード入れたら、KeePassに登録しますか?
って出てたのにそれもいつの間にか出なくなったし
もう文字通りパスワード管理ソフトとして、いちいちIDとパスワードを
コピーペーストして使うしかなさそう
KeePassの機能でコピペすればクリックするだけだからさほどの手間ではないような。
それでだめならドラッグドロップ。
IDはFxのリマインダーでいいじゃん。
つまりローカルで共有できないってことじゃん
買い切りの意味ねえよ
本当にPC1台でしか使わないならそれでもいいんだろうけど
そもそも1台用はDashlaneとか無料配布してるからわざわざ1password買う必要なし
お前らが騒ぐから仕方なく売ってやってるだけだから
勘違いすんな
個別の機能や使用法などの話があればいい
dropbox使って共有できなくなったの?
銀行のログイン画面なんて超大事な時に
パスワード管理ツールは使用しないほうが良いと思うのだが
普通のサイトの会員登録とかならともかく
フィッシングサイト判別しやすいし二重認証かけてるし、総合的にパス管理ソフトのほうがベターだと思ってる
念のためWindowsからはアクセスしない、最新iOS環境からのみアクセスとか自己ルールも付けてるけど
メモ帳(物理)
加齢という脆弱性が...
その方法が今も主流で一般に普及してしまったからこそパスワード使い回し等の最弱状況が続いてるわけで
ミニPCみたいな副脳追加や機械の体を手に入れるのが最強だろうね
機械の体は病気もなくて普通の生活にもおすすめだぞ
ブラウザには各サイトのパスを記憶させるもんなの?
今まではそうだったけど
ブラウザごとの個別管理か
ツール使って一括管理か
Chromeでログインしてれば一括管理みたいなこともできるがブラウザに限られるからちょい不便
スマホのアプリ類でも使いたければ管理ツール使ったほうが便利
キーロガーなど仕組まれない対策を講じるべきだろうとは思う
でもこのスレにいる人ならば釈迦に説法かな(^_^)
対象ウィンドウの設定は?
>対象ウィンドウの設定は?
設定とはどの部分のことを指すのでしょうか
このアプリの初心者なものですいません
ちなみに、キャッシュ消したり、データ消したり、1回アンインストールしたりしたけどダメだった
お騒がせして申し訳ありませんでした
YubiChallenge使おうとして解除時にクラッシュしたことは何度かある
解除手順を間違えてたのが原因だったので今まで使えてたなら違う現象だと思う
再現方法は忘れた
結局ブラウザに記憶させてるな
どのようなデバイスを使っているかなど前提によるのでは
あんな使いにくいもんよく使ってられるなと
それとオープンソースなので開発中止になりにくいことを期待してる。
公式クライアントだけ見て使いにくいって言ってるのはアホや
公式クライアントだけ見て使いにくいって言ってることにしてしまいたいくらい微妙なんやな
難しいならクラウド型をおすすめする
素敵なこと 管理 して あ・げ・る☆
あと開いたら自動で入力ボタン押さないと入力されないのも仕様なんでしょうか
OSとブラウザとプラグイン類などを明確化した方がいいのでは?
KeePassにURL登録してそれをクリックすれば近いんじゃない?
(好きなブラウザで開くようにもできる)
プラグインで自動化もできるらしいが、デフォではCtrl+Alt+Aで入力するのが基本
全自動入力はリスクもあるし個人的にはワンクッションあるのがむしろありがたい
ログイン画面を使いにくく改悪したAmazon、そういうとこやぞ。
>ここだけブラウザに登録させたった。
そういうことが可能なのか。知らなかった。
どこの国で作っててクラウドしてるのか分からないのと歴史が浅いのがちょっと怖いけれど、
オープンソースなら大丈夫だろうきっと。無料性能が良かったし。
んで友達にbitwarden使ってること言ったら存在自体知らなくて馬鹿にされた。
悔しいのでお前らも導入してbitwardenちゃんを盛り上げるべきです。
俺もそれ使ってる。シンプルでいいよね。
https://gigazine.net/news/20171122-bitwarden/
2段階認証もふくまれるみたいだけどどの方式が無料?
YubikeyとかTOTPは有料っぽい。
> どこの国で作っててクラウドしてるのか分からない
ツイッターによれば米国
https://twitter.com/bitwarden_app
https://twitter.com/5chan_nel (5ch newer account)
https://keepass.info/news/n180910_2.40.html
無料機能の多さと有料でも年10ドルで済むこと。
きっとNSAが裏で出資してるんだろうなぁと思いつつ、
まぁメリケンの盗聴にはどうせ敵わないからいいか。
国家に情報漏れても自分の場合は何も影響が無さそうなのでその方面は心配していないw
で、そいつらはなにを使ってるのよ?
例えばサマリーや備考に書いてあることがメイン画面の下部に表示される所の話かな?自分は文字化けしないなあ
Windows10 1803
Keepass 2.40
keepass translations 2.40+
win10proにしてbitlockerで全部暗号化しようとか
yubikey導入しようかとも思いつつあるけれど、
うちのパソコンなんて誰に見られてもだから何だという他ない代物なのに、
俺はどこへ向かっているのだろう。
あれを掛けてると、PCがちょっと言うことを効かなくなったときにデータを封印されてにっちもさっちもいかなくなる
オレは素人だからそれだいぶ痛い目を見た
無用なセキュリティは掛けないが吉だよ
何とかなるくらいを想定したリカバリー手段は大事だね。
二段階認証導入したての時、ケータイ落としたら詰むことに気付いて
リカバリーには気を使ってるわ。しかしセキュリティは下がる模様。
格安とか使い捨てとか使ってるなら分からんけど
おれのkdbxファイルも毎日開け閉めしてるからネジがバカになった
俺のは文字が薄くなってcとoの判別が難しくなったよ
非UnicodeアプリでUTF-8云々?
ログインパスワードを記憶してくれないみたいなんだが。
二段階認証がOTPタイプじゃなかったら詰むね。
そういうところでは二段階も、二要素も、どっちも使わないようにしてるけど。
俺は2つ以上の方法確保した上でバックアップコードをGPGで暗号化してUSBと外付けHDDとクラウドに保存
もちろんGPGとクラウドのパスワードは覚えてる
たまに自動保存用のバナーが出ない所あるね。
そういうときは手動でコピペして登録してる。
Google smart lockとNorton ID safeで行っているが、Norton ID safeの機
能の方が優先されるみたい。
Google smart lock
https://support.google.com/accounts/answer/6197437
Norton ID safe
https://support.norton.com/sp/ja/jp/home/current/solutions/v63757029_identity_safe_standalone_1_ja_jp
(・o ・)ほぉ!
server "https://passwords.google.com/"; で、各人のGoogle accountにより
パスワードを管理することにより、同一人の利用する複数を端末で使用する
パスワードを同期して使うことができる
顔認証だけだと取り調べの時に捜査協力する気が無くても警察に突破されてしまう。
なもんでiphoneもPCも、指紋と顔認証を二重に必要とするセキュリティ設定が
可能になればいいのになぁ。
iphoneはもう片方しかないから仕方ないけれど、
せめて生体認証+PINの両方を必要とする設定を可能にしてほしい。
PINだけだとそれはそれで簡単に盗み見られるし。
そしてPINを囮用も設定できるようにして、
囮用PINを打てば差しさわりの無い内容しか表示されないようにしたい。
そのためにもまずは彼女が欲しい。
別れる時に指持ってかれたとかありそうだな。
そんな心配ならPINじゃなく長いパスワード設定すればいいだけ(長いPINでもいいが
iPhoneで出来たか忘れたけど、泥ならパスワード完全非表示もできるし
囮についてもアカウント使い分けで簡単に実現可
安易な採用が多いよなあ
一般的なパスワード等と違って生体認証は一生変えられないデータなんだし考えて使わないと今も将来も辛酸をなめることになると思うが
その結果を認証に使うんだよ。保管するのはその特徴データだけ。
ファイルのハッシュ値と思えば良い。アルゴリズムに脆弱性があればアップデートされる。
だから一生変えられないデータという認識は妥当ではない。
IDとPASSWORDみたいデータ流出したところで流用できるものではない
パスワードハッシュが漏れてもそれ自体は他のサービスで使えないが
パスワードが漏れたら変えなきゃいけない。指紋は変えられない
そういうことだよな
生体認証はパスワードの代わりとして使うには都合が悪い
形だけのコピーでは無意味になり長期的には問題ないと考えられる。
なんか具体性なくない?
体温とかも偽指を温めれば済みそう
やるとしたら表皮付近の毛細血管パターンまで透視するとかか
怪我できなくなるなw
30年後でも50年後でも生きてさえいれば今の指紋を使ってるわけだから
原則として変更が効かないものをパスワードの代替にするべきではないだろう
公開鍵やIDのようなある意味補助的なものにのみ使うのが妥当だと思う
利便性とセキュリティがトレードオフなのは生体認証にも言えることだと思うんだがなあ
公開鍵に使うってどういうこと?
公開鍵もパスワード同様、(ペアの秘密鍵が)漏れたら失効しなきゃならんやん
必ずパスワード管理ソフト使えるものなら100桁越えとか最長のにするけど、手打ちしないといけない場面があるものだと何桁くらいで設定するか悩む
パスワードに数字だけ使う場合と、大文字小文字のアルファベットと数字+αを使う場合では必要な桁数が異なってくる。
パスワードマネージャとかwebサイトで使うパスワードは、パスワードにランダムな文字列をくっつけて鍵導出関数(pbkdf2とかargon2)で変換してから保存してる。
鍵導出関数の計算に時間がかかるようにパラメータを設定してあれば8桁ぐらいのパスワードでもパスワードを求めるのに凄く時間がかかるし、
逆に鍵導出関数がsha1みたいな計算に時間のかからないハッシュ関数を使ってると20桁ぐらいのパスワードでもあまり時間がかからずに求めることができたりする。
keepassだとどの鍵導出関数を使っているかわかるけど、一般のwebサイトではどうやってパスワードを保存しているかはわからないから一概に何桁あればOKなんて言えないと思います。
まずオンライン攻撃とオフライン攻撃では話が別
以下はオフライン攻撃前提
ただし今でも平文で保存してるサイトが結構あって、その場合オフラインもクソもない
https://cleartext.azurewebsites.net/
https://github.com/plaintextoffenders/plaintextoffenders/blob/master/offenders.csv
そして>>354の言うようにどうハッシュ化してるかわからないので、ソルトなしのMD5を前提とする
まず、何桁というよりエントロピーで考えるのが基本
https://www.itdojo.com/a-somewhat-brief-explanation-of-password-entropy/
で、どれくらいのエントロピーがあればいいかだけど、以下が参考になる
http://world.std.com/~reinhold/dicewarefaq.html
これはパスフレーズを使う場合なんでエントロピーの計算法は違うけど、
現時点で78bitあればNSA級の組織以外は突破不可
90bitだと2030頃にそうした組織に突破されるかも
103bit以上なら2050まで安全、ということがわかる
これは現在のスパコンの性能増加曲線をそのまま外挿したらそうなるということ
https://www.keylength.com/
ランダムに選んだ大小文字数字記号だと大体16文字あればよいことになる
逆に、ハッシュ長より高いエントロピーは意味がない
例えばサイトが賢くもbcryptを使っていたとすると、その出力は184bit
これより高いエントロピーのパスワードを使っても、セキュリティは全く向上しない
同様にパスワードマネージャーも、KDFのハッシュ長もしくは暗号鍵の鍵長がセキュリティの上限
なお100万qbit級の量子コンピュータ(ShorじゃなくGroverのアルゴリズム)が完成しない限り
128bitを突破することは不可能なので、実質の上限は128bitとみなしていい
TL;DR 100桁なんて無駄
10文字のパスフレーズで、解読に1万年以上かかるくらいの強度は最低限必要
三井住友銀行とか駄目だ
自己レス
パソコンからフィールド名抜いたらカスタムフィールドでいけた
前言撤回
パソコンからはできるけどスマホからはできん
他も店番かく銀行とか全滅や
https://www.zdnet.com/article/password-managers-can-be-tricked-into-believing-that-malicious-android-apps-are-legitimate/
Password managers from Keeper, Dashlane, LastPass, and 1Password found to be vulnerable, study finds.
と、連絡がありましたが、どうすればいいですか?
うーん、偽アプリが本物と同じパッケージ名で見た目も同じなら、
パスワードマネージャ使わなくても人間だってパスワード打っちゃうよね。
これ脆弱性?
偽アプリが存在しうるプレイストアの本質的課題なんでは?
文科省絡みで前にそんな通達きた。
担当者が原文にない文言を適当におせっかいで付け加えただけだから無視するか、
理論武装して理由をとことん聞き出せ。
「平文で」が付くならわかるが、そうでないなら相手が無知なだけ
まず嫁
普段は気を付けててもPWMが自動入力したなら大丈夫
と思ってしまいがちということだろ
実際フィッシング防止を売りにしてるとこもあるし
それ以上に問題なのは各種方法
(透明化、バックグラウンドに同化、極小化)
でフォームを不可視にしても勝手に自動入力する
しかもInstant Appsにも自動入力するってこと
かつてのアドオン自動入力の脆弱性と同じ
人間ならやらない
なら緩和要素になるか
KeePassのキーボード使ってるんでよう知らんけど
プレイストアから入れた公式なら気にする必要がない問題のような
そりゃあ一生嘆かんといかん(´・ω・`;)
こういうニッチでテクニカルな記事って全然日本語化されないのが悲しい
こういう問題指摘あった際に1passwordとかlastpass とか大手は速攻でコメント返してるあたりはさすがだと思った
Myki PaaswordManagerっていうの俺の他にも使ってる人いる?脱クラウドサーバーで内部的にはP2Pっぽい
PC側のスタンドアロンソフトがないのが癖だけど、二段階認証にも対応してるみたいだしBitWardenやめてこれにした
https://twitter.com/sc00bzt
記号は基本含んでない(左から順に数字のみ、小文字のみ、小文字と数字、
大文字小文字数字、それ+記号2つの模様)けど、長すぎるパスワードに
専門家がダメ出ししてんの初めてみた
500字とかやって安全な気になってる人結構いるんだよね
まあ自動入力ならいいだろうけど、益もないことに気づけ
https://twitter.com/5chan_nel (5ch newer account)
https://twitter.com/solardiz/status/1001083522482925569
>>373
みんながみんなChrome使うかね〜?、と言いつつ周りChromeだな…
Mac、iOSユーザー以外は
個人的な意見だがパスワード預けるなら評判固まるまで待ったほうが…
https://twitter.com/5chan_nel (5ch newer account)
twitter.com/Sc00bzT/status/1040115176081686528
スレ汚しすみません吊ってきます…Orz
https://twitter.com/5chan_nel (5ch newer account)
>逆に、ハッシュ長より高いエントロピーは意味がない
ってこと?
いや、Steveが意図してるのは128bit以上は意味ねーよってこと
つまり記号混なら20字も40字も実質的なセキュリティは同じ、多少のマージンとってもいいけど
もちろんハッシュ長以上は無意味だけど128bit未満のハッシュはもはや使われてないかと
セキュリティは下がるけどロック無しにできるのは本当気楽でいいや
https://arstechnica.com/information-technology/2013/07/how-elite-security-ninjas-choose-and-safeguard-their-passwords/
まあそこまで疑い出すと何もできないのでアドレスぶち込むぜえええ
iphoneはログインすら出来ないしipadはログインはできるが情報が出てこない
異なるデータ見てるとかはない?
焦って書き方が悪かった
ipadはフォルダー名は正常だけどIDやパスが出てこない状態だったが2回目の再起動で直った
iphoneは再起動では直らず再インストールで設定し直したら今の所正常に動いてる
同時におかしくなったのが気になるけど、とりあえず様子見するわ
アカウントに紐付けるpasswords.google.comを使いたくなってきた。
ローカル平文保存よりはまだ気持ち的にマシかなとw
利便性と危険性が同時に上がるけど、OTPまで対応したら完全に移行しちゃうかも
だな。
マスターパスワードとクラウドのパスワードさえ覚えとけば問題ない
keepassを使用しているんですが、CSVエクスポートという項目がありますが、これは暗号化されたCSVなんでしょうか
テキストエディタで開くと文字化けします
暗号化せず、テキストエディタで閲覧できるCSVをエクスポートできないもんでしょうか
win10です
暗号化されてないですよ。Unicodeが合ってないのでは?
そうなんですか
meryというエディタを使っているのですが、
指定したエンコードで変換できない文字が含まれています
というエラーが出ます
メモ帳でも文字化けしちゃいます
解決方法はあるでしょうか
keepassに登録したエントリーが異常で激しくショボいテキストエディタを使えば文字化けするかも
普通のテキストエディタなら問題なく見れる
普通にエンコード選べた筈だけど
csvでエクスポートして、メモ帳で開けるけど、、、
何が悪いんでしょうか
日本語部分だけでなく、英字部分も文字化けします
Excelでもダメですか?
https://www.haijin-boys.com/discussions/1562
Mery以外でもそうらしいぞ
日本語に対応してないんでしょうか。
idmが今でも問題ないのならそっち使いますが、他にいいやつありますか?
>>405
でも文字化けすることもあるし、ファイル自体の容量が0になることもある
なんか安定しないです
idmとkeepass以外でありますか?
それは、OS自体のトラブル?
新しくエクスポートしたらいけました
古すぎ
入れ直さなきゃいけないのがめんどくさい
誰かいい方法があったら教えてほしいorz
これ楽ちんだな
ローカルにDBがあれば、ネットが完全に使えない状態でもPCやスマホで直接開いて中身が使える
クラウド上にDBがあれば、PC環境やOS問わずブラウザだけで手軽に中身が使える
ここらへんは完全に好みだろうな
暗号化されてようとローカルにあるから心配、実体が見えずクラウドにあるから心配、どっちの価値観かで分かれる
天変地異でパソコンはおろか家ごと消滅した場合でも
クラウドならマスターパスワードさえ覚えておけばなんとかなるからな。
これは大きい。
ついでにクラウド型でもローカルキャッシュなどで非ネット環境で使えるケースもある
Keepass、SafeInCloudってところでしょうか?
Lastpass、Keepass、Bitwardenと使ってきて
ロシア製だから、、って言われますが、今はSIC使っています。
SICは買い取りで、日本語化が完璧。ロシア製のくせにYandexDriveは非推奨
にしているところが気に入った。Google Drive等にDBを置くことになるけどね
どれでしたっけ?昔に設定変更した覚えがあるんですが忘れました。
パソコン買い換えて、LIVE5CH をフォルダごと移動したんですが、
設定は移動できないようで困ってます。
アマゾンやヨドバシなどのクレカ使ってるサイトの登録が怖い
ローカルも…だけど…
結局わからない…
Bitwardenは現時点で最強だと思う。
Dropboxで共有できればそれは便利だが、そうしない理由も分かる。
起動時から指紋認証でデータベースに入れるものはないでしょうか
(ストアアプリのKeePassReaderのようなのが理想的)
オフィシャルの指紋認証プラグインだと通常認証後のタイムアウト時のみに限られるので
察しました
自分でも調べような
Bitwardenのサーバーにおけるメリットは
公式サーバー以外にも自分でサーバーを用意出来ることと
オープンソースだから、自分でそのソースコードを確認出来ること
この二点だ
今のとこ未回答の質問レスが複数もあるのに直前のレスしか見えてないとか盲目過ぎりゅ
それにわざわざ全角半角で違いを出してあげたのに注意力ねーのな
煽り好きな人はbitwardenがお似合い
煽るぐらいならお前が質問に答えろよ
対してBitwardenのサーバはパスワードのDBサーバとして機能してんのよ。
なのですが、セキュリティ面でDBサーバーのほうが良いのですか?
BitwardenのサーバーはMS Azureって書いてありますね。
ちゃんと仕事しろ。
MS AzureでDBサーバー走らせてるんだろ。
そりゃ信頼性もバッチリだな。
サーバーのメリットがオープンソース?ソースコード?
どういうこっちゃ
流石にそのぐらいは自分で調べろ
入れ直さなきゃいけないのがめんどくさい
誰かいい方法があったら教えてほしいorz
iOSアプリはIDパスだけさっと登録したくても内部ブラウザでそのURL飛んでからってのがかなり面倒なもんで、そろそろいい加減卒業したい
1passwordもiOS使用中だけどサブスクで躊躇
非常に似てるらしいEnpassと
話題のBitwardenで超迷ってる
ローカルかクラウドで大きな違いはあるが
使用感でどこが決め手だったとかダメとかあったら教えて
銀行も使うしGoogle複垢あるから多要素ログインも安定して自動入力できる方がいい
あとPCでは主にvivaldiでchrome拡張使う
2段階認証は他アプリの予定
長くてすまんが頼む
enpassにした理由
・PC無料でモバイル買いきり。
・DBはローカル保存でDropboxとかGoogleドライブ等いくつかある中から好きなところに設定すれば同期可能。
・ファイルが添付可能。
・更新もそれなりにしてる。
enpassはゆうちょや三井住友のような多段認証にたいおうしていますか?
Enpassにしなかった理由
・インドってなんかイヤ
うーむ
イスラム教徒のかたですか?
あざす。dropbox同期がバックアップにもなるからデカイよね 不満点は全然無い?
>>454
分かりやすいが使用感で頼む
>>456
今は1200円と思う
Bitwardenはまだあんまりいないんかな
2FAをBitwardenと比べることが間違ってるだろ
PCはyubikeyを使ってロック解除
Bitwarden並の自動入力(複数項目を自分で設定)が出来る
これ全部満たせるのってBitwardenのプレミアムだけ?
Enpassは日本語が変で、使ってて気持ち悪かった
多段認証はTOTPに対応。
が、ID、パスワード、メールしか自動入力されないので、そもそもゆうちょみたいな複数フィールドは未対応。
要望はあがっていて対応は頑張ってくれるらしい。
早くカスタマイズ版リリースして欲しい・・・
>>459
>>453 に書いたようにカスタムフィールドに現在未対応なのでそこくらいかなぁ。
自分でサーバ立てるにしてもマジで本末転倒だろ
企業以外に個人でやるやつどんだけいるんだって話
競合他製品との最大違いはオープンソースってだけ
ただそれだけ
なんのメリットの根拠にもならない
PCだとパスワード入力後にTOTPをコピーしてくれる機能があるんだけどね
1Passwordなんて買うんじゃなかったわ。
AndroidでChrome以外も使えたのがbitwardenだったので使ってる
・PC無料でモバイル買いきり。
・DBはローカル保存でDropboxとかGoogleドライブ等いくつかある中から好きなところに設定すれば同期可能。
・ファイルが添付可能。
・更新もそれなりにしてる。
SafeInCloudも同じだね、こっちは日本語ちゃんとしてる
safelnはiPhoneのsafariで拡張機能使えなくてすぐ消したけど今は使えるようになったのかな?
フォルダ管理も出来なくて乱雑になった記憶もある。
昔なので今はどうなったか知らないけど。
日本語がーとかって設定画面の日本語とかほとんど見ることないから気にもしてないや。
あったとして、aaa(bbb)〜のほうにアクセスすると、Bitwardenは両方とも
ログイン候補として出てきちゃうんだが、修正する方法はあるのかな?
SafeInCloudだとちゃんと見分けてくれるんだが。
BitwardenのURLの設定箇所をよく確認しろ。
正規表現も使えるから最強。
実際使ってみたが出来ないな。細かくありがとう Enpass6正式で実装されてるといいね
>>463 サンクス
>>468 GooglePlayのレビューも見たが評価高いね
>>471
試した限りだとGoogleとかOutlookの多要素ステップだと出ない Yahooは出た
銀行もさっぱり出ない。1ステップ構造ならエンターキーで出ると思う
●Enpass
Google垢はスムーズだけど銀行系がフィールド名書換えても無理だったのとブラウザ拡張から編集も登録画面もなんか呼び出しにくいのが自分的に辛い、って理由で乗り換える気満々だったが見送り
●bitwarden
登録が柔軟 ゆうちょもGoogleも問題なし
正直なんだこれ、文句ないや
唯一不満言えば編集開くアニメーション長いな
1passwordはGoogleでパスワード入力してくれてないことに気づいた (エクステンション呼出しが計2回必要)
大人気のくせにちとショック
bitwardenにするわ レスくれた人感謝
まとめ >>451 >>475 >>476
長文失礼
しかもセキュリティを考えてそれぞれのパスワードが異なる
という人は多いはずなんだが。
そういう人には bitwarden がいいのかな?
オプション設定があるんですね。直りました、ありがとうございました
? どんなソフトでも、ID、PW毎に分けられますが
ローカル用のソフトにクラウド用のマスターパスワード
そしてクラウド用にローカル用のマスターパスワード入れておけば
片方忘れてもどうにかなるんじゃないかなと
トレンドマイクロのパスワードマネージャーに変えておいてよかった。
wwww
wwwww
w
wwwwwww
マジレスするがbitwarden
これからモリモリ追加機能拡充されて他のクラウド系は置いてけぼりになる
URIの値が正しければ自動入力可能になると思ってたんだけど違うんかな
俺みたいな貧乏人はkeepassとクラウドストレージ
OTPとファイル添付が有料なのはしょうがないな
添付が有料だっけ
そんなことよりインポートしたデータを自動入力に対応させる方法誰か教えてくれ
移行した人って誰もこれで困ってないんだろうか
ようやく重い腰を上げてググってみたら、すごすぎてわろた。
後発の強み・・・keepassのモダンなバージョンって感じか。
各サービスを使ってみた具体的な感想も参考になるし、
久しぶりに活発になってよかですね。
そうなの?
二段階認証のやり方を解説してるサイトいろいろあるけど
iPhoneは不可って書いてなかったからできるものだと思ってた
違うソフトに移行するんだから多少なりともフィールド名の確認と修正は必要 それで無理だったら新規作成
インポートして全部が普通に使えるのは大昔のサイトかソフトが同じ時だけだと思うが
いやURI修正してもダメなのよ
まあそのままの値でもいけそうな状況なんだけど(新規作成した場合と同じURIでもダメ)
新規作成してやらないと自動で入力する状況にならない
何か方法ないだろうか
つーかURIだけじゃなくて他のフィールド名の事
イマイチ俺が読み取れて無いかもだが
例えばIDパスURLの3点セットしかないやつでログインページが1枚なら自動入力出来るよな?それでも自動入力出来ないとか?
それ以外のログインタイプでうまく行かないならURL飛んで新規やった方が早い、500あろうと本気で引っ越しなんてそんなもんだよ
> 例えばIDパスURLの3点セットしかないやつでログインページが1枚なら自動入力出来るよな?それでも自動入力出来ないとか?
できないのよ
例えるならばGoogleのログインページとかね
新規登録必要なら1passwordに戻るわさすがにやってられん
その1
bitwardenのデータをエクスポートしてみて、
1passwordからインポートした自動入力しないデータと、新規作成した自動入力するデータとの違いを見比べてみる
その2
bitwardenの今のデータをエクスポートして再インポートしてみる
まあ1passwordのカテゴリ使ってたら修正必須やしその労力が嫌なら引っ越しは不向き
csv出力で把握できた
インポートしたデータはfieldsっていうところにURIとして入力されてたらしい
login_uriに移してから再度インポートしてみたら自動入力できるようになったよ
Webのほうで確認しとけばよかったわ、拡張の画面だと違いが分かりにくい
こんな感じで検索したらURLフィールド空欄のものをリストアップできて捗る
>-login.uris:*
だから何?
別にややこしくないけど。
login.uris?
ぼく馬鹿だからさっぱりだ
導入手順のサイトみてどんどん追加してるだけだ
AndroidとChromeの同期されないけどなんでですかね?
バックアップ設定されていない?
時計が合ってない?
LastPassとかと同程度のセキュリティ強度あるんやろか
間違えてデバイス削除してた
すんません
ファイルのエクスポートになるんだよね?
エクスポートであってバックアップではない。
クラウド保存型はバックアップは基本できない物が多いよ。
気をつけねば
これ以外で使いやすいソフトがないから。
Win+Vのやつ
csvファイル保存以外にサーバーダウン対策はあるのでしょうか?
無い。
サーバがダウンすれば使えないし、最悪サーバが復旧しなければデータを全て失う覚悟で使うしかない。
ソフトの方が良さそうな気がしてきた。
自分も消えられたら流石に困るから同じような管理にしてる。
使いたいときに使えないことがあるのも困るしね。
逆にバグを見つけてそれを悪用する奴も出てくる。ってことにはならないの?
オープンハートの心で
これが人生をよりよくする秘訣さ
それを入れるのはセキュリティ的に推奨されないというのをどこかで読んだんだけど大丈夫
大丈夫じゃない。
流石にアプリ側で何かしらのキャッシュを保持してるんではないの?
その仕組みだとネットに繋がってなきゃ自分のパスワード見れないってこと?
俺の勘違いだと思うけどまさかね
ネット接続切っても見れるから、ローカルキャッシュは持ってるっぽいね
サーバー側のデータが壊れた場合の同期時にどういう動きするかは分からんけど
しかしちゃんと設定できたのかわからない
どうやってテストするんだろう
Web保管庫に行ってログインしてみればいいかと
ログイン済みならログアウトしてから再度ログイン
やっぱりKeePassがいつの時代も最強なんだな
あとArgon2にしてもパラメータ変えないと無意味
スマホで開くの遅くなるのが気になるんだよな〜
DBわけてpはコア数の半分強、mはPCで1GBスマホで32MB
tはいずれも12にしてるが、m=16MBでも既存のGPU/ASIC対策には十分
L4キャッシュ(eDRAM)でも128MBの現状ではdm-cryptの1GBはまあオーバーキル
>>536
ランダムな16文字以上のパス使ってんなら不都合ない
ブラウザ以外の一般的なアプリとか、ゲームにログインする時にも使ってみた。
キーコンビネーションで何にでも片手でログイン出来る様になってホント楽だわ〜
OTPも指定できて自由度高いし、ますます手放せなくなった。
穴だらけでいつも修正かけてるアプリのこと?
LastPassの悪口はそこまでにしろ
おっとkeepassの仕様説明はそこまでだ
ありがとう!メモリはそこまで多くしなくていいんだね
kee pass以外でね
https://keeweb.info/
・ウェブアプリ
・オープンソース
・データベースをDropboxで同期できる
セキュリティがわからんけど問題なくて自動入力ついたらBitwarden終了しそう
keepassをwebで表示させるだけのパチモン
自宅のPCに入れて動作し、職場のPCに入れて同じユーザーで認証したところ
503サービス利用不可のエラーになりました。
(プロクシ経由ではねられているのかと思い、無線LAN接続しても同じ)
マルチプラットフォームということで、スマホやタブレットの両方から
アクセスできることは確認できたのですが、複数PCから同一ユーザーというのは
許されていないのでしょうか?
スマホからテザリングでつないだら無事認証しました。
それは職場のネットワークからDBを置いてあるクラウドにアクセス出来ないってことでは?
はい、そういうことだと思います。
職場内の有線LANは当然セキュリティ・チェックが厳しいので
外部から出入りする一般の人にも開放しているセキュリティの緩い方の無線LANでやってみたのですが、
結局同じプロクシ、ファイアウォール経由で外へ出ているのでポリシーで引っかかっていたのだと思います。
自分のスマホでテザリングすれば、そのへん一切関わらないだろうと気が付き、
やってみたらうまくいきました。
ちなみに最初にユーザー認証する時だけ引っかかっていたようで
認証が通ってからは有線LAN経由でもエラーが出ることなく同期できています。
https://pc.watch.impress.co.jp/docs/news/1152413.html
LastPass:809万人
1Password:139万人
chormeIPass:16.8万人
Bitwarden:10.8万人
Enpass:8.7万人
SafeInCloud:6.7万人
だった。LastPass強いな。
有能
悪い奴はLastPassを狙うって事?
既にハックされて流出事件起きてるじゃん。
よく、オープンソースの方がセキュリティ上有利だって話聞くけど
門外漢だからよくわからない
気休め程度なんかな
優位性? ないよ。むしろ危険極まりない。
だってソース丸見えだもん。
ニートおつ
もしくは第三者機関によるセキュリティ監査のクリア
これらが最低条件
その他は気休めにもならん
デベロッパーじゃあるまいし
いちいちソースチェックしてるやつなんかいねぇつーの
その最低条件をクリアしているアプリを教えてくれ
これって全世界で?日本だけ? 逆に言えばPW管理してる奴は稀って事だな。
いちいちソース確認してbuildしてますが何か?
捜査機関がLastpassなどを使ってたから捜査を諦めたなどの報道皆無なのに
血眼になってセキュリティーホールの報告がほとんど無いオープンソースアプリを叩く
基地外?
結局、きちんと精査できる開発者の数だからさ
クローズドはその人数がとても限られるという話であって、
オープンで数も多いからでは良いかといえばそれはそれで数だけではわからない
ただまあ数が多ければ中には優秀なのもいるし暇なのもいるだろうという一般的な話だ
クローズドの開発者が優秀とは限らないしオープンは数の暴力もあるからな
でも数が多くても、その全員が最初の一部分しか見ていないような感じだと、
開発者が数人でも数万人でも同じだよね
オープンの開発者が「わいはここ見るから、おまえはここ見ろ」ってんなら数の暴力はありだが、
実際は各人が連携を取らずに確認するため漏れる部分はどうしてもあるだろうね
それでもオープンのほうが一般的には安全だけれどね
少なくとも>>554のなかにはないんじゃね
利便性の面でメリットを感じて使ってるだけだから
セキュリティがどうのは初めから考慮してないのでよく知りません
もしかしたら他に監査受けてるオープンソースの有名どころがあるのかもな
マイナー市場に大規模なコミュニティは期待できないし
ここにいる自分でコンパイルするおじさんみたいになれば良いと思うよ
セキュリティに神経質すぎるヤツだと金の橋架けても渡らず叩き壊すか王水(=別の不安要素)持ってくると思われる
自由律俳句の傑作
というかオープンソースの最大の利点は、ソースコードの変更点を追いかけて見れる点
変なもの入れられても誰がコミットしてマージしたのかの承認経緯が晒されてることで信頼性を高めている
ちなみに第三者の監査っていう点は企業に属するオープンソース開発者が互いに監視し合ってて
大きなコミュニティであればあるほど問題を発見したら即時対処できる環境になっている
データは自動的にクラウドサーバーにも同期されます。 デバイスがクラッシュしたためにデータを回復する必要がある場合は、
Bitwardenアプリケーションを再インストールしてログインするだけで、データが再同期されます。
あなたのコンピュータ/デバイスに保存されているすべての機密データは暗号化されています。 データは次の場所にあります。
(略)
https://help.bitwarden.com/article/where-is-data-stored-computer/
12日付のブログで監査受けてたわ…
もうこれでいいじゃん
有料でも$1/monthだし
Bitwarden Completes Third-party Security Audit
https://blog.bitwarden.com/bitwarden-completes-third-party-security-audit-c1cc81b6d33
実質export出来るってこと?BW最強じゃん
dashlaneサンは・・・
keeperサンは・・・
問題はサーバー側のデータがちゃんと削除されるのかっていうのと、
サーバー側で復号したデータを勝手にコピーしたりして保存してたりしないかってことだな
それ言われると全てのクラウドサービス使えないんじゃね?
自前のクラウドストレージに暗号化したjson置いて管理できますっていうのが理想って話よ
ラストパスに追いつけるんだろうか
Dashlane パスワードマネージャー
ユーザー数: 1,568,015 人
レビュー: 高齢者にとっては、ありがたい
>>586
KeeperR パスワードマネージャー & デジタルボルト
ユーザー数: 180,128 人
レビュー: コレ無しでは生きていけません( ̄∇ ̄)
使い方面倒臭そうなんだけど
パスワード管理ソフト使ってるとコピペさせてくれないサイト腹立たしいよね
俺はChromeでTampermonkeyって拡張入れてAbsolute Enable Right Click & Copyって
スクリプトをインストールしてる
ZOZOでもコピペできるよ
・クラウド保存でwin,iOS,android各デバイスで使用
・指紋認証でログイン
・ログイン時にSMSで二段階認証(デバイス登録で一定期間省略可)
・複数アカウト(家族間)それぞれと共有フォルダを作れてリアルタイム同期できる
おれならKEEPERを勧める。
おれの家の場合、嫁と義母はITリテラシーがかなり低い。実母と妹は高い。
嫁と義母の各種パスワード類はおれが俺のKEEPERアカウント内で管理して、嫁と義母のKEEPERアカウントに対して共有申請を送信するようにしている。
彼女たちがうっかりパスワードなどを間違って書き換えても、変更履歴からかんたんに復元できるのが良い。
ちなみに、年間課金をファミリータイプにすると8000円弱のはずなんだが、おれの場合は3600円くらいしか課金されたことがない。
ファミリープラン結構高いですね。何で3600円しかかからないのか不思議
バージョン1.1がどーのこーのだから再起動してください
みたいなダイアログが表示されたけどこれはなんのアプリなんだ?
っていつも悩む、変なサイト踏んだか?って悩む
分かりにくいのはお前だけだろ。
はいはい
そうですね
デスクトップ版使ってないから知らなかったけど
フォーラムでも同じこと言ってる人いるね
bitwardenが分かりにくいというバカの粘着が酷くてワロタ。
わかりにくいのは「Bitwardenのアップデート」だね
とても使いこなせないだろ。
5ライセンスで年52ドルになる。高いな。
ちなみにLastPassは6ライセンスで年48ドル。
自分だけがTOTPやYubiKey使えて家族とはパスワードの共有だけできればいいのなら
Bitwardenは年22ドルで済ませられるが
Googleのより重くて落ちる時があるので注意が必要
それでもバックアップができるから背に腹は代えられないかもしれんけど
https://www.mitsui-direct.co.jp/myhp/I04002.asp
ここに自動入力されない
何がおかしいんだろう
そんなにいいのか
一回試してみようかな
アプリまたいだ自動入力できないんだよね
今更だけど全世界のGoogleトレンド検索でもこれと同じ傾向だった
日本限定だと1password > lastpass
アクティブユーザーの割合もこんなものなんだろうな
課金する訳でも無くアカウントを作るわけでも無く利用者集計が難しそう
KeePass2.40のメッセージ画面が出てきたから
KeePass2.40にしたらKeePass互換性がないみたいなメッセージが出てFirefoxで使えくなったんだが…
KeePass2.38に戻した…
今までプラグインとか意識した事なかったからわからんかった…
三井住友銀行なら店番はカスタムフィールドでS_BRANCH_CD、口座番号はS_ACCNT_NO追加すればいける
ローカル保存できて入力フィールドをページごと保存できるものはないですか?
ロボフォームではできていたんですがアカウント作らないとだめだし
keepassはまるごと保存できません
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/120400197/
だからbitwarden自社鯖にしとけと
やってみたんだけど契約者番号のところに半角スペースが入るだけ
契約者番号だとUSRID1とUSRID2かな
知ってるかもしれないけどここ見るといいかも
https://excesssecurity.com/bitwarden-custom-fields/
そこ見てる
パソコンだと出来るけどスマホページだと弾かれるみたい
お役に立てずすまんかった
解説サイトとか全然無いんだよな
みんなデフォルトでできる範囲で我慢してるんだろうか
難しい英語もないし
本来の性能の内4分の1も使いこなせていないと思うw
Android7.0以降だかはOSと連携した自動入力が便利だと思うのだけれども
有効化時にとあるアプリは起動してログインする度に"保存しますか?"ダイアログが出てどうしてよいか対処に困り放置
何か使いこなせてないなあって感じw
手で調整すれば入力されるようになる筈なんだけど、そんな解説は見当たらない
このへんなんだろうなという設定箇所はあるけど、
あとはソースをどう読むかという話になってくる
ワンタイムの入力箇所には何も入力させない方法とかも不明
とんでもない
アドバイス多謝
もう覚えられない場合、管理ツール使えなくないか?
キーファイル式はどう?
目立つところにキーファイルだと判るように置いておいたら当然NG
HDDのどこかにあるファイルの場合、パスワードと同様に忘れる
USBメモリに入れて保管するといちいち面倒な上に、見られたら即特定される
不便な上にセキュリティ下がって何もいいことないように思える
パスワード強度が強ければ大丈夫という認識でおけ?
管理ツールなら自動入力とかしてくれて便利だけど、本質は同じ
不正アクセスしようするのがキーファイルや画像でアクセスできるとはわからず、パスワードいれるかもしれん
例えば標準のZIP圧縮のパスワードはもはや無意味になってる。
U2Fが使えなくても最悪固定パスが使える
あ、でもキーが盗まれたらおしまいか
2、サブフォルダが作れる
3、IDやパス以外にメモ欄がある。
こーゆーのを捜してます。出来れば無料で。
Bitwardenは2がダメだったし、SafeInCloudは3がダメだった。
要するにID Managerのクラウド版が欲しいんです。
勘違いだったらすまんが、SafeInCloudにはメモ欄あると思うんだが……。
テンプレを眺めているだけではメモ欄が無いように見えたけど、
クリックして編集画面出したら確かにメモ欄がありましたし、
そこに記入した内容はセーブ後もフィールド下に表示されるので
3の要件は確かに満たしていたんですが、よく見たら
2のサブフォルダが作れない事に気付いてorz。
でもすんません、ご指摘ありがとうございました。
keeper
もし対応が可能なソフトがあったとして、のちに他のソフトへの移行が難しくならない?
以前にテキスト+zipのパスで管理してた時は、
IDとか以外に住所や電話番号も一緒に書いてた
今はそのテキストのID以外の部分がそのままkeepassに添付されてるけど、
見るのがちょっと面倒くさい
enpass
モバイルは有料だけど
きっちり階層化して分類したいという人には向かないと思うけど。
クラウド同期な時点で無料はムズいと思うけど
RoboFormは一応全部出来て安い方だよ
bitwardenは/で区切ったらサブフォルダになるよ
アプリ/Androidみたいな感じで
KeePath + Dropbox
>ID Managerのクラウド版
OneDriveで同期したディレクトリの中にID Managerを置く、、、は駄目だよね
皆さんありがとうございます。662の発想は目ウロコでした。
いろいろ試してみて、決まったらまたここに報告に来ます。
一理あるけど保存するのはログインパスワードだけではない。
今はRoboFormを使っていてAndroid版の起動時にマスターパスワードを入力しなきゃいけないのがイヤ。
作者さんが亡くなったりしたらどうなるんだろう?
これが気になっているのでメインはmsecure5、サブでenpassにもコピペしています。自分は暗号化したメモ帳しか使っていませんのでコピペで今のところ対応出来ています。
2chブラウザはログフォルダをOnedriveに設定してる。
同期サイト使ってた頃もあるけど面倒だしOnedriveはマウントができるから。
1809ウプデートみたいにやらかしてくれたりもするけれどorz
ローカルでIDM使いつつ終わるときにOnedriveにIDMフォルダごとコピーかRobocopy等で同期するのが安全かと。
2chログみたいに消えてもいいやってものではないしね。
ttps://help.github.com/articles/creating-a-strong-password/
テキストやexcelにパスワードかける方式でも、紙に書く方式でも同じ
安全性はソフトではなく使い方で決まる
管理ソフト使って同じパスワード使い回してたら何もならない
RoboFormからkeeperへ乗り換えた。
Windows版で指紋認証が使えないのが不便。
Android版は指紋認証でログインできるようになったのが便利。
これって銀行口座の口座番号は登録できないんでしょうか
できるとするならどの項目でしょうか
「お支払い」で登録できるSWIFT コードとかは別物ですよね?
もしパスワードを人間の頭で作ったランダムっぽく見える文字列にすると、なんらかの規則性があったりするので暗号学的擬似乱数で作ったパスワードより推定しやすくなる。
パスワードマネージャ使う代わりに暗号化したテキストファイルを使う場合でもパスワードマネージャと同じような暗号学的擬似乱数を使わないとセキュリティが弱くなるよ。
し
まで読めた
元の環境(ID Manager)に一番近いなと思い、これに決めました。
全テンプレートにメモ欄とセキュアメモがあるのも便利でとても満足してます。
皆さんありがとうございましたm(_ _)m。
エロ画像専用HDDの中の、お気に入りのエロ画像1枚ならセキュリティばっちり
エロ画像専用HDDの中の、お気に入りのエロ画像1枚ならセキュリティばっちり
勝手にファイルを書き換えるOS標準画像ビューアで死亡しそう
gmailは海外のサイトで見つけた物を入力してうまくいってるのですが
ヤフオク(yahooどちらでも)がうまくいきません
パスワードがIDから選択し直しで面倒です
{USERNAME}{ENTER}{DELAY 2000}{PASSWORD}{DELAY 500}{ENTER}
{DELAY 200}{F16}{UserName}{ENTER}{DELAY 100}{Password}{ENTER}
どちらもうまくいきません
アフィ注意↓
excesssecurity.com/keepass-auto-type-setting-list
ここ見てやってるけどうまくいかない
ロボフォームが恋しい
単純なID+passなら手動登録できるみたいだけど
どこみてもライセンス入れるとこがない。。
分かる人いませんか?
体験版入れてしまったのがよくないのか、、
漏洩チェッカーも付いたんだな
Win版は内部課金で700円だった
Windows helloとダークテーマ、カテゴリとかテンプレートの編集が対象みたいだね
あまり必須の機能じゃないあたりは割と良心的かも
iCloud経由で同期してみたけど上手く機能してるよ
やっぱ好きなクラウドを選べるってのは気持ちいいね
700円は年末年始のセール価格とのこと
Enpassは掲示板でお願いするとしっかり応えてくれるのが嬉しい。
SafeInCloud Pro 880円→550円
https://play.google.com/store/apps/details?id=com.safeincloud
全部IDとかパスワードなどのフィールドが無いノートになったわ
どうすれば正しくインポートできるか教えて
パスワード生成が単語の組み合わせに変わったみたいで
前のように15文字とかのランダムパスワード生成ってできなくなったんですか?
あー、それがあるのかー
発音可能をオフ
ありがとうございます
気づきませんでした
!
LastPassのandroidアプリの記入動作がここ数ヶ月不安定だわ
時々それがあるので、LPを辞めた
オフラインでアプデして起動しなくなるのと
どっちがマシか
Kypassのこと?
有料だから買うの躊躇しちゃう…
上の日経の記事もローカルストア知らないっぽいなあ
買っちゃったよTouchIDもChaCha20もArgon2も使えて満足
メインはAndroidでiOSはサブだから使い倒してはいないけれど、今のところ何も問題なく動いてるね
Argon2のKeepass2Androidは裏に回りすぎてOSにタスクキルされると、キーファイルの位置指定(記憶しない設定の場合)やマスターキーによるロック解除(指紋使わないなら手打ち)からやり直しになる
Argon2じゃなくてAndroidのミス
そういう軽微な問題の話よ
コンビニかなんかかな
https://keepass.info/news/n190109_2.41.html
まぁ正直に公表した点だけは評価できるが
その点で言えばKeeperより大分ましだな
全員で同じとこに固めて置いとく必要は無いよな
各自で好きなクラウドサービスを利用すればいい
そのクラウドのパスワードは多分管理ツールに覚えさせるんだろうけど、
全部失って再構築する時に、そのパスワードが判らないと取り出せないっていう事態に陥るけど
クラウドのやつはクラウドへのログインパスワードも覚えなくちゃいけないですよね?
しかもクラウドのほうは流出などで強制的にリセットされ変えられちゃうとかあるから、覚えなおさないといけない。
滅多に使わないパスワードを記憶しておくのは人間には不可能
そのクラウドのPWは紙ベース(笑)
それを管理するKeepassのマスターパスワードは長めだが文章っぽくて入力しやすいパスワードにしている
大元が一番もろいのは間違い無いので人のことを非難できないw
何かマスターパスワードを記憶しないといけない場合に、
ランダムなものは覚えられるんだろうか
>>729です
サイトの場合はネットのどこかから常に総当たり攻撃されるようなリスクがあるけれども、Keepassのマスターパスワードはそうじゃないから完全ランダムじゃ無くてもいいかなと思って自分を納得させてますw
後は名前の区切りに記号系のハイフンかダッシュか!で問題ない
かーちゃんとばーちゃんの名前にすれば無問題
ttps://forest.watch.impress.co.jp/docs/news/1164553.html
具体的にどんな点?
重複アイテム削除機能
掲載されたってことだよね。
ちょっと新しいのは平文パスワードがかなり多そう。
https://haveibeenpwned.com/Passwords にパスワード入れるのは
原理の説明では安全そうなのわかるけど怖いな。
自分は1件も漏洩してなかったらしい
https://monitor.firefox.com/
こっちならメルアドだからまだマシじゃね?
素のままでキーボードのショートカット押してる
どれがいいんだろう
同じ、ブラウザの種類も数も問わないし。
AndroidにはKeePassDroid&Dropboxで同期。
今Keepass2Android使ってるけど、どっちがいい?
わざわざ選択しないと入力されないのがあるのは何故だろう
Keepass2Androidは、使ったことが無いので比較できない。
KeePassDroidを選んだのは、単純にロゴデザインがPC版と同じで、
レビュー数が多かったから。
もうKeePassDroidの仕様は忘れてしまったw
大抵は片方に重心が寄ってるんじゃないかと思うけど
それなら同期は手動で必要な時でいいので、リスクとか気にしなくていいし、
簡単だし、選択の幅も広がる
スマホとPCでPWマネージャー使うとクラウド管理せざる得ないかと。
わざわざネット経由させてリスク犯す必要はない
Android:PC:iOS = 5:3:2
くらいだな。職場のPCで個人的なネットサーフィンしている時間入れると。
部屋が個室でマイPCだからKeepass入れてる。
時間的にはAndroidに偏っていても、一日の中でどれも触るからいちいち手動同期はやってられん。
ちょっと面倒だが安全そう。KP2androidだとdbは何処に置くんですか?
自分の中では一番使いやすい。
買い切りなのも嬉しい。
ウィンドウ最大化した状態で終了させると
次起動した時に位置がずれて表示崩れるな
地味にめんどい
逆に言えばそれ以外不満はないくらいには良く出来てる
出来る。アカウントないと出来ないのは課金。
ダウンロードのリンクを進むとMS垢サインインの画面になっちゃうんだが
ほんまやーwサンキュー
●流出で使ってたパスワードは流出してないことになっていたww
参考にはなるが流石に拾いきれないのもあるのは確かだ
インド製な時点で無理
パス管理ツールはBitwarden使ってるけど
セキュリティ関連はオープンソースが必須要件
無知すぎて怖い
オープソースわかってなさそうだな
知ってるわw(´・ω・`)
太平洋戦争でアメリカ海軍が使用していた暗号を日本軍は遂に解読することができなかったが、
それは少数部族のインディアンに伝言ゲームさせて暗号化していたからである
アメリカ海軍の暗号は、解読されなかった殆ど唯一の暗号として記憶されている
暗号化されていないパスワードまで流出って・・・
>>790
君ら自信満々にクレカをスキミングされるタイプやなww
相手の意見を理解しようとしない人がめんどくさいから関わりたくない
あほか
キーファイルと本体を分離できるし、独自鯖リスク考えると
で、同期が面倒という問題に対応する為に、
じゃあもういっそ最初からファイルをネットに置いちゃえばよくね?
どうせネットに繋ぎたい時にしか必要にならないんだから、オフラインでの使用は無視で
という発想にシフトしていった
うちは相変わらず同期不要なので、そんなやばそうなものには手を出してない
Enpassとかの方が安心をだよね
楽をしようと手を抜くことでセキュリティに穴があく
かといって全部守ってはいられないので、手を抜く部分と守る部分を慎重に選ぶ必要がある
パスワードファイルをみんなで同じ場所に置こうという流れは、
新たに楽をしようとしていて、下手にやれば当然穴になる
ちゃんと守れているかどうかの検証はこれから
オープンソース信者は何故それがわからんかね。
破られるとしたらそこだろ
銀行が襲われるのと同じ
銀行は何かあっても保証する仕組みがあるけど、
パスワードは漏れたらそれまで
なんで暗号化されているパスワードが漏れるの?
同期はPCからスマホの一方向のみで、スマホ側でも使いそうなパスワードを登録した時に、
USBで繋いで転送
これで十分だし安全性は一番高い
PC、スマホ1台づつならいいけど
無料でブラウザ上でも動作&クラウド同期も可能なKeePass互換パスワードマネージャー「KeeWeb」
https://gigazine.net/news/20190203-keeweb/
オンライン要素無し、クラウド要素無しで
ローカルのPCで完結してて、完全無料のやつってなんかいいのない?
質問2
今はウィンドーズPCでCLCLだけ使ってるんだが
できたらウィンドーズPC+CLCLみたいな物を
centOSでも似たように使えるやつがいい。
keepassxc
当分keepass+resilio syncで行くかな
それ本気で言ってたら笑えるw
その間抜けな使い方で十分だけど?
頭大丈夫か?w
win、Mac、Androidはいいとして、iOSもresilio sync可能なんかな?
暗号さえ破られなければパスワードは安全なのだから、
あとは単に使い勝手の違いに過ぎない
パスワードファイルは漏れない方がいいけど、漏れても破られないのだから、
そこはあんまり気にしないというスタンス
暗号強度の高さはアルゴリズムによってしか証明できないので、
オープンソースであることは必須
何がおかしいのか答えてみ?
まぁ聞いたところで黙って逃げるんだろうけどw
データ侵害にあった危険なものでないかを
逐一チェックしてくれる「Password Checkup」をリリース
https://gigazine.net/news/20190206-google-password-checkup/
パスワードそのものを比較するわけないだろ
整備杜撰責任不在のオープンソースを盲目的に信頼しているところ
アルゴリズムに長けた集団のクローズドソフト。
アルゴリズムに長けてない奴らがワイワイ集まって盛り上がってるオープンソース。
どっちが強固かな?(笑)
オープンソースなら必ず人が集まるとでも思っちゃってる?(笑)
>>832
ミスった
オープンソースのこと勘違いしてんぞ
プロプライエタリ: 盲目的に信頼する以外の手段はない
>>832
クローズドソースソフトの開発者が必ずアルゴリズムに長けていると信じる根拠は?
よし分かった
これからは喧嘩する前にそのソフトが安全だという証拠を出せ
憶測も願望もなしな
監査レポートをもってこい
https://twitter.com/bitwarden_app/status/1061974567223222273?s=19
https://blog.bitwarden.com/bitwarden-completes-third-party-security-audit-c1cc81b6d33
https://twitter.com/5chan_nel (5ch newer account)
0839名無しさん@お腹いっぱい。垢版
2019/02/06(水) 15:39:06.34これ分かる
今頃突っ込み所満載なのが分かったのか
ほとんどAES/Rijndaelじゃないっけ?
KeePassはTwofish(1.x系列のみ)とChaCha20(2.x系列のみ)も選べるけど
不便もないしこれからも
自称安全ってかww
暗号化方式を使っている>>832がいると聞いて
なんてなwwwwwwwww
20点
???
ほぼ同じものだけど、バックドアが仕掛けられている
という可能性があるので、ファイルをネットに晒すのは危険
ちゃんとした暗号を使っていて、ローカルで管理していても、
キーロガーを仕掛けられると破られる
その収入で多くの社員を雇っているところのほうが安心できる。
うかつに変なことはできないだろうし。
www
俺はDropboxにデータを置いてキーファイルはスマホとパソコンに置いてるんだけど
keepassのマスターパスワードとdropboxのパスワードは違うし
Dropboxのパスワードは覚えていないから突然スマホとPCをなくしたらすべて消失してしまう
キーファイルをどこかにバックアップをとって、DropboxのパスワードもKeepassの別にしつつ覚えたほうがいいんだろうか
皆さんどう管理してるか教えてください
キーファイルは昔のスマホに残ってるの発掘かな
無駄なバックアップは管理ツールの意味も薄くなるからあまり取りたくない
USBか何かにおいておいても良いかも知れないけど
私はスマホとパソコンを同時に失うことは無いと想定し、心の平穏を得ています。
ちなみに KeePass のデータベースファイルを Dropboxに 置き、キーファイルは利用していません。
KeePass のマスタパスワードは記憶しています。Dropbox は PC 2 台とスマホ 1 台で利用中。
それでも気になるなら、USB メモリに格納するとか印刷するとかした上で貸金庫とかですかね?
俺しか知らないルールでそのまま読めないようにしている
それも失ったときのために
絶対漏らさないし忘れない黒歴史の長文の詩を元にパスワードにしたものを
一つだけ記憶してる
黒歴史を絶対に忘れられないって辛すぎないか
ノートPC持ち出しとか?自分はデスクトップなので紛失しようがない
火災とか災害とかも考慮しようぜ
そこへのパスワードをマスターパスワードと同じにしている
但し、サーバーにアクセスするには二段階認証が必要で、
その為に必要な携帯まで失っていたら手が出せなくなる
0863名無しさん@お腹いっぱい。垢版
2019/02/08(金) 04:56:28.22あれはホンマ頭おかしい……
普通はlastpassとか無難なのでいい
>>853
東日本大震災でPCと自宅NASをすべて失った知人を見てしまったからな
そうすれば一個とハッシュ関数の種類を覚えてるだけで仮にローカルの端末をすべて消失してもクラウドにアクセスできるぞ
セキュリティ的にもマスターパスワードが十分に長いからハッシュは不可逆だし多分大丈夫だと思うけど
なるほどその発想はなかった!指摘ありがとう
安全ボケ(?)してるわ…
何か対策してる?
解決案は、二段階認証する時に使ったQRコードなりの画面をキャプチャーしておいて、
パスワード管理ソフトの添付ファイルとして管理しておく
あれもパスワードの一種だからバックアップが必要という認識があればok
二段階認証にAuthyを利用してマスターパスワードを記憶
クラウド上にバックアップされる
認証アプリがカメラ使えなくなってた
また開発者サービスが何かやらかしてるらしい
Authyって結構ユーザー増えてるはずだけどなかなか日本語化しないな
使用するのに問題はないけど
1段階目の認証データと紐付けられたら破られるけど
そこまでのリスクを考慮するかどうかだな
それぞれが独立してないと意味ないんだよな
何か想定していない理由で片方の認証が破られても、もう一つあるから安心
だから、>>873の指摘が正解で、二つ同時に破られるなら二重化になってない
それを辿っていくと、結局マスターパスワードが2つ必要という結論になるんだよな
でもそんなことしてる人は少ない
代わりに、二段階目はマスターパスワードと結びつけずに、失ったら取り戻せない状態にしてるか、
スマホを複数化するか、安全でない方法で管理してるかのいずれか
あるいはマスターパスワードと>>867のやり方を使うとか
マスターパスワードだけは漏れない、という前提で押し進めるしか無い訳で、
使用頻度の低い2つ目のマスターパスワードなんか設定したら、忘れてしまうリスクが高い
それをクラウドに保存してる
携帯は同じ番号で再発行してもらえるんじゃないの?
SMS認証ならそうだろうけどTOTPを失ってしまったら…ってことでしょ
あぁそう言う事か。流れ読めてなかったスマン
サイトが増えてきて最近では複雑なログインパスワードも記憶できるようになったからkeepass卒業しました
素敵やん
大丈夫なん?
キャプチャーでバックアップできるし、クラウドにバックアップしなくても済む
まさかアカウントのパスワードと一緒じゃないよね
Authyのクラウドバックアップは不安
って人はIIJ SmartKeyを使うといい
端末内保存で登録後のバックアップに対応してるから
https://play.google.com/store/apps/details?id=jp.ad.iij.smartkey2
何のガードもなく設定をエクスポートできてしまうなら、それはそれで怖いんだけど
パスワードが必要なら、それはどうやって管理するのかという問題に戻ってしまう
カペルスキーの人はAuthy以上にYandex.Keyを進めてるな
通信不可の場合のみTOTPにすれば楽なのに
まあロシアの会社だし多少はね
Yandex垢のために使ってるよ
Yandex垢の場合6桁の数字じゃなくて8文字の英字で、ログインするときに「パスワードに加えて」じゃなくて「パスワードの代わりに」入力するタイプ、だから他のTOTPアプリで代用できない
もしauthyが洩れても、それだけじゃあ何も出来ないんじゃなくて?
後からQRを表示できるのは確かに便利だけど
エクスポートまではできないから
数が増えてきたら乗り換えるとき一つ一つ再登録するのは怠い
やはりAuthy か適当なパスマネの内蔵2FAストレージが実用的だと思う
ちなみにAuthy以外だと
Microsoft Authenticatorも2FAのバックアップに対応してるよ
こちらは確かiCloud経由で同期される(Android版は知らん)
何も意識せずLastpassに自動生成させて保存
銀行とかは大抵独自の何かを導入してるし
2FA使う為に導入してみるか
メガバンクはなぜ独自なのか?
せめてVIP ACCESSに統一して欲しい。
独自ソリューション(笑)を売る業者と結託して金を流してるから
その独自ソリューションが際立って良い物なら全然構わないんだが。
昔見たときはゴツいやつとかあって嵩張りそうで諦めた記憶がある
孫
アメリカ
amazonは二段階認証を有効にしてある
二段階認証の為のQRコードもamazonのクラウドにある
この場合、PCとスマホを同時に失うと詰むよね
他に電話は無いとすると、QRコードを印刷しておいて持ち歩く、くらいしか無いのかな
2FAがauthyなら大丈夫かな
https://www.itmedia.co.jp/enterprise/articles/1902/21/news073.html
実際に指摘された内容については記事中で触れられていない。使えない記事。
きちんと原典にあたれという親心なのかな?
パスワード管理ツールでパスワードを参照した直後に実行中のメモリ覗いたら
パスワード盗めたヤッターって自慢する自称セキュリティ研究者
あのさぁ…
0939名無しさん@お腹いっぱい。垢版
2019/02/21(木) 15:41:58.41やっぱkeepassはアカンのやな……
メーカーの規模を基準にして信頼するのが良さそうだね
Threat post の記事も読んだけどメモリに自由にアクセスできるならキーロガーでもなんでも仕込めるだろうし、、各ベンダーが反論してる通りちょっとツッコミずれてる気がする
家宅侵入すればハックし放題
>>853
代理店のソフト技研のサイトからも購入できないし、サイトとかTwitterとかソフト技研の動きがピタッと止まってる模様。
契約切れたのかな?
まあLastPassで今んとこ不満はない
これがダメなら、ブラウザのメモリもクリップボードのメモリも覗かれるのでは
同じ記事を脳みそくるくるぱーが翻訳するとなぜかメモリリークの問題になった
人気の複数パスワードマネージャにメモリリークの問題、対処後に利用を
https://news.mynavi.jp/article/20190224-775615/
わろた
これはちょっと酷いね
記事書くのに専門家である必要はないけど、基本的な用語がわかってない
USBメモリ大臣を笑えない
パスワード盗み見されるよっていう当たり前のことをいっているにすぎないんですよね
家に平文で置いていたら火事や盗難に弱いし、
結局はそれをブラウザに入力するんだから、
キー入力やメモリ内容を監視するマルウェアが入ったら終わり
C言語勉強しなさい
あながち冗談でもなくて、平文化したパスワードを
他のプロセスのアクセスを禁止したメモリ領域に置いておけばいい訳で、
そうしてないせいで漏れる可能性が指摘されている
もし、そうしているのに外から見えてしまうなら、それは本当にメモリリーク
メモリリークと言っちゃうのは無能すぎて失笑するレベル
コイツの名前覚えておくか…
ttps://www.securityevaluators.com/casestudies/password-manager-hacking/
Each password manager also attempted to scrub secrets from memory.
But residual buffers remained that contained secrets,
most likely due to memory leaks, lost memory references,
or complex GUI frameworks which do not expose internal memory management
mechanisms to sanitize secrets.
メモリ中のパスワードを原則として消しているけど、
何らかの問題があって消し切れていない場合がある、
その問題の典型例がメモリリーク、ってことだ
パスワードが漏れることをメモリリークと書いてると思ってるのはお前らだけ
これだからネットは相手にされなくなるんだよ
訳文を読めよ
マイナビの記事における『記事』とは https://nakedsecurity.sophos.com/2019/02/21/password-managers-leaking-data-in-memory-but-you-should-still-use-one/ のこと
> Sophosは2月21日(米国時間)、「Password managers leaking data in memory, but you should still use one」において、人気の高い複数のパスワード管理アプリケーションにメモリリークの問題があると指摘した。
指摘してない。メモリリークについては、ISEの調査結果でメモリ中のパスワードを消し忘れる要因の一つとして挙げられているだけで、引用元の記事では全く触れられていない
> 記事では、Independent Security Evaluatorsの調査結果を受け、特定の状況下でメモリリークの危険性があるものの、これらプロダクトを利用して得られることの利点のほうが多いとし
そもそも記事の本題、発生している(とされる)問題の本質がメモリリークだとする書き方は誤解を与えるもので、訳者は何か勘違いしている可能性が高い
セキュリティリスクに関する話題だとすら思っていないのかも
キーロガーが入れられてる以外だったらいいし、システム手帳みたいな
のにマイナンバーカードとか入れて、その他重要事項を文章でメモしたり
しておくのがいいと思う
この先は言わなくてもわかりますよね?
無理やり弁護カコワルイ
本気で書いてたら・・・
システム手帳は鍵付きのものにしないといけないし、
内容を定期的にバックアップして金庫に入れておかないといけないな
メモリリーク(オレオレ定義)
結局KeePassもLastPassも駄目でBitwardenにすればいいってことでいい?
chromeだって漏れるだろうし
メモリリークってメモリを部屋に例えると、でかい部屋があって、本来みんなで分けあって使うところを一人でどんどんスペース確保して他の人が使えない状態にしてるだけだからな?
漏れる漏れないの話じゃないんだよ。
200以上あるアカウントからお漏らししてる5個のパスワードなんて探せねーよ。
( ;∀;)
そっちのほうが危険だろ
感染済PCでExportするわけじゃあるまいし、お漏らしを放置する方が危険
CPU-ZをIntelの新プロセッサと書いた後藤さんぐらい知ってるわよ!馬鹿にしないでくれる!
パスワード管理ツール Part9
https://egg.5ch.net/test/read.cgi/software/1551079734/
ではこっちは埋めよう
パスワード監査 --> 不十分 にあるはず
なんでシステム手帳を鍵付きにしなきゃいけないんだ
dbをパスワードで検索出来ないの?
たとえば4桁の暗所番号なら、結婚するまでは悪寒の実家の電話番号、結婚してからはヨメの実家の電話番号にしていたが。
と思ったが、長いこと使わないとパスコード・パスワード聞いてくるからダメだな・・・
8文字以上で、大文字小文字数字記号必須で、他と違うの使えっていう条件では?
新しいスレッドを立ててください。
life time: 332日 14時間 49分 14秒
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
レス数が1000を超えています。これ以上書き込みはできません。
ニュース
- 【滋賀】いなり寿司を万引きしたとして誤認逮捕され、82時間拘束された女性、涙ながらに苦しい胸の内を明かす… ★3 [Hitzeschleier★]
- 【サッカー】U-23日本代表、UAE代表に完封勝ちで2連勝!日韓戦を前に決勝トーナメント進出を決める [久太郎★]
- 【理研】日本人の祖先は「縄文系」「関西系」「東北系」の3系統か、ゲノム分析で従来の説「縄文と弥生」に疑問 ★2 [樽悶★]
- ロシア出身YouTuber、経済的困窮で「国ガチャ失敗」?嘆く日本人を一喝「給料13万?自分のせいやん」日本を「大当たり」とする理由は [muffin★]
- 築地市場跡地に5万人規模スタジアム建設へ 事業者は三井不動産など ★2 [ぐれ★]
- 大谷翔平を〝見誤った〟北村弁護士が謝罪「大嘘つきにだまされた自分を恥じております」 [muffin★]
- 【実況】博衣こよりがえちえちplate up🧪★5
- 【実況】博衣こよりがえちえちplate up🧪★4
- 【実況】博衣こよりがえちえちplate up🧪★6
- お前ら早起きだな
- お前ら今何色のパンツ履いてるの
- なんかiwaraずっと重くね?