パスワード管理ツール Part10
レス数が1000を超えています。これ以上書き込みはできません。
Nordpassっての使い始めたんだけど、見やすくてキレイなので良い avast はWindows向けにもパスワード単体の管理ソフトリリースしてくれればいいのにな
バンドルタイプしかない それなりに知名度があるところでwindows helloに対応してるところだと選択肢少ないんだよな
PCメインだと毎回のマスターパス入力が億劫になる iosでMiniKeePass落とせるよーになってる Windows Helloって、仕組み的に最初の一回はどうしても
パスワード認証せざるを得ないって聞いたけど、今は変わったんだろうか TunnelBear VPN経由でRememBearとかいうパスワードマネージャーを知った
クマがかわいいとしか言いようがない MiniKeePass、なんかメセージがでるんだけど
詳しく分かる人なんなのか教えて。 >>15
あれブラウザから利用できないじゃん
スマホ除けばWindowsとmacOS専用 >>17
知らん
使ってないからクマがかわいいとしか言いようがない やっぱり安心と信頼の1Passwordがナンバーワンよ Remembearは二段階認証のTOTPが使えるから便利よ
Lastpassから完全に移行した >>21
keepassもアドオン入れりゃ対応してるし。 >>19
1Password がシェア高そうだが、以外と情報が少ないような・・
クラウドサブスクリプションとしての記述が多いが、ローカルでも使える。
というか、前バージョンの機能も互換性を持って包含している。
ただ、あまり目立たないようにして、いずれは切りたいと思っていそうだが。
最初にどこから始めるか決めて、後で追加できる。
クラウドが心配なら、重要なものだけローカルしして併用できる。
ボーと使うとクラウドにされるが、手順が少し重要ではある。 1Password 1年間無料クーポンコード
CANVA20FREE クラウドに保存したって、暗号化されてるんだから、ローカルと危険度は変わらない。
むしろそれで飯を食ってる企業が管理してくれる分、クラウドのほうが安心では。 authyの登録に使用したスマホの電話番号はその後何に使うの?
自分の認識だと2FAをauthyでやるとSMS以外の方法(つまりPCのみ)で認証処理ができる
というものなんだけど、authyの登録時にスマホの電話番号を使うという事は
その後も継続的にスマホを使うんだろうか? あれってSIMカードの情報でユーザーを確認してるんじゃなかったっけ
SMSとかもそんな感じで
電話番号があれば復元できるとか聞いたが
素人でスマン https://www.itmedia.co.jp/news/articles/1904/08/news026_3.html
これ見るとスマホとかハードウェアトークンとか必要無い気がする。
シードから時刻に応じてパスワード作ってるだけで、PCでもできそう。
スマホを絡めるというより、ネットに送信するパスワードがワンタイムなものになる
というところにセキュリティ向上の主旨があると思う。
でもauthyでスマホの番号要求される。なぜだ PCとスマホの両方がハッキングされない限り大丈夫だから、ということか
じゃあPC版authyの存在意義は何だって思うけど 使ってないから知らんけどPC版も端末情報登録して未登録のPCは弾くようになってんじゃないの?
だから最初に登録済の他端末からの認証が必要なんじゃね
authy側のセキュリティであってTOTPの仕組みとは関係ない
利便性重視するならTOTPごと一元管理できるアプリ使うのが楽だぞ
その分リスクは高まるけどな パスワード管理ソフトにTOTP付属してるのがざらにあるけど、セキュリティ的にはちょっと疑問だよな
別の端末で照合するのが本来なのに、単一のパスワードで見れる状態という
バラバラだと不便なのはわかるが >>32
https://blog.1password.com/totp-for-1password-users/
このへんにも書いてあるけど、本当に2段階ではなく2要素を求めるなら推奨しないけど、
ちゃんとパスワードを複雑なものにしていて利便性を求めるならどうぞということらしい みにきーぱすおわこんかよ
のりかえさきさかすのめんとうたな 今どき5chでURLだけ貼って、それをわざわざ踏みに行くやつあるかよ
招待コードなんてケチ臭いのやめろ 招待コードだと本気で思ってるのかよwwwwwwwwwwwwwwwwww 1Passwordに金払うバカ
タダで使うのが正解 >>16自己解決。
KeePassium Password Managerにとりあえず移行しました。 iOSじゃ動かんだろ
まあPCならXCは全部入りな上マルチOS、言語対応でスキがないよな
ブラウザ拡張も日本語対応してて ChromeIPassより分かりやすい そうやって自分に言い聞かせないとやってられないパスワードマネージャー そりゃ月謝払ってるからな
無料のものがある中であえて有料を選んでるワケだし
自己暗示でもしないと馬鹿馬鹿しくてやってられんだろ ちょっと上のレス見れば分かるが1Passwordは無料で使えるけどな 1passって他のパスワードマネージャーと比べてそんなに優れてるん?
ナンバーワン!というからには他と差別化できる強力な独自の特徴かあるっていうことだよね?
mac使いのシェア取ってるとは聞くが具体的に何がどう凄いのかがあまり見えてこない
無料のまま制限解除する方法もよう知らんけどそこまでしてどうしても使いたいようなアプリなん?
それとも無料で使ってることをドヤりたい奴が優越感得るために繰り返し書き込んでるん? 〜がナンバーワン!っていう定型句はネタだよ...... >>48
俺は使ってみて消した
理由は覚えていない Linuxでおすすめのパスワード管理ソフトって何かある?
といってもLinux使いこなせるレベルの人ならもっと別の手段? おすすめかは知らんが KeePassXCは使えた
本家Keepassは日本語が文字化けした >>55
> 本家Keepassは日本語が文字化けした
wineで入れた場合なら文字化けしたけど、ppaから入れると文字化けしないよ
バージョンアップに若干ラグあるけど aptじゃなくてsynapticパッケージマネージャーから入れたような記憶
wineは使ってないが .kdbxの元データはwinで作ったやつだからそのせいで化けたのかも
XCのほうはなんの問題もなくwin版と同じように使えた なぜKeepassをwineから入れるのだろう・・・・・ 自分(>>57)も .kbdxの元データはwinで作ったやつそのままだけど文字化けせずに使えてるな
環境にもよるのかもね
ちなみにLinux Mint Cinnamon 19.3 未だにLastpassの有料版ユーザーだけど、Android版で日本語をGboardにしていると反応しない。
ので、Gboardにも対応してるものに乗り換えようかと思ってるけどおすすめはある?
因みにapple製品は使ってないのでWindowsとandroidで使えれば大丈夫。
年間3000円くらいなら払ってもいい。 追加。
2FAのLastpassのauthenticatorは便利に使ってるので、乗り換えるとしたら、これの使い勝手以上の2FAがあるものがいい >>66
あれはなかなか使い勝手が良いね
俺はPCの指紋認証の使い勝手が悪いのと料金でロボに移行したけど >>68
それGboardでもパスワード自動入力できる? ペーストうまく行かない問題は泥のバージョンによるものっぽいので
環境ちゃんと書いたほうがいいよ あと泥8以降だと自動入力方法がユーザー補助使うやり方からオートフィルに変わってたりするんでそのへんも調べたほうがいい LastPassを使うのはちょっと怖い
あそこの会社のセキュリティは信頼していない LastPassって情報流出事件があったよな
他になにかあった? もうLastpassは使ってないわ
そのTOTP認証用のアプリだって、初期にセキュリティ上の問題があることが指摘されて後から慌てて修正したんだぞ
数年前の選択肢があまりなかった頃とは違ってパスワードマネージャーは他にも優秀なのがたくさん出てるのに
そんなものをありがたがってる
無知って怖いな 無料はKeePassとBitwardenが利用者多い
WindowsはKeePassXC
androidはBitwardenが使い勝手良かった ありがとう!
KeePassはいいイメージないからbitwarden調べてみるわ 俺はBitwardenに良いイメージないなあ
と言ってもアカウントが必要な奴が嫌いなだけでこれ固有の話じゃないが Bitwarden は運営母体がよくわからないから無理もない
Lastpassは身から出たサビ このスレにたどり着く層ならやっぱりkeepass安定 bitwardenはオプソということで絶賛されてるんかね
実際使ってみたら機能やUI的には無難ではあるが飛び抜けて良いところがある感じでもないというか
keepassから移行したい理由は見つからなかった bitwardenはその無難なところが受けてるんだろうと思う
難しいことを考えなくても、
なんとなく触ってるだけで一通りのことができる Keepassも良いとは思うけど、初めて使う人にとってとっつきやすいかというと少し疑問が残る そのオープンソースもメンテナーがほぼ一人だからな
いちいちソース確認して使ってる奴がどんだけいるんだか怪しいね
オープンソースのメリットを享受したいなら参加人数は多くなきゃ
ほぼ個人でちまちま開発してるものはまぁ一応ソース見れますってだけじゃん 1Password1年無料だからWindowsで試したけど
chromeと手動ログインで自動保存ポップアップしないサイト多いし
独自ビルドfirefoxでアドオン使用不可とか自分には合わないな >>90
書いた後に気付いたから訂正
アドオン2種類あるけど
1Password Xは独自ビルドFirefox使用可
1Password 拡張機能 (パソコンのアプリが必要) は独自ビルド使用不可だった
1Password Xでも自動保存ポップアップ出なかったけど、ログインフォームから手動保存は出来た
ブラウザ閉じるとマスターパスワード入れ直しになるのが欠点 BitWardenのDockerコンテナでホスティングしてるわ
外からアクセスできないから外出時は更新できないけど、逆にハッキングされる心配もないし、それ以外の使い勝手は満足 Winのみの時はKeePassで問題なかったけど、
iOS、Androidと増えたらKeePassの選択は消えた。
色々使ったけどEnpass買い切りで落ち着いた。 >>97
え?
マルチOSがkeepassの強みでは? むしろスマホ使い始めてからkeepassに移行したわ >>98
iOSでは糞すぎて使い物にならなかった。
拡張機能にすら対応してなかったからね。
今は知らんけど。 Keepassならstrongboxかkeepassiumがオススメ
特に前者はアップデートにも積極的で好感持てる
アプリに鐚一文払うまいと鉄の掟を持ってるやつは
iosではKeepassは諦めたほうがいい iOS,Macは確かに微妙だね
泥窓派ならKeepass一択だけど AppleはOSSのアプリ公開するだけでも金取ってくるからな
たとえ1円も稼いでいなくても
だから無料で便利なアプリが増えない Bitwarden_rsを立ててみて、一度だけGoogleTitanKeyでの認証がうまくいったんだけど、
Dockerを再起動したらError:2で使えなくなってしまった。
しかもChromeだけで起こるぽい。(他PCのFirefoxでは普通にいけてる)
何か解決方法ありませんか? 数年前にこのサイト見てLastPassからBitwardenに変えたわ
【SSS】将来を考えたパスワード管理ソフト・アプリの選択
https://excesssecurity.com/choose-password-manager/ やりすぎセキュリティは文字通りやりすぎなきらいあるしセキュリティ重視偏向が読んでて疲れるので
話1/3程度に見てるわ というか日本語不自由なところがたまにあって混乱する
セキュリティ分野の専門家かと思いきやトンチンカンなこと書いてることもあるし
あんまり真に受けないようにしてる ネットセキュリティブログ の人もそうだがタイトルがセキュリティな個人サイトはいい印象ないわ セキュリティオタクだろ良い意味じゃなくて
パスワードとかセキュアとか突き詰めると、人間の秘匿したい感情が最高潮になって行き過ぎになるんだよ
窓や扉に何個も鍵掛けたりしちゃう
からくり屋敷みたいなもの >>109
これ
やりすぎセキュリティは素人が書いてるからな IIJ SmartKeyはこのスレでは人気ないの? >>110
でもちゃんと役立つ情報も多いぞ
そりゃあ専門家には敵わないだろうが、そもそも専門家は説明なんてタダじゃしてくれないもの >>111
クローズドソースな上に昔脆弱性あったし >>112
あんなの読むだけでバカが移るぞ
ありがたがってるお前も既にバカになってる 高木浩光のTwitterや日記とか?
>>105のよりは確実に専門家だからためになるぞ セキュリティ界隈の情報なら高木浩光・徳丸浩・上原哲太郎・楠正憲あたりをフォローしとけば大体間違いない 最近は、2段階認証が標準になってきてて本当面倒だな… >>122
専用アプリに表示される6桁番号を入力するみたいなタイプは面倒だね
Microsoftのやつみたいにスマホにプッシュ通知されてタップするだけとかならばいいんだけどね TOTPはPCでも管理できるからいい
googleの複数の登録端末のどれからでもワンタップでOKになる奴も手間かからんからいい
yahooでことあるごとにSMS認証飛ばして番号打ち込ませるの本当嫌 YahooもTOTP使える
SMS認証に戻る事も無い あれ専用アプリじゃなくてもTOTPキー入れればいけるんだよな Yahoo! JAPAN、SMSじゃなくて、普通にTOTP登録できるよ
設定するとき、あたかも専用アプリじゃないとできないように説明書きされてて、実際にQRコードをAuthyやGoogle認証システムで読み込んでもダメなんだけど、キーを打ち込めば出来る >>125,128
いやTOTP設定してるのにSMS発行されてしまうんだよね
おま環だろうか 説明は参考にならない部分もある
操作方法はちょっと参考になる >>134
回数ベース?
時刻見ないでいいからYubikeyとかでも対応できるよね >>124
これに通じるけど、NTTドコモもTOTP対応してくれないかな。
いちいちSMSみるのめんどい。
常にスマホが手元にあるとも限らないし。 2FAで、普通のQRスキャナで読み込むとか、それくらいの知恵もない奴にあれこれやらせても却って危ないだけだろ。 機械に疎い人間も普通に回線契約してるからな
パスワードがわからなくなってログインできないっていう電話でパンクするだろう そもそも今の2段階認証って、複雑なパスワードを管理できない素人のために用意してる面が強いし、
そんな人たちがスマホアプリでTOTPなんてできるわけがない >>139
そのとおりだと思うけれども
それらの人はこのスレ住民とは関係無い人達だね TOTPの仕組みって10年もたずにすぐ廃れそうな気がするんだよな
セキュリティ的には良く出来てるのだろうけど、手間が多いもの
画面のQR読み込んでログインする方式が今後伸びそうな気がする >>141
例えばPCのプラウザ上で何らかのサイトにログインする場合、
二段階認証時にスマホの画面をPCのカメラにかざしてログインするようなイメージですかね?
ブラウザにプラグイン等を入れてやるのかな?
スマホ上でブラウザやアプリからログインする場合はどうなんだろ
そもそもMicrosoftやGoogleのAuthenticatorがタップ一つで二段階認証できるのは自サービス向けのみでそれ以外は6桁番号が必要なのが面倒なのだけれども、
1タップを標準化するには色々ハードルがあるのかな >>144
IIJがSmartKeyでやろうとしてたみたいだけど対応サービスを見たことがない FIDOの生体認証と組み合わせて使えるサービスが早く普及して欲しい。 認証でQRコードからURL踏ませるのは全くセキュアじゃないので中国以外では普及しないかと
標準化されてるFIDOがいずれ普及すると思うけど、(特に決済で)顔を使うのは
個人情報保護の観点で問題視されてるからEUやアメリカでは普及しないと思う
決済以外の単純な認証でなら使われることは増えるかもしれない 生体認証はIDの方で使うのはまだいいけど
パスワードの方に使うのは変更できないハードキーになっちゃうからうまくないって話だよな 変更できないハードキーになりえるっていうのが最大の懸念だね
欧米で一番問題視されているのは、中国のような政府が主体となって顔認識の情報が集められ
法執行機関とも連携して行動監視と治安維持の方面でも利用されるようになってきてること
変更できないっていう特性に法執行力、それにAIカメラを使ったスマートシティのような
複合的な行動監視可能な仕組みとが組み合わされると、監視する側にとてつもない権力を
与える装置になってしまう 生体認証に関しては静脈認証あたりが無難なのかねえ。
中国みたいな国で生体情報と個人情報を結びつけられると同じかもしれんが
それを言ったら生体認証自体使えなくなるし。 最近のデジカメ高解像になったから写真に向かってピースをしたらそのピースした写真から指紋を盗まれて
指紋認証を突破できるとか…もう指紋認証は足の指にするしかないな! テキストファイルに各サイトのアカウントとパスワードを記録して、7-ZipでAES-256暗号化すればパスワードマネージャーと同じ……と考えています。
皆さんにお聞きしたいことがあります。
●マスターパスワードをどうしておられますか?
使用できる文字数96なら39文字のマスターパスワードを設定すれば、AESの鍵長256bitをフル活用できて、パスワードファイルそのものを盗まれても安全というのは理解できます。
しかし、ネットにアクセスするときに毎回39文字のマスタパスワードを入力するというところでやはり無理だという気がします。かといって8文字のマスターパスワードは無いのと同じ。
●パスワードファイルを保存する場所についても、どう考えておられるかお聞きしたいです。
GoogleDriveやOneDriveに保存するのと、PCのHDDに保存するのとどちらが安全なのか?
ストレージサービスなら1回のログイン試行に遅延がある(総当たり攻撃の1回の試行に時間がかかる)ので、こちらのほうが安全な気がしてきました。
ストレージサービスと手元のPCとの通信はAES-256で暗号化されているので安全のはず。
結局、ストレージサービスそのものが乗っ取られる危険と、手元のPCが乗っ取られる危険のどちらが大きいかという話になるかと思います。 テキストファイルを自力で暗号化する方法なんて、スマホでアクセスしにくいし、
開くたびに復号されたテキストファイルがテンポラリフォルダに作られるだろうし、
そのファイルがちゃんと自動で消されるとは限らないし、
おとなしくパスワードマネージャーを使った方が楽では >>155
そこ自分がそうやってるだけということで勘弁してください。
疑問はマスターパスワードの話とパスワードファイルの置き場所です。
パスワードマネージャーを使ったときと共通する問題のはずです。 Enpassいつのまにかぼったくり価格なってたから選択肢から外すわ テキストファイルでの管理については話の主旨じゃないのでマスターパスの管理に絞って返答すると
前提:win10 でKeepassXC使用
マスターパスワードをopenssl(win10標準で入ってる)でAES暗号化してローカルファイルに保存
マスターパスワードを開くためのパスワードには PC名+ユーザー名+PCのシリアル番号など(コマンドラインツールから取得可能な)ハードウェア情報の組み合わせ
これをスクリプト(autohotkey)で取得してマスターパス複合化、KeepassXCのダイアログにsendするまでをキー1発で自動化してる
スクリプト読まれたら方法論は解析されるけどパスワードにアクチ要素入れることで環境変わったら復号化できなくなるのでいいかなと
泥タブ(指紋認証なし) keepass2Android
Macrodroidでアプリ特定してマスターパスワードをペースト
(自宅以外の場所では簡易ダイアログを出してワンクッション置く)
こちらはPCと違いマクロ編集画面かマスターパス丸見えになるので
対策としてMacrodroidの編集画面にもパスをかける
なおこれらは入力を簡略化するためだけの措置で基本テンポラリ扱い
マスターパスワードは自力で覚えていられるものが前提 マスターパスワードは記憶できてバレにくい文章的なもの
スマホで使うことが多いのでパスワードマネージャーアプリの指紋認証にお世話になりっぱなし >>154
どういう脅威から守りたいかによるよね
39文字までブルートフォースでパスワード解析なんて、テロリストとして捕まるレベルの犯罪犯さないとFBIでも予算降りないだろうし、家族やスマホの紛失から個人情報を守りたいなら16文字もあれば十分すぎるだろう
一方でマフィアや日本の警察に捕まった場合は自白するまで拷問されるからパスワードの強度は関係ないかもしれない
スマホなら毎回マスターキーを入力せずとも指紋認証でロック解除できるのもあるし、PCでも2要素認証できるツールを探せば楽できる仕組みはあるだろう
ファイルの保管場所も自分で分析してる通り利便性と安全性、脅威がリモートの攻撃なのか物理的な泥棒なのかを天秤にかけるしかない
どちらの質問もどういう脅威からパスワードを守りたいのかを整理する必要がある 成り立たない前提を立てて質問とかアホ過ぎる。
パスワードは分かってしまえば突破されるから長さが重要だけど、
パスワードの長さと暗号化の強度は関係ないよ。 >>154
聞きたい事の具体的な内容が不明瞭で答えにくいとしか言えん
答えてくれてる方もいるけど出来れば他の人にわかるような質問にしてみたら?
流れの早いスレなら絶対無視されてると思うわ
ちなみにパスワードファイルが何なのかわからんが保存してるのはローカルだ
俺の環境だと手軽かつ連携もほぼないうえにセキュリティ的には一番安全だからな セーフインクラウドを購入したのですが、イマイチ使いづらい。トレンドマイクロとかに変えたら使いやすくなりますかね?でも一台しか認証できなかったら困る 情弱にも程がある。
パスワードマネージャー おすすめ とかで検索して片っ端から試さんかい
でもこういう人を喰いものにしてるのがトレンドマイクロなんだよな
涙出るわ トレンドマイクロがそんなこと言われる時代になったのかぁ・・・・・ >>165
PC1台のみなら無料で使い勝手いいロボフォーム
スマホでも使うなら下記のどれかで初心者にKeePass系はすすめない
KeePass
Enpass
Bitwarden
1Password >>169
情弱に答えてやる必要はない
知りたきゃ金出せ。
そのへんの雑誌でも適当に買え。 >>171
お前みたいなゴミは少しは役に立つこと書いて、人様の役に立たんかい 屑が(笑)底辺過ぎるw >>170
keepassでも取っ付きにくいのは本家くらいでXCあたりは普通に使えないかな初心者でも
最初から日本語だしプラグインとか面倒なのもないし パスワードマネージャーはトレンドマイクロ一択
トレンドマイクロが商標押さえたから
他の会社や団体の「パスワードマネージャー」は
1つも存在しないからね >>178
PCだけならXCは使いやすい方だと思うが
PCとスマホでアプリ統一出来ないのが欠点 補足でPCとスマホのデータベース同期初期設定も面倒
キーファイルあるから使ってるけど セキュリティ的な問題はもう大丈夫だろうとLastpass使い続けてるんだけど
スマホアプリは日本語なのにMac版とweb版がいつのころからか日本語が無くなったのが気になる。
そろそろ課金切れそうだから他に移ろうと思ってるんだけど、
Lastpassからパスワード以外の情報も移行できるサービスってある?そもそも存在しない?
Dashlaneだけは試したけどパスワードのみだった。 >>183
Lastpassからの移行に対応してるPMをいくつか見てみたけど、インポートはどうしたってLastpassのCSVファイルを基にする形式だから、パスワード以外のデータを移すのはどれを選んでもある程度は手作業になってしまう
Excel経由して整形し直してからとか、ほんとに地道にコピペして確認しながらやったりとかしたほうが良いよ KeepassXC丸一日弄ってたけどエントリーを右クリから自動入力を実行をやるとアクティブウインドウに対して入力されるからひやひやなんだが
特定のブラウザかつ特定のURLに指定できないのか あ、いやグローバル自動入力もそのアドオンも使えてるよ
ただ右クリから自動入力を実行すると誤爆するから気持ち悪くてもやもやする
この機能の存在意味がわからない >>181
iOSはしょうがないとして
PCと泥に関しては開発元が一緒じゃなくても連携に困ることはそうないような
XCもkeepass2androidも他所で更新された時のマージ機能あるから
マスタをonedriveなりgoogledriveなりdropboxなりのクラウドに置いて運用するぶんには同期は取れるし
ここまで書いて思ったがパスワード管理ソフト初心者ではなく
PC初心者って意味かな
ならたしかに厳しいかもしれんな >>194
昔のシェアウェアやパッケージソフトなんかはインストール時にシリアルやらプロダクトキーやら入力させるものが多くてな
古くからあるパスワード管理アプリはその手のものの管理や自動入力ツールの側面が強かった
たしか操作する対象のウィンドウを限定することもできたはず >>198
そこにはLasypassのAuthenticatorの様な使いやすい2FAアプリはあるの? >>198
そこにはLasypassのAuthenticatorの様な使いやすい2FAアプリはあるの? ありゃすまん。なんか書き込み遅くてtimeoutしてたのに書けてた 1Passwordもいいんだけど、日本語対応が弱いから、英語が苦手な初心者には厳しい >>190
試して頂いたみたいですみません。ありがとうございました。どれも地道にやるしか無いのならすっきりしました
bitwardenてのおすすめしてたサイトを見たので、試してみようと思います 2FA
パスワード管理ツールへのアクセスはいるとしても
そこで管理しているパスワードを使っているサービスへはいらなくない? >>205
2FA無しでサービスからIDパス流出すると不正ログインされる
2FA設定出来るならした方がいい 1Passwordがナンバーワン!1Passwordがナンバーワン!
1Passwordがナンバーワン、 >>203
これなー
中国方面から来たフィッシングやスパムのメールでよく見る
機械翻訳調の怪しい日本語UIが唯一残念なところ >>208
そのサービスからIDとパスが流出するとしたら
そのサービスの責任だし
TOTPの番号を出すためのキーも流出してるのでは? >>211
アドレスのところに住所と書いてあるし、
アプリの動作を知らない翻訳者に丸投げした感じ >>158,160,161,162,164
ありがとうございます。
頂いたレスについて考えていたら遅くなりました。
まさに欲しかった情報です。
●指紋認証
指紋認証は1万人に1人の頻度で他人でも通り抜けてしまうらしいので、4桁の数字をマスターパスワード代わりに使っている状態ですね。またパスワードファイルそのものが盗まれる事態には対処不能。
●2要素認証
マスターパスワードが破られてもパスワードファイル自体が盗まれていない状態なら有効。典型的にはパスワードファイルがリモートにあって、リモートのサーバの管理権は奪われていない場合。しかしそのような仮定が置けるなら長いマスターパスワードを設定する必要もない。
●どんな脅威からどんな情報を守るかを整理
つまりパスワードマネージャーに格納するパスワードと格納しないパスワードがあると。本当に重要なものはパスワードマネージャーには格納しない。マスターパスワードは格納したパスワードを守るのに十分な程度のものを設定する。
生活で発生するあらゆるパスワードを単一のマスターパスワードで守るということはやらない。パスワードマネージャーの宣伝文句はこれなんですけどね(笑)
●自分の対策はクラッカーには読まれていないと仮定する
> スクリプト読まれたら方法論は解析される
どんな方法論でマスターパスワードやパスワードファイルを隠しているかをクラッカーに予測されているとアウト。
スパイウェアが取りあえずでもPCのシリアルナンバー等を取得して遠方に送るというのはあり得ますね。 ●マスターパスワードは覚える
> マスターパスワードは自力で覚えていられるものが前提
> 家族やスマホの紛失から個人情報を守りたいなら16文字もあれば十分すぎるだろう
16文字のパスワードを記憶したり毎回入力したりはかなり困難かなあと。
●ローカルとリモートはどっちが安全か?
> ちなみにパスワードファイルが何なのかわからんが保存してるのはローカルだ
> 俺の環境だと手軽かつ連携もほぼないうえにセキュリティ的には一番安全だからな
なぜ安全なのか?
と考えてみましたが、ローカルが乗っ取られたらどうせリモートも乗っ取られるから……? もうね、ヘタな考え休むに似たりとはこの事。
中途半端な理解しかない奴は、信頼できるプロの言う通りやってろ。
考えなくていいわ。 「オレ気づいちゃったんだよね。
テキストファイルを暗号化すればパスワードマネージャーとおなじだって(ドヤッ)」
「オレまた気づいちゃったんだよね。
2FAはパスワード管理にだけ使えば十分だって(ドヤッ)」
「最後にオレ究極の考えに達しちゃったんだよね。
クラッカーの考えの斜め上を行く対策があれば、最初から勝負にならない。
オレの独創的な対策は破られる事はないんだって(ドヤッ)」 >>213
1Passwordの中の人間と会話したことあるけど、たぶん外に投げずに中の人間が機械翻訳でやりくりしてる
日本語で帰ってきたメールが機械翻訳だったから > 指紋認証は1万人に1人の頻度で他人でも通り抜けてしまうらしいので、
> 4桁の数字をマスターパスワード代わりに使っている状態ですね。
1人の人間が1万個の指紋を試せるわけではないので、
パスワードを1万回試すのとは強度が違う。 >>222
クラッキングするとき本当の指紋は要らないんじゃないですか? >>221
サポートは確かに中の人が翻訳サイトでやってるっぽい。
ヘルプやFAQも基本的には英語だし、初心者にはちょっと推奨できない。
UIのほうは、バージョンアップ履歴に
Updated translations from our Crowdin translators.
などとあるから、Crowdinというサイトを使っているんだろうか。
でも、アドレスを住所としたり、メニューがぶれていたり、
日本語の表記をちゃんと検証できる体制がないんだろうなと思わせる。 ずいぶん荒れてきたなー!
昨日のアホが根に持ってスレに棲み着いてるし、テキストファイル云々の素人はご高説を垂れるし、よっぽど暇なんだな
お前らなんかわざわざクラッカーが狙う価値もねーわ(笑) KeePassXC-Browserのカスタムフィールドでチェックボックスが無視されるけどどうにかならんかな でもでもだっての人が誰と戦っているのか知りたい。もしかして名のあるテロリスト?
クラウドに暗号化ファイル置く人は、ストレッチ数を設定出来る実装を使ったら安心では? ここはパスワード管理ツールのスレであって
何があっても絶対破られない完璧なセキュリティ運用を模索するスレではないからなあ
まあそもそもツール使わないでテキスト暗号化運用の段階でスレチだったわけだが
堅牢性と利便性のバランスを語る議論なら個人的には興味あったんだがな 次はエクセルを暗号化すればOKじゃね?の話題です。 完璧なセキュリティなんて人間には無理よな
守る側も破る側もみんな考えることは同じなんだから
考えすぎない方がいい PWマネージャ→スーパーハカー
物理メモ帳→泥棒・火事
自力記憶→拷問
一体どうすればいいんだ >>233
足の裏に油性ペンで書いておく
ち○こでも可 専門家の言う通りやっておけ。
独自対策とかクソ。
秘密のやり方なら大丈夫って考えは悉く失敗してきた。
方法はバレバレだって前提で対策するのが当たり前。
独自って事は誰も検証してない。
アホみたいな穴があったりするし、
実際のところ他人が想像もつかないような独創的なものをオマエラが思いつくわけないだろ。
単純なものならすぐに悟られるし、複雑なら自分でも忘れてしまうからメモや何かの痕跡を残しちまう。 >>233
拷問までされるようならどのみち手遅れだろwwwどこの国のスパイだよwww いつの間にか高貴なスレになったな
下級国民だから恥ずかしいわ 1password3年版買ったよ!
FIDO使えると思って買ったのに企業向けじゃないと使えないのね
トレンドマイクロ気になってるんだけどどうなんだろう めちゃめちゃスレ加速してたからびっくりした
何があったの
さかのぼって見てみるわ 1台のスマホにパスワード管理アプリとTOTPアプリを入れてる状態って、
結局はパスワード管理アプリにTOTPの管理もさせるのと同じ? >>244
アプリが分離しているっていう点で全く違う
情報預けるクラウドがアプリごとに異なるので、一つのアプリの場合だと
クラウドから漏洩した場合にログオン可能な状態で漏洩することになる
スマホそのものを紛失したり、スマホアプリのバックアップをしている
AppleやGoogleのアカウントに侵入された場合のリスクだけを見ると
変わらないように見えるのかもしれない >>245
たしかに、アプリのサーバー自体から漏洩したときのためには、
アプリを別々にしておくメリットはありましたね。
スマホを盗まれてロックを解除されたら、分けた意味がなくなってしまうけど。 スマホ盗まれたとしてもアプリのパスワードをそれぞれ別のものできるぶん強度は上がるしな スマホのアプリでの暗号化って簡単に破られるものなのかな?
簡単だったらいくらパスワードかけても意味ない気がしてしまう。 >>248
とはいえ、指紋認証を使ってるから、
ひとつの指紋を突破されたら両方見れてしまうだろうな その辺は運用上の話なので機能としてのセキュリティの低さとは別なのでは
ユーザーがその気になればセキュリティ完全無視のノーガード運用も可能だしね 自分で運用しろ
問題があれば自分で一つずつ潰していけばいい KeePass系のソフトでiOSだとMiniKeePassを使っていたんだが
メンテされなくなっちゃうらしいので代替を探してる
おすすめある? iosのキーチェーン情報を抜くマルウェアがあったらしいけど、keepasiumとか自動入力する系を利用してるとこれにデータ抜かれる? 解析しづらいと思って全角カタカナを使ってるけどパスワードって2バイト文字は弊害が出る? 2バイトとは限らんと思うが、エンコーディングが固定できるならいいんじゃね? Google Authenticatorがやっと端末間の移行に対応したのか
端末買い換えたとき2FA再設定するのがめんどかったから嬉しい マスターパスは日本語で覚えやすい単語で文章にしてるけど→略語→某国語で表記→英語で表記→記号混ぜてる
まぁPC乗っ取られたら関係ないけど辞書攻撃対策にはなるかなと思って >>264
英語で表記ってのは、日本語の文章に含まれる外来語を英語の綴りにしてるってこと? >>264
自分の場合はPCとAndroidでKeepassだけど
サイトのパスワードと違ってマスターパスワードはネットから辞書攻撃されるものじゃないから覚えやすいフレーズで20文字くらいの英数記号にしてるな
もちろん端末乗っ取りは想定外で >>263
QRでエクスポートみたいだけどこれスクショとってgoogleドライブあたりに置いとけばバックアップにもなりそう? 対応サイトとIDとパスワードを管理分けてしまうという手もあるな。 Microsoft Authenticatorでよくね
Google Authenticatorがエクスポートに対応したらしいからそれでもいいけど
わざわざサードパーティ使う意味が分からん
何か他にはない便利な機能があるのかね >>271
移行の話が出たからバックアップ/移行機能があるAuthyの話が出たのだろうね
運用中における表示された8桁番号を転記するっていう基本機能が大きく変わったりしないのであれば大手のアプリで良い気もする >>271
Authyの利点はPCとスマホ対応、複数端末で同時利用可
スマホ紛失か初期化しても端末間の移行可
欠点はUI英語で携帯電話番号必須 Authy側の主張
ttps://authy.com/blog/authy-vs-google-authenticator/
いろいろ書いてあるけど意味があるのは>>273やね >>273
そんな程度なら他の管理ソフトと同じでしょう? スマホの初期化しても移行可能というのは
つまりIDパスワード認証で復元できるってことか
あ、あとはSMSとかか
それはセキュリティ的にどうなん?
SMSの乗っ取りなんて割と簡単らしいって聞くけど...
それにどうせアカウント作るなら
わざわざアプリを分けなくてもパスマネ内蔵のTOTPでいいじゃん
PCスマホ同時利用もバックアップも一度に解決できるよ ここまで書いて分からない人は
分からないままでいいのでは >>271
Microsoftのやつは、iOSとAndroidの間では移行できないんじゃなかったか? >>278
それだ
確かにOS跨ぐのは無理っぽいね >>263
それってLastpass Authenticator(ながっ)みたいにアカウント登録すれば自動的に新端末に反映するようになったってこと?
なら全部Googleに任せちゃってもいいかなぁ。 >>272
8桁じゃなくて6桁だね
こういう間違いをしながら偉そうなことを言って我ながら恥ずかしいw >>280
そう考えると、Authyが一番管理しやすいように思えるけど、なにかデメリットはあるのかな PCとスマホでニ段階認証が同じってのは、便利に思えて危険なのではないの
特定の単一デバイスで照合するのが前提の仕組みでしょ? 端末失くしたときに不都合って言うけど、そういうときのためにリカバリーコードがあるわけで、本末転倒な気がする 認証要素を増やすことと
漏洩対策は本末の関係じゃなくて別の話でしょ
トレードオフではある 死体をバラバラにして捨てるほど発覚する可能性が高くなる
みたいな話は聞いたことあるけど。 TOTPはseedさえ指定すればいくらでもトークン計算できるんだし
pinのように完全に端末紐づけのローカルパスと同じに捉えるようなもんでもないと思うんだが 初歩的な質問でスミマセン
KeePassXCには個別エントリーのエクスポート機能は無いんですかね? ついに10年以上使い続けたロボフォームアンインストールしたわ
KeepassXC最高だな
垢強制するゴミになったときにもっとはやく乗り換えるべきだった いまだにIDMを使ってる俺もいい加減何かに乗り換えるべきか 精度の高い生体認証が出てきてパスワードから解放される日が早く来て欲しいわ… 俺は手が荒れず指紋が消えないアルコール消毒が普及して欲しい パスワードを置き換えるためには
指紋の更新ができるようにならないとな なんでスマホの指紋認証すぐ使えなくなってしまうん… >>299
通常時の指と、風呂上がってしばらくしてからの指と、乾燥してカサカサの時の指をみんな登録しておくといいぞ
これで認証エラーほぼ無くなった 人によってはそんなもんなのか
4年前に設定したまま、認証できなかったことないな 自律神経バグってるから基本湿ってるけど
Touch IDの成功率は大体10%くらいだよ
はっきり言って全く使い物にならない
少数派なのは自覚してる 冬とか手袋してても解除できないし手袋にも対応して欲しいよね 少し前に定期的なパスワード変更不要!って総務省の方針転換あったけど、ここの住人はもう変えてない? それはあれだね、サイトによるかなパスワードを変えろ、変えろ煩い所はしゃーないから変えたり
この間とあるサイトのパスワードを変えたらパスワードは数字、ローマ字の小文字と大文字を入れろとか言われてめちゃくちゃ面倒になってた…
普段、パスワードに大文字なんて入れねーし……一々大文字とかだるいやろ
まあ最近はパスワードは長さであまり無意味な長い文字だと忘れるだろうから
パスフレーズ、短い文章をパスワードにしろみたいな事言ってな…… Enpass
Sinew Software Systems が Enpass Technologies Inc.に
法人的な住所がインドからアメリカに もうどころか、定期的に変えようと思ったことはない。
変えたくなったときだけ変える。 各サービスのパスワードは自動生成したランダムな文字列
パスワードマネージャーは文章を使ったパスフレーズ >>307
PC環境での話
先程「あなたは90日以上パスワードを変えていません」と言ってくる
某金融系サイトのパスワードを変更したのだけれども
「新しいパスワードは直接入力してください」
「確認用パスワードは直接入力してください」
と出てコピペすることができずランダムな英大文字小文字数字記号混じりのパスワードをポチポチ入力するも
「確認用パスワードが正しくありません」
と言うメッセージと数回戦いながら変更してきたw 今はどうだか知らんが
昔の楽天なんかは新しいパスワード欄はコピペできても
パスワード確認のとこはコピペ不可でポチポチ入力しなきゃならなくて面倒だったな PCブラウザの場合、他の入力欄に書いた文字列を選択&ドラッグしてコピーできることがあるよ クレカ番号を4桁つづ区切って入力させるクソサイトも死んで欲しい。 >>311です
>>313
なるほど
>>311のサイトで試したところパスワード以外の入力欄が無かったので
(1)ブラウザ(Firefox)のURL入力欄に新パスワードをコピー
(2)その文字列を選択し「新しいパスワード」欄までドラッグしてドロップ
(3)同様に「確認パスワード」欄までドラッグしてドロップ
(4)念のためURL欄を削除
としたところ問題無く変更できました
このケースはちょっと危険な気もしますが自己責任で応用してみます
どうもありがとう bitwardenのChrome機能拡張使ってるんだけど、
PCをスリープから復帰させると何故か勝手にロック掛かってることがたまにある
ロックはブラウザ再起動時に掛かるように設定してあるし、スリープする時ブラウザは開いたままなので、
保管庫のタイムアウトの設定が原因ではない
原因がわかる人いたら教えて idm使ってても大丈夫ですか?
また、idmの一番大きい入力欄って何に使うんでしょうか? >>320
IDM ずーと使っていたが、この間 bitwarden に変えた。
使っていても大丈夫じゃない?他はもっと使い勝手がいいけど。
大きい欄はメモ欄だと思っていた。 >>321
どうも
更新されてるのかどうかよく分からんのですよねこれ keepassとbitwardernというのはどちらがいいでしょうか? >>324
PCだけならロボフォーム
PCとスマホならbitwardern
クラウド嫌いならkeepass >>325
クラウドというのはサービス終了したら、使えなくなるんですよね? >>326
サービス終了したら使えない
無いと思うけど、予告無しサービス終了だとデータも消える >>328
サーバーのメンテで消えちゃったとか、よくある話よな
パスワード系アプリ関連じゃいまんところは聞いたことはないが bitwardernとかいうパチものは止めたほうがいいぞ。 >>328
クラウドだけだとちょっとあれですね
ローカルに保存してgoogleドライブに同期などの方法がいいかもしれませんね Bitwarden自鯖が最強
鯖といってもべつに外部から接続可能にしなくても
スマホのクライアントは同期したデータを記憶してるから
帰宅時に自鯖と同期しておけば問題なく使える
Windows10 2004で自鯖建てるのも簡単になったし Rasberry pi で鯖作ろうとしたけど、結局NASで良いじゃんとなって辞めたわ
パスワード程度を納めるんだったら費用と手間に見合わない 自宅のサーバーにデータを保存して怖くないの?
それをさらにクラウドやレンタルサーバーにバックアップしてるならわかるけど リモートにバックアップしてるかでしょ。
災害リスクゼロだと信じてるならいいけど。 バックアップする人は自鯖立てなくてもする
しない人は自鯖立ててもしない >333の用途なら手元のスマホにキャッシュは入ってる前提だから家ごとなくなっても本人がスマホ持って避難してればデータは無事じゃね
津波の中泳いで逃げてきてスマホ水没したとかだとあれだけど
手元に認証端末一切ない状態だとクラウドに預けてても結局引き出せない事態に陥いらんか?
マスターパスワード覚えててもパスワード管理ツールは2段階認証にしてる人が多いだろうし >>339
デフォルト設定なら
更新のあった次の日本時間の9時にバックアップが作られる Bitwardenは最初にアカウントが必要なのが嫌
自鯖だろうが赤登録が必要なのは変わらん >>338
たまにバックアップHDDを実家に送ってる
自宅も実家も両方やられるレベルの震災か戦争起きたらデータがとか言ってる場合じゃないし諦める あ、パスワードデータは容量取らないし暗号化してDropboxに置いてる Google Cloudのアーカイブストレージでよくね ネット上でバックアップ取るよりローカルで取っておいた方がいいじゃないの? 家がなくなったら多分その時は自分も死んでるだろうから諦めるわw backblazeにHDD送ってコピーしてもらいたい。10TBもアップロードするのつらたん(´・ω・`) backblazrはバックアップしたデータを復旧したい時にデータをHDDに積めて郵送してくれるサービスがあるんだけどな
アップロードは無いね Dropboxが自前のパスワードマネージャー出したけど有料ユーザーじゃなきゃ使えないし意味ないなあ Dropbox、長く世話になってるしそろそろ有料でもいいかなって思ってるけどストレージ事業以外パッとしないよね
大丈夫なのかな パスワードは流出するものだと思ってる
どれだけでかい企業でも漏らす
その対策のためにもパスワードマネージャー使ってるんだ >>355
200GB+パスワードマネージャーで月300円とかなら入るんだけどな。
今の2TBのプランは入る気が全く起きない。 漏れる事を前提に考えるとネットに保存ってのはないな…
何年か前にオンラインのパスワード管理のサイトも漏らしてたしな… ローカルのセキュリティと消失リスクと天秤にかけて考えるしか無い。
自分はローカルのセキュリティに自信が無いからネットにも預けてる。 お漏らし前提でのネット保存はもう常識範囲だろう
要はローカル保存も含めて漏れたときの対策をちゃんと考えておくこと
その次にリスクが低い体制のサービスを選ぶこと
過去にやらかして大反省してる所と新規の所のどちらが安全なのかは難しいがw Bitwardenを自前鯖でやればいいじゃん
クローズドソースの1Passwordとかとは違う
流出したら自責すればいい そこまで気にするなら物理メモ帳とか物理付箋とか使うといい ソースを読む暇も頭もないので1Passwordでいいや >>360
パスワードマネージャーからパスワードが流出すると思ってないか? パスワードマネージャーはトレンドマイクロの登録商標だからなあ…
と思って商標検索してみたら、「@niftyパスワードマネージャー」が今審査待ちだった
さてどうなることやら >>366
マスターパスワードを平文で保持してたり、各ユーザーのパスワードファイルを暗号化せずにストレージに置いておくような杜撰な業者もいるだろうし >>367
それ有効なのか?
パスワードマネージャーって一般名詞化してるだろ 調べたけど登録されてるの「Trend Micro パスワードマネージャー」であってパスワードマネージャーではないな 通販サイトやSNSを始め、長い文字列がパスワードとして設定できるのに、
なぜ銀行・証券サイトは軒並みパスワード文字列が短いんだ。 10-20年に一度しかシステム更新しないのと、ジジババの顧客がパスワード覚えられなくなるから
金融関係は積極的にシステム改修してうっかり障害起こすと国に怒られるから、今動いてるものは困らない限り手を付けたくない >>373
だよねw
多分前者はオープン系、後者はメインフレーム系とか
元々の起源の違いも理由の一つなのかなって気もする >>373
そのくせ数か月おきに強制的に変えさせるからな
強制するのは逆効果だっつーのに ラストパスにすべてを託してラストパスのパスはグーグルKEEPに書いた。
これで完璧だな 俺はbitwardenにすべてを託してbitwardenのパスワードはkeepassxcで管理
keepassxcはキーファイル使えるからパスワードは1234とかでも問題ない このスレで聞くのもアレだが、おすすめのメモサービスってある? 長期メモはOneNote
短期メモはGoogle Keep
こんな感じで使い分けてる
長期はいわゆる普通のノート、短期は冷蔵庫に貼るメモのイメージと思ってくれ simplenote
メモも貯められるが win-泥間のコピペツールとして優秀 Twitterのフォロワー0の鍵垢をメモ帳代わりにしてる。
日付と時刻が自動で入るし検索して探しやすい。
一応人に見られて困るものは書かない。 スレタイに話を横から強引に戻すけれどもw
クレカ番号と有効期限とcvvなどは今でもEvernoteで管理しているなあ
KeePassに移行したいのだけれども各サイトのフォームの仕様が統一されているのかどうかよくわからない
メインのクレカのみ16桁番号とcvvをそれぞれユーザ名/パスワードとして登録してはいるんだけどね
自動入力にこだわらなければ好きにしていいのかな クレカ情報管理とかも含めたらロボフォームがいいと思うよ ロボフォームは問い合わせしてもBobの対応が悪いからなぁ Bobの反応最近悪いのか。
昔はレスポンス良かったけどなあ。 VeraCrypt+メモ帳+クラウドストレージが最強だろ 自動入力できないじゃん
ログインのたびにいちいちコピペしたくない SafeInCloudは
pc.ios.androidでデータ共有で良いと思うけど 最近時期外れのアカギレで指紋認証通らなくなった。
クソ長いパスワードは作って2週間経ったので覚えたけどめんどくさーい。 BitwardenはMacでもTouch IDに対応してくれたらなあ Bitwarden、いつの間にかゴミ箱機能搭載されてた
今まではアイテム削除すると即座に完全抹消されてたのが、一旦ゴミ箱に行くようになって、うっかりミスで消してしまう心配がなくなった
以前はアイテム複製機能とゴミ箱機能がなかったのが不満点だったけど、両方解消されて最高 LastPassのソレはいつでも復活出来るみたいな ゴミ箱のデータ、とっくの昔に退会したり近づかなくなってたコンテンツのアカウントが残ってて懐かしくなるわ
でもセキュリティ的にはさっさと消したほうがいいのよね それはセキュリティじゃなくてプライバシーじゃない?
セキュリティ的に言うと過去使ってたサービスで流出があった際にトレースできた方がいいでしょ 最初に使ったロボから変えたことがないわ
以外に少ないのねロボ ロボは使ったことないけどWindowsだけなのでいまだIDMを使っております >>373
パスワード短いと、何故制限がある? もしかして平文で格納してる? って思っちゃうよな。 記号を混ぜろって言っておきながら
特定の記号以外が使えないサイトも滅んでほしい
そもそも文字種を指定している時点で
NIST SP 800-63B非準拠だし 自動生成する際文字数はまだしも記号で制限されると設定直さなきゃいけないから面倒くさいよね やっぱりロボフォームが使いやすいよね
Amazonやヤフーの2段階認証も楽楽よ 記号は最初から使わない方がいいよ
英大文字小文字数字で20文字くらいあればまず問題ない >>418
ほぼ同意だけれども
新パスワードを設定しようとすると
「パスワード強度:弱」
とか表示されて悔しくて記号を追加してしまうことがあるw >>418
パスワードに記号を強制するサイトもあるんじゃ スマホからもアクセスできて、保管庫をOneDriveに置けるのってありますか?
Enpassはできるみたいだけど、他にもあれば ロボなんか金払って同期するのでもなけりゃ、フリーのマネージャーと変わらんレベルじゃないか。 >>418
6文字までしか設定できない銀行があるんだけど・・・ >>425
そういう所は仕方無いな
3〜5回くらいでロックアウトするから
問題無いって考えなんだろうね ロボフォームもLastpassも、老舗だからってあぐらかいてたらだめだわ パスワードに文字数制限あるサイトはその数をちゃんと表示としけっていつも思うわ
入力してから〇〇文字数以下にしてくださいって言われるのが一番腹立つ 記号使えますと書いてあるのに、制限も記載せずに使えない記号があるのはやめてほしい
>>430
これな >>430
してください、ならまだマシ
何も表示されずに勝手に短くされてログインできないとかある
主に日本の大手の会社
まぁ大体8とか12文字だから何度か文字消して試せばログインできるけど 昔Windows NTくらいの時代に
パスワードが8文字超えると
8文字目までじゃないとログインできないホストと
全部入力しないとログインできないホストが混在して
カオスだったことを思い出した
勝手に切り詰めるよりマシだけど
書いてない制限に引っかかった時に
「パスワードにエラーがあります」しか表示しない糞サイトも
結構あるな パスワード側の規制もだけど
登録メアドに+入らないとか
時々あって困る
エイリアスに使うんだよ
登録ごとに変えて到着メール仕分けるんだよ
携帯メールの時代なんかは皆普通に使ってたんだけどな
登録で一部記号はねるの勘弁して >>432
え、未だに巡り合ったことないけどそんな糞みたいなところあるのか? bitwarden便利だけどパスワードの生成ルールの使い分けができないのか
ツールのパスワード生成で使ったものが新規パスやパスワード変更画面から
呼び出されるだけだから、12文字までとか記号入れろとか入れるなとかに
対応するのが面倒だな サイトごとに使える文字の種類を覚えてくれるパスワード生成欲しいよな >>435
昔のAmazonが>>432だった
32文字だったか64文字だったか忘れたが
パス変更でエラー出さずに設定できるくせにログインではその文字数だとエラーを出すという鬼仕様
結局パスリセットを繰り返して文字数が長いとダメとわかった
今は64文字OKになってる >>437
ツールが責任持つような話で無いとは思う そりゃ機能を実装するってことは、サイトの仕様変更に応じてアップデートしないとあかんだろうなぁ
そういう意味では責任といっても差し支えないと思う
なんつーか、業界で共通化しろよと思うわ
なんで後発のPAYとかが共通化してんだよと
金の問題なんだろうけどさ >>441
あ、もしかしたら>>437はサイト毎のパスワード仕様を利用者が記録できる欄が欲しいって意味かな?
だとしたら>>439で書いた責任ってのは不適確だったね
ちなみに自分はKeePassだけど変則的なサイトの場合は「パスワード最大12文字」などとメモ欄に書いてる
メモ欄が無いツールもあるのかな >>442
437じゃないからわからんけど、確かにメモにでも書いとけばええわな パスワード管理アプリの評価欄を見てると、
「マスターパスワードを忘れたら全部見られなくなった!なんとかしろ!」
なんて言って星1つを付けてるヤツが定期的に出てくる。
こんな最下層がいる限り、パスワード管理アプリの普及なんて無理なんだろうな。 >>442
パスワード更新する時に
このサイトは記号のうち&が使えないから自動生成を手で編集、
こっちのサイトは&は使えるけど'が使えないからやっぱり自動生成を手で編集
とかメモを見ながらやりたくない
ボタン一発にしたい
こういう変な制約を付けてるサイトに限って定期更新を求めて来るんだよ
定期更新は無意味って言うのは分かってるが
情報漏洩を起こした時にこの規則を盾に
ユーザーに責任を押し付けてくるのが目に見えてるから自衛 「有料にしないと機能が使えない」
「無料会員の期限が終わって有料会員になるよう要求された」
とかいうアホっぽいレビューも多いよなw
慈善事業じゃないんだから
カネ払わないでまともなサービス受けられるわけないし
そもそもお手軽無料サービスなんかに
自分の重要な個人情報を保存するかねって話 >>445
うん、機能があった方が便利なのは同意するし
それを否定してはいないよ >>442
パスワード生成時には普通オプションが選べるものだけど
各種条件をプリセットとして複数登録できれば解決だと思う >>448,450
KeePassを使ってて今まで意識せずずっと「以前のパスワードを流用」のプロファイルで使用してきたけれども
「カスタム」をすればよさそうだね
灯台もと暗しで>>442,447みたいなレスをしてしまったw Macユーザの場合、iCloud Keychainという最強機能があるので
この手のパスワード管理アプリを使うことはほとんどない
lastpassだの1passwordだのをわざわざ使ってるのは
WindowsユーザもしくはAndroidユーザだろうな >>453
キーチェーン使いづらいから最強ではない >>453
Appleは社員には1Passwordを使わせてるようだけど >>456
Keychainの弱点は
マルチプラットフォームに対応していない点ぐらいだろ
例えば、PCはMacだがスマホはAndrodi、
PCはWindowsだがスマホはiPhone
といったハンパな環境の人間にとっては
サードパーティのパスワード管理アプリの必要性はよくわかる
逆に言えば、Mac, iPhone, iPadでIT環境が完成されてる場合、
Keychainが最強であることは間違いない >>457
IT企業の従業員なら
自社製品だけではなく
競合するWindowsやAndroidも
日常的に操作する可能性があるから
マルチプラットフォームに対応した
パスワード管理アプリを使うことは十分あり得る
でも一般的なAppleユーザにとっては
Keychainを使えば十分だよ
だいたい1passwordだのLastpassだの
そんないつ潰れるかも分からないような弱小会社に
自分自身の個人情報(クレカ番号も含まれる)を
預けるってのはちょっと怖すぎ 自分が最強になれる環境の中で最強を標榜する
井の中の蛙 >>459
いや、いろいろと機能と項目少なすぎだし
コメントでカバーすればいいのかもしらんが不便すぎだわ
あと見づらいんだよ
所詮現状はユーティリティでしかない
いやお前が最強と思う分は勝手だけどMac板以外でそういうのやめてほしい、同じAppleユーザーとして恥ずかしいから いつ潰れるかも分からない弱小サービスに
個人情報を預けることの怖さは本当その通り
やっぱ、できるかぎり大手企業にしときたい
とするとアップル一択かな 大企業でもいきなりサービス終了が無いわけじゃないからなあ
自分でローカルファイル管理できるソフトと
自分で選ぶクラウドストレージが手堅い 大手ならサービス終了しても移行期間くらいは設けてくれるからな
そこは安心できる
ユーザーへの救済措置すらないのが弱小サービスの恐ろしいところ
まあ大手だからといって個人情報の管理が優れているとは限らないのが難点だが 特定の企業を妄信し全てをブチ込む派 vs 分散させる派 MacやGoogleにまかせてハイ安心、となるのはおかしい
部分的には良いかもだけど、全部は預けられない
一つの銀行に全財産を預けないだろう ずっとkeepassなんで情報預けるとかわからんな
どこに預けようが流出の可能性はある >>470
三菱UFJか三井住友どちらかに全額でいいよ パスワードは複雑で可能な限り長い方がいいよ
単純な話です >>470
じゃあおまえは
いくつもパスワード管理アプリを使うのか?
めんどくせーだけだろ
Mac/iPhoneならKeychainに放り込んでそれで終わりよ
なんの労力もいらないし、悩むこともない 未来なんて予測がつかないのに、
他人の考えを否定して自分のが唯一の正解
みたいな言い方をすれば
そりゃ宗教じみてくるわ いやあ、悪いけど
聞いたこともないような会社に
自分の個人情報をおいそれと預けることを
宗教臭いっていうんだよw
よほど盲信してない限り
そんなアホなことやるわけもない mac、iphoneと言えば芸能人御用達
彼らにとって情報漏れも仕事の一つということを忘れてはいけない
鉄壁なセキュリティの芸能人なんてつまらないのだ 伸びてると思ったら痛い人きてたんか
うちもKeepass派なんで個人情報を必ず何処かに預ける前提なのがまず分からんし
大企業になら預けても大丈夫という思考が更に分からんな
泥にもchromeのパスワード保管機能やoreo以降のオートフィル自動入力はあるけど
ここにいるような輩はそんなにgoogle信用してなさげ
appleなら盲信できるって根拠がようわからんわ GoogleもAppleも始めたサービスすぐに捨てた前科がいくつもあるからな Googleはいつサービス終了するかわからんスリルがあるよな waveとかreaderとかpicasaとか
俺が使い始めると終了するんだよな
次は何を使おうかな >>485
お前、迷惑だからもうGoogleサービス使うのやめろw >>485がGoogleを潰したらきっと映画化されるなw >>484
サービスを大量に出しすぎてガタガタなニコニコを見てると一概にそれが悪いとは言えない >>482
アップルやグーグルを信じるのはよくないが
1passwordやlastpassを信じるのは
それ以上にイタタなんだけど笑 サードパーティー製のは傾いてきたらどこかに買われてしばらくしたらサービス終了ってパターンを良く見る
でも移行に必要な期間くらいはあるだろうから今気に入ったサービスを選択している方が良いような気もする
KeePass使いが余計なことを言ってみたw >>493
1password、lastpass言ってんのはおまえだけ
keepassのことは知らないみたいだな >>493
だからなんで信じる前提なんだよ
そこがまずおかしいし
keepassだっつってんだろが KeePassだって、連携にDropboxなどを使ったら同じでは? >>494
自分もKeePassだけど
とっつきにくいのも事実だから人に勧めようとは思わないし
その人が使っているサービスで満足しているのならば無理に横やりを入れる必要など無い >>497
うちは全部LAN内syncで完結させてるが
クラウドサービスに管理任せるのとデータファイルだけ預けるのとでは少しも同じではないと思うが ザルセキュリティのローカルPCとクラウドストレージだったら >>500
>>501
1Passwordなども、中身のわからないデータファイルだけを預けてるのと同じでは? ん?サービス終了したらどうするって話してたんじゃないの?
あとこっちはkeepassなら大丈夫って文脈で言ってるわけじゃないからな
なにも信頼せずどこにも預けないという選択肢もあるのに
必ずどこかに預けなければならないと思い込んでるアホが
1passだのlastpassだのとサービスありきの名前しか挙げないのにツッコんだだけだ スマホ使用目的でロボフォームからKeepassXCに乗り換えて
ロボフォーム消すつもりだったけど、KeepassXCのブラウザアドオンだと認識しないフォームあるからロボと併用 前にも書いたけど、bitwarden_rsのFIDOでの認証が、Chromeだけエラーになります。
ログイン時も設定での追加時もエラー:2で認証できません。
さっきそのPCにFirefoxを入れてみたのですが、問題なくログインも追加もできました。
なので設定は間違ってないと思います。
どなたか回避方法をお知りではないでしょうか? 追記
Windows 7 SP1 Ent x64とWindows 10 2004 Ent x64とWindows Server 2019で
試してみましたが、どれもFirefoxはOKでChromeはエラー:2となります。 さらに追記(連投スマソ
NextcloudのFIDO認証はChromeでもうまく出来ました。
何が原因かわからーん・・・ BitwardenでGoogleドライブにログインしようとしたら弾かれるね
数垢でやってみたけど全て不審なアクティビティでログインできずにアカウント復元の無限ループになった Bitwardenって保管庫の中身の検索 日本語使えなくない?
アルファベットなら検索できるけど。
ここまで評判よいのに検索できないとかありえないと思うんだが
例えば「楽天」で検索すると「楽天銀行」は引っかからないが
「rakuten」で検索するとrakuten bankは引っかかる
まさかその「まさか」なん? 今試してみたけど普通に「楽天」で楽天銀行と楽天市場が出てきたよ >>513
えー マジか
browser Vivaldiの問題かも
ちょっとデスクトップ版とか入れて検証してみるわ。
情報ありがとう。 Vivaldi
edge(chromiumエンジン)
chrome
これのweb版と拡張機能から検索してみたが、どれも日本語が無視される。
デスクトップ版でやったらあっさり。chromium系のバグだろうか。
現状だとデスクトップ版メイン+項目名にアルファベット補完して騙し騙し使うしか無い感じだな 俺もchromeで色々試したが日本語でも全く問題なく検索出来る
オマ姦 カスペルスキーのパスワードマネージャーが日本でもリリースされたらしい
俺は本国版のをVPN通して買ったけど機能的には申し分ないわ
ロシアだからちょっと恐ろしいが >>518
3年で3500円は安いな。
1Passwordから乗り換えるかも。 日本政府やアメリカには漏れないだろうから安心できるw で、スマホがファーウェイやシャオミとかだったら草も生えない このくらいの値段が妥当だよな。
1年で4000円とか、1PasswordやLastPassは高すぎ。 ロシアと戦争になったらエロサイトのパスワードロックされて、それをネタにスパイにさせられちゃうよ >>520
アメリカ製のOSを使うの止めることを薦めるよw それぞれに平等に漏らせば価値がなくなってむしろ安全に 何処がどう漏らすって言うよりスマホもPCもOSは米国が抑えてるから
スマホでファーウェイはGoogle Play使わせないぞみたいな感じでロシアのソフトを使ってる場合Windowsを使って嫌がらせするぞと言われ兼ねないので
米国の犬の会社の奴を使っておいた方がまあ庶民には防衛するしかないわな とりあえずLinux使っとけばいいというのはわかった この間、ガチでパスワード抜かれたんで、使いまわしやめて管理ツール導入することにしたわ >>535
俺のパスワードをタイトルにした脅迫メールが届いたんだけど、どうやって抜かれたのかはわからない Google製の拡張機能やBitwardenでパスワード漏洩を調べることできるらしいけど
怖くて使ったことないな こういうことやってる
https://twitter.com/jeremyburge/status/1275896482433040386
TikTokの場合、アプリ起動時や文字入力する度にクリップボードの内容を覗き見てる
TikTok使う前に他アプリでパスワードをコピーして入力してるとアウトっていう話
https://twitter.com/5chan_nel (5ch newer account) >>538
Lastpassはコピーしたあと数十秒とかでクリップボードを削除する機能がついてるな
最近の管理ソフトならついてるんじゃないの? >>536
パスワード管理がダメなWebサイトから流出したんじゃないの
いくら自分で強固に管理しててもパスワード使い回しは止めようといわれる所以 >>540
こういうのって検索するとデータベースに登録されてアタックの対象になったりしないの? 技術解説ページまで用意されてるのにそれを読もうすらしない人に何を説明しろと? >>543
Have I Been Pwned? (HIBP)なら下記のような方法があるみたい。
Have I Been Pwned?でパスワードを入力せずに漏洩を調べる方法 | マイナビニュース
https://news.mynavi.jp/article/20190625-848118/ 買切版ロボ7から8移行時に同期面倒臭いから買った3年が終わるのでbitwardenに一時的に移してみたけど悪くないね
特に何もなければロボはバイバイかな
買切版から10年使ってきたけど今はシェア的にロボはオワコンみたいだしの bitwardenのchrome拡張、保管庫検索がおかしくない?
bitwardenの機能拡張アイコンをクリックしたままの状態、つまり「タブ」のとこの保管庫検索が機能しない。
「保管庫」のとこの保管庫検索は機能するんだけど。 Bitwardenはブラウザ拡張でも指紋認証できるようになれば言うことないんだがなぁ >>548
お、ほんとだ。タブでは検索できないね。 bitwardenがいつwindows helloに対応した? えっ…
いまだにwindows helloに対応してないソフトあるの? 指紋認証は指先酷使してたら認証できなくなるのが辛い >>555
肛門でも認証できるらしいので、指以外の押しやすいパーツを利用すればいいのでは?
指の関節、付け根、手の横側、肘くらいならなんとかなるんじゃないだろうか? それってセキュリティ的に大丈夫なのか?
見比べたことないが10人にひとりは同じ肛門をしてる可能性もあるのでは 汚い話題だなあ
誰が認証する機械に肛門を押し付けるんだよ
いい加減にしろ 「Hey Siri!肛門認証して!」
「糞がこびりついてますね。拭いてください」
「OK Google!肛門認証して!」
「糞が出口を求めて腹の中でGoogleしている」
「Alexa!肛門認証して!」
「Alexaっ!(素)」 >>559
世の中常人には想像もつかん事をしでかしてるヤツってのは少なからずいるもんなんだぜ >>563
自分が楽しめる行為は犯罪でも許せるだろ? 肛門で思い出したけど
「この紋所が目に入らぬか」ってのは水戸黄門の紋所認証だね 上様がこのような所に来られるはずがない
認証不可じゃ ブラウザにパスワード覚えさせるのって危ないのかね?
ブラウザ情報抜かれることってあるのかね? >>567
ExportできるからPCでマルウェア実行しちゃったら抜かれるかもね
Firefoxならマスターパスワードでパスワードが保存されたファイルを暗号化できるけど 乗り換えるときっていちから設定しなおさないとダメなの?
数百個あるもうもく全部手打ちでやらないとダメ?
今、1PASS使ってるんだけど移行ツールのあるアプリってありますか? 大半のアプリは1Passからのインポート対応してるが、下記みたいに修正必要な事もある
Bitwardenがよさそうだったので、個人利用の1Passwordのサブスクリプションは解約して乗り換えた。
データの移行は1PasswordアプリからエクスポートしたCSVをインポートしたが、
ユーザー名やパスワードが拡張テキストエリアみたいなところに設定されてしまったので、
いまは利用するタイミングでちまちまと直している。 マルウェアが入ってる状態を前提にしたら何しても安全にならない
キーロガーを仕込まれてたら手打ちの方が危ないってことになるし >>570
ありがとうございます。
Bitwarden、評判良さそうなので乗り換えようかと思ってます。 >>571
でも多重化する方が少しいいとかじゃないん?
キーロガーならマスターパスワード抜かれても、それだけだと個別パスワードは抜けないとか 1Password使ってるんだが、Pixel4だとスマホの画面がすぐ真っ暗になって安定しない・・・
予備のZenfoneでは普通に動くんだが、困った 一年くらい前に1passwordからBitwardenに乗り換えたんだけど
Bitwardenのブラウザ拡張、ショートカットキー押してから表示されるまでにけっこう時間かからない?
ネイティブアプリじゃないから都度ネット越しにログイン処理みたいなのやってる感じかな マジな話bitwardenはやめた方がいいことをついさっき理解した
特に俺のように2段階認証設定して安心してるような奴は今すぐにローカル管理のパスワードマネージャーに切り替えることをオススメする >>577
古典的な問題だから対応は簡単だろうけど脆弱性と言えなくもないから
とりあえず運営に問い合わせて問題無ければqiitaなりで公開する予定 ローカル管理かクラウド管理かでそもそもユーザー変わるからな >>580
セルフホストでも多分変わらないと思う
寝起きだから強めな書き方になってしまったけど>>576の問題はマスターパスワードが漏洩しなければ問題ない
ただ、漏洩したら2段階認証は無いも同然になる bitwarden立ち上がり遅すぎ
デベロッパーツールで見たら sync?excludeDomains=true の読み込みに9秒くらいかかってるわ
エントリー数1000程度 >>581
マスターパスワードって結構漏洩するから2FAで安心してたけどヤバいのか?
過去にはlastpassとかもぶっこ抜かれてたし脆弱性の内容がかなり気になる 1Passwordからの乗り換えを検討してるんですが、カスペルスキーのパスワードマネージャーって、
セキュリティソフトは別メーカーのものが入ってても動くんですよね? keepass以外にキーファイルに対応しているの無いの? マスターが漏洩したらダメって事は、パスワードから2FAのシークレットが計算可能とかか? >>592
コロナ爆発しとるから無理やろ
普段でも問い合わせの反応が3日かかるから1週間待ちも普通にあり得る Dashlane今StackSocialでセールやってる
True Keyがゴミすぎて乗り換えたいんだけどどこがいいんだろ
FIDO U2FとWindows Hello対応してるとこがいいな Bitwardenで2段階認証を使っている際、
普段使っているPCのみ2段階認証を省くことはできますか? できますよ
チェックボックスがあって、チェックするとそのPC(ブラウザ)では
2段階認証がスキップできます >>596
ありがとうございます
前向きに乗換えを検討中です KeepassXCの精度が上がってチェックボックスも扱えるようになったら神なのに KeepassXC v2.6.0にアプデしたらUIは変わるわ設定リセットされるわでビビったわ もしかしてKeePassXCのオートタイプって{VKEY}使えない?
無変換キーを指定したいんだが Enpass Password Manager: One-Time Premium Lifetime License | StackSocial
https://stacksocial.com/sales/enpass-one-time https://gigazine.net/news/20200726-passbolt/
無料で複数人のパスワード管理を自サーバー上でホストできる「Passbolt」、オープンソースで1PasswordやKeePassのデータインポートも可能
複数人のパスワード管理って会社用かな? >>607
家族用って考え方はないの?
家族共用アカウントとかある場合、個人用だとちょっと面倒な場合があるよ Enpassちょろっと試しに入れてみたけど、サンプルデータが用意されているのはいいけど、これはダメだローカライズがガバガバすぎる
やっぱDashlane買おうかな >>576
ローカル管理のパスワードマネージャーだと
水害や地震や火災でパソコンが突然ダメになった場合に困る。 ローカル管理ってのはローカルの一箇所でしか使えないって意味じゃないけどな
データをファイルとして自分で保存・管理できるのだから
onedriveなりgdriveなりDropboxなりに自分でクラウド連携させればいい で、>>576はどうなったわけ?
思わせぶりなことだけ書く奴って
俺の経験からすると無視しておkなケースだが >>615
bitwardenから全然返信が来ないままはや2週間が経過した
問い合わせってこのページであってるよな?もしかして間違ってる?
https://bitwarden.com/contact/ >>616
メールアドレスは登録してるやつ入れたか?登録してないアドレスには帰ってこないぞ BitwardenのWinアプリ版1.20.0が出たけど、俺環ではJavaScriptのエラーと出て起動できない vivaldi使っててさっき急に
「パスワード チェックアップ拡張機能 サービス終了のお知らせ」
って表示が出てアンストしろっていってるんだが、同じく表示された人いる? 二段階認証で「このデバイスでは認証しない」って感じの設定って
危なくないのかな?
「このデバイス」をどのように判定してるんだろう Keeとかアップデートがどうたらで意味わからなくなった… keepassRPC1.12.1を入れたらまた普通にkee使えるようになったわ…… RPC1.12.1にしたら銀行のオート入力が狂っちゃった
前はエントリーのユーザー名に口座番号をいれたままform fieldsのとこに店番いれてどうのこうので
うまく機能してたんだが…
ユーザー名を店番にすればうまく入るけどぐぬぬ >>629
keeのせいじゃなくKeepassRPCのせいなの? >>576じゃないけど、書いてあることを元に試行錯誤した結果、ロストして絶望してた2段階認証(TOTP)突破したわ >>630
あー、ゴメン正直どっちかわからない
うちはfirefoxなんだけど、アドオンがoff表示になってアプデのポップアップが表示された後そのまま動かなくなったから
keepass立ち上げた際に出るアプデ通知ウィンドウから飛んでRPC更新したんだ
今みたらkee自体も7月末に更新かかってたわ… >>632
うちも最近firefox+keeで挙動が変わった
たぶんkeeのアップデートからじゃないかと思う
amazonのアカウント2つ持ってて今まではアカAがデフォで入力されてたのにアカBの方になった
手動でアカAを毎回選択してる >>633
>>576が問い合わせてるだろうからどこまで書いて良いかわからんが、BFAがベース >>635
本当に2FA突破できる脆弱性見つけたのならJPCERTにインシデント報告しなさいな
https://www.jpcert.or.jp/form/
個人で動くよりよっぽど早いから >>636
Bitwardenの管理が若干緩いのが原因だけど対応してくれるかな...
あと、これってフォームの名前って適当でも問題ない? 連絡取れればいいだけだから匿名太郎やアノニマス次郎でもいいとは思うけど
メールアドレスはちゃんとやり取りできるものでどうぞ BitwardenのWinアプリ版1.20.1で起動時のエラー直ってたー 普通の人はGoogleなど、ブラウザ・OSベンダーに任せれば十分で
パラノイア向けにはKeePassやセルフホストBitwardenがあり
LastPassや1Passwordはどこで優位性出してるんだ? 優位性がないから人気落ちてるんじゃね
実際使用者が減ってるかは知らんけど Appleなんかは社員に1Passwordを使わせてるんじゃなかったか? ブラウザのって、例えばChromeの場合、「登録先の複数アカウント」を登録できる? 1Password使ってても乗り換えるの面倒だから、優位性までは余り気にしていないわ >>643
firefoxならできる
でも、1つのアカウントで複数の入り口はできない
例えば、日経○○みたいなやつはそれぞれを登録しないといけないので不便 >>646
今はそうなのか
以前は違っていて、不便だったんだ 楽天も前はいくつかあったりしたけど
最近はそういうのは減ってるね。
マイナーなのがちょこちょこあるくらい。 なんかIT系サイトだとやたらLastPassや1Password推してきて金の匂いぷんぷんするよな bitwardenはAndroidでブラウザからパスワード自動保存ってできる? >>652
ブラウザでログインしたときにBitwardenが保存するか確認してくる。
ただ、ブラウザがChromeのときはChromeが保存するか確認してくるときがあるから、そのときはBitwardenは確認してくれない。 Android使ってるけど自動保存されないぞ
lastpassなら保存するか聞いてくるね 泥は基本パス管の内臓ブラウザで自動保存させる形じゃね?
lastpassとかロボフォームとか 泥9からだっけ?
自動入力プロバイダで保存するか聞いてくれる >>645
Chromeで自分でやってみたよ。あくまでChromeの話だけど、複数アカの登録できないね。
パスワード管理って、複数アカを管理することにこそ意味あるから、ぶっちゃけブラウザのパスワード機能は使えないなぁ。 Firefoxへようこそ。Lockwiseもわりと使えるよ マルウェアがChromeからデータを盗む手口
Google Chromeをはじめ、OperaやYandex.Browserなど
Chromiumエンジンをベースにしたブラウザーの場合、
利用者データの保存場所は常に同じです。
このため、情報窃取型マルウェアは難なくデータを探し出すことができます。
マルウェアは、ブラウザーのデータ暗号化ツールに対し、
あなたのコンピューターに保管されている情報の復号をリクエストします。
安全だと見なされている利用者から出されたリクエストに見えるため、
暗号化ツールはあなたのパスワードやクレジットカード情報をマルウェアにすべて渡してしまいます。 ブラウザのはオマケだよ
パスマネージャの為だけにアップデートしたことあるのかな マルウェアに侵入され済みで
安全だと見なされている利用者になりすまされるのも完了している状況で
安全なパスワードマネージャってどれ? 思わせぶりな質問者って誰にも相手にされず友達いなそうwwww ロボフォームのことでちょっとお尋ねしたいのですが。
Chromeで使ってるのですが、パスワードの入力画面のとこで
いつもだったら「フォーム記入」のウインドウが自動で出てくるのですが
急にウインドウが自動で出なくなりました、
どこか設定で自動で「フォーム記入」のウインドウが出て来るようにするようにできないでしょうか? bitwardenはタグ管理実装しないかな。
フォルダよりタグで管理したい。 無料&Google Drive経由でKeePassのパスワードを同期できるプラグイン「KeePass Google Drive Sync」レビュー
https://gigazine.net/news/20200812-keepass-google-drive-sync/
途中で読むの止めた… >>673
意味深・・・と思ったら、単に長文だったのね 面白そうじゃん
単にグーグルクラウドに置くのと違いがあるぁ判らんけど windows版だけなら使えないな、このプラグイン >>673
これレビューじゃないよねw
>>675
Google Driveを介して複数のPCと複数のAndroidにKeePassを導入していてそれぞれでデータ更新があり得る運用の場合は「保存」じゃなくて「同期」の方を使う機会が多いのだけれども
わざわざプラグインを導入・管理するよりもKeePassに元々ある「データ同期」機能を手動でポチッとするだけで十分なんじゃないかと試してもいないのに書いてみる
自動同期させたい人や企業向けなのかな 銀行などが独自にワンタイムパスワードのアプリを出してることがあるけど、
それらをAuthyなどのアプリにまとめることはできますか? >>680
上のほうでYahooはできるとあったので、行けるかもと思ったんですが、
銀行のやつはそれぞれアプリを入れないとダメってことですね 今話題のEpic gamesってBitwardenでログインできないんだな
メアドをコピーしないとダメ カスペの使ってる人いますか?
不便な点とかあります? カスペルスキーのPMこれまで三年ぐらい通算で使ってるけど、わざわざきな臭いロシア製のパスワードマネージャ使う必要はないと思うわ
使いやすくはあるけど特に優れた部分とかはないし他ので間に合うと思われ ありがとうございます
可もなく不可もない感じですか >>681
そのワンタイムパスワードがTOTP規格に準拠してれば
Authyに登録出来る。
日本の銀行はほとんどが独自規格だから無理だろね。 >>692
最初にアプリ内でキャッシュカードの暗証番号を入れる必要もあるようなので、無理っぽいです。
評価が低く、アイコンも半角カナで、入れる気が起きないんだけど、
使わないと振り込みすらできないようで、面倒な仕組みになりました。 りそなでSymantec VIP Access入れろ言われて仕方なく入れたけど
なんか特殊なことやってるのかそうでないのか分からん
ただのTOTPならkeepassxcにまとめてしまいたいわ >>694
それはTOTPではあるけど
登録(普通はQRコードを読み込むステップ)が非公開だから無理 >>686
ロシア製とはいえ、セキュリティで飯を食ってる企業だし、
他の海外製品とは違って日本語サポートもちゃんとしてそうだし、
値段も安めだし、自分もいいかもと思ってたので、
どういうヤバさがあるのか教えてほしい あのねー、......呆れて二の句も継げないわ
共産主義国にある企業のやり方はこっちとは全然違うんだよ
FBIに迫られてもロック解除しなかったAppleみたいなことはできないんだよお馬鹿さん
優先度付けろってことよ、まだマシなところから使うのは常識でしょ逆張りもいい加減にしろ 特にトレンドマイクロなど、技術的に間違った宣伝で素人を騙していると技術者から非難されるセキュリティソフト会社が多いなか
カスペはその点に関しては評判いいという認識
あとはロシアリスクをどう捉えるかだけど
パスワードマネージャーに関しては、既存の評判良いの使えば十分なので...... >>702
Blaxkberry KeyOne
中国TCL製 今どき中国製やアメリカ製じゃない精密機器なんて存在しないだろ
だからせめてソフトウェアぐらいはマシなのを選ぼうねってことよ HUAWEI端末を使うとアメリカの軍事機密が漏れるだのいうコピペがあるけど
糞どうでもいいな。カスペも同様。
俺個人が安価にそれなりに安全なら、国家機密がどうなろうと知らんよ。
一個人の端末やソフトのせいで漏れる組織の機密管理の方を何とかしろ。 カスペルスキーはまだ疑惑で済む状況だけど、ファーウェイは言論統制やカメラ監視で
中共と結託して人権侵害や軍事方面に技術転用してるからダメです
ファーウェイ使う連中から集めた情報がAIとかの技術開発の原動力になるから
巡り巡って国民主権なんかの基本的人権が侵略されてる bitwardenで銀行とかの取引パスワードをカスタムフィールドに設定してるんだけど、iOSで入力する時どうしてます?
1Password使ってた時は、Safariから1Password開いてカスタムフィールドまでコピーできたんだけど、bitwardenだとSafariから開ける画面だとIDとパスワードしかコピーできなくて困ってる
いちいちアプリ開いて銀行のアカウント探してるかんじ? パスワードスレなのにスノーデン完全無視して中国がーやってるやついてワロタ
アメリカはTrueCryptやiPhoneにバックドア設置を強要する国だぞ
すでに普及して代替効かないソフトやハードに後付でバックドアかけろってやってること中国よりヤバいわ 米国自身が色々やってるからこそ他国のそういう部分を怖がってる 中国やロシアは危険と言いながらLINEを使っている国だからな スノーデンは中国のような独裁国家が監視技術持ってるのは危険だって言ってるんだが
https://youtu.be/TfCz5n5Kfqs
中国は民主主義認めず情報統制かけてたり行動監視して拘束まで行くのが根本的な問題なんだし
アメリカのほうがとか言い出してもGAFAが議会で追及されるアメリカのほうが健全だから >>715
そのスノーデンがアメリカから逃げてるのが答えだろ スノーデンは情報漏洩させた犯罪者なんだからそりゃ逃げるだろう
金積めばどうとでもなる国に逃げたゴーンみたいなもんだけど >>716
コレな
日本はアメリカと手を切った方が健全 >>718
五毛必死やな。中国は一番最初に潰すから心配すんな >>701
OS・ブラウザ系:
Google パスワード マネージャー、Firefox Lockwise、iCloud キーチェーン
オープンソース系:
KeePassとその互換ソフト、Bitwarden
老舗:
1Password、LastPass、RoboForm、Dashlane などなど
変わり種:
Pass、LessPass
いくらでも思いつく限りパスワードマネージャーを並べられるなか、わざわざ新株が必要かというと
簡単安全に管理したいだけなら、OS・ブラウザ系
柔軟にカスタムしたいなら、オープンソース系
有料のお墨付きがほしいなら、Appleが全社員に導入したとかいう1Password 米国は見られても刃向かったり犯罪しなけりゃ実害なさそうだけど、中国は政府の中の人がクレカ使ったりしそうだし嫌 沖縄は中国人の港状態。
北海道の100分の1くらいは中国の領土といっても過言じゃない。
土地買われてる。
名古屋市の中心は中国網が出来てる。
スノーデンみた限りアメリカは電子で日本の情報集めて、中国は物理的に乗り込んで来てる。
日本やばい状態だよ本当に。 スレチ議論の書き込みを排除するソフトウェアを開発して下さい お客さんは句点をNGにすれば大体消えるからオススメ >>724
陰謀脳って言われちゃうけどその件に関しては俺も同感
万が一また世界的な大戦が起きたら東アジアの今度の主戦場は中国大陸や朝鮮半島じゃなくて日本列島って可能性も充分ありえる
米国はロシアや中国を本国に攻め込ませない為にも日本各地に米軍基地を置いているし中国側も侵略と本土防衛の両目的で日本での諜報活動などを行っているはず
地理的に覇権国に挟まれている日本の現状は正直最悪だと思う
スレチでごめんなさいね… 国とか防衛の仕事してなきゃ何処産でもいいだろ
お前らのパスワードなんて中国もロシアも興味ないわ ここの人はみんな元首級のVIPですが、あなたは違うのですか? >>729
お前のパスワードに興味ないってのは間違い
SNSアカウントの流出パスワードがプロパガンダとかの情報戦で利用されるようになってるし
というか中国やロシアでは氏名電話番号セットにされてこういう形で販売されてるし
https://www.fireeye.com/blog/jp-threat-research/2018/05/japan-pii-finding.html なんでパスワード管理ソフトのメーカーが
パスワードを知ることができる前提になってるんだ? パスワード管理ソフト作れる
↓
すごい
↓
スーパーハッカーなんでもできる
証明終了 OSSではないパスワード管理ソフトのメーカーのクラウドで
メーカーがパスワードを復号出来ないように保管しているかどうかは
メーカー当人にしか分からない
Q.E.D. >>737
フリーソフトならまだしも、金取ってるメーカーが、
バレたら終わるような仕組みを入れるとは思えないが そんな事もテヘペロで済ましちまうのがIT業界なんだぜ 進んでテヘペロするとか変な性癖がない限りあり得ないだろ >>737
OSSもコード監査&コンパイル&セルフホストしてやっと信頼性を担保できる
コード監査はともかく、あと2つを開発者任せにしているなら、OSS版から改変がなされている可能性を否定できず、非OSSソフトと変わらなくなるな id maneger
win10だけど強制的に新しいdege(ブラウザ)入れられたら
タスクバー右クリ→パスワード貼り付けが消えた・・・
同じ骨董品使ってる人で直し方知ってる人教えて下さい >>721
Enpass使ってるけどKeepassのほうが柔軟性ある
ツリー表示できるとEnpassのほうが使い勝手良くなるのだが スレチ愛国おじさんは愛国ブログ作って世界の危機を世界に訴えればいいじゃん
このスレで書き捨てするってことは逆に愛国心が無い証拠だよ 五毛党おじさんの仕事を全力で否定するのはやめて差し上げろ 中国に警戒心持つだけでネトウヨならアフターコロナで世界の大半がネトウヨ化してるからなぁ
愛国とは別問題なんだよなぁ 日本でのサイバーセキュリティは昔から中共のスパイ行為への対策が大前提だから
スレチなこと言ってるのは中共に盗まれても問題ないみたいなこと語ってる連中だよ Bitwarden使ってるんだけどマスターパスワードの入力ってどうしてる?
今は17文字で手打ちだけどちょっと短いし長くすると入力が面倒になる
コピペにするならマスターパスワードを別のツールで管理してと結構手間だし
上のレスでマスターが漏洩したら普通に2FA突破されるって出てるから不安だ、続報ないし
完璧なセキュリティなんてないし管理ツール導入してる時点で不正アクセスされるリスクはグッと減ってるんだろうけど何処かで折り合いつけないと何処までも気にしちゃうね 1password以外で、スタンドアロンのアプリからドラッグで
IDやらパスワードやらを転記できるものはありませんか? 17文字はなげーわ。
大文字小文字数字記号入れて10文字もあれば現実的に突破されないんだから
それ1つだけ頑張って覚える。
スマホとかはみんなの言うようにスマホで指紋認証。 >>758
一つ物故抜かれたら全滅だな
ちなみにパスワードを平文で管理してるトンデモサイトは結構あるぞ 32桁くらい桁数変動を毎月更新して使い分けてるオレすげー パスワードは英数のみ12文字までとかいうふざけたところも結構あるよな Android の PIN が16文字に制限されてるのもどうかと思う
確かに普通の人にとっての主なリスクである、覗き見から完全に記憶されるという展開は、もう少し文字数少なくとも防げるだろうし
タイプ時間も、打ち間違い勘定に入れずに16文字で5秒くらいかかるから、これ以上長いのは面倒くさい
しかし国家権力クラスが仮想敵になりうる特殊な立場の人にとってはたった数字16文字はなかなか心細くないか。あと8文字くらいは欲しいところ >>759
そのためにマスターパスワードだけ覚えて
各サイトのパスワードはツールに任せるんじゃん
自分で糞長いパスワード覚えるなんて無駄な努力できるなら管理ツールいらんだろ メールでワンタイムパスワードが送られるなら2段階認証だな
・日本のメールサービスは経路の暗号化なしだから、盗聴の可能性はある
・メールはどの端末からでも読めるので、メールアカウントにすでに侵入されていても比較的気づきにくい
という問題はあるだろう
TOTPで一元管理できるのが理想 ブルートフォースアタックは何時間で・・・とか言うけど
英数字6文字のパスワードの総当り10個分に1秒もかけてたら
568億通り総当りするのに180年かかるんだよ
仮に>>769の画像が示す通り568億通りの総当りを1秒で出来たとして
サイト側が568億通りのログインを1秒で処理するのかってのが問題だと思わないか >>770
オンライン攻撃のみの想定で完全ランダムならば6文字で構わんよ
個人情報流出事故が起きてしかも発表がかなり遅れていたとしても、長めにパスワード設定しておけば安心できるというだけ
あと暗号化zipは1秒で誰でも解読できるパスワード長だと意味ないよな 英大文字小文字数字記号で20文字
ファイルの暗号化やらなんやらも含めて死ぬまで
使うつもりのパスワードだからこれくらいでいい パスワードの文字数のことで質問があります
例えば10文字ぐらいのパスワードをもう1回繰り返し入力して20文字のパスワード数として設定すると強度やセキュリティの面で有効なものになりますか?
簡単な水増しでも効果があればラクで良いなと思ったのですがどうでしょうか? https://techblitz.com/unifyid/
これが実用化されたらパスワードを他人に教えても大丈夫になるのかな >>775
こういう認証は、うまくいかなかったときのために別途パスワードもあるんだろうな パスワードが破られる原因は1つじゃない
流出→長くても無意味
辞書攻撃→繰り返して長くするのは効果が低い
総当たり攻撃→長さで対抗可 マスターとスレーブが是正される世の中になったのだから、誰も理解できない言葉をつぶやき続ける病気の人に配慮して別の方法を模索するべき ETC関連のサイトが数文字のパスワードしか対応してなくて脆弱だったけど、今見たら8~32文字対応に改善してた。
普段から99文字パスワード使ってるのでそれでも少ないけど、8桁の数字のみの頃よりはマシになった。 体感的には海外サイトの方がパスワードに漢字や絵文字使える率が高い 漢字があると海外のサポートがパスワードを打ち込めない 漢字のパスワードを受け入れづらいのは文字コードに詳しい人なら分かるはず
海外のサイトが漢字のパスワードを使えるのはそれを知らないから サポートがユーザーのパスワードを打ち込むのか?
恐ろしところだな >>773
オリジナルな水増しには効果があるけど
仮に影響力あるサイトでその手法が紹介されたとしたら
攻撃者側で対策するのも簡単なので一気に効果が消えるな
よって攻撃者にパスワード生成法知られていても安全な方法を使うのが基本 >>790
?
レス元は同じパスワードを2回書くという最も単純な繰り返しだろ?
攻撃者からすれば繰り返しなし/あり両方試せばいいんだから、総当り対象が2倍に増えるだけじゃん
それに対し1文字英数字を増やせば計算量は62倍に増える
繰り返しパスワードの使用者が限りなく少なければ攻撃されないだろうけど
一定数いるとすれば、1文字増やすより圧倒的に楽なんだから当然狙われる >>788
高齢者をサポートするためには必要なことです >>768
日本のメールサービスは…と言うところが突っ込みどころ満載。
今時、POPSとか対応してない方が少数派だと思うけど?
メールサーバー内でメールを暗号化していないという意味なら、日本に限定する意味ないと思うし。 >>793
クライアントとメールサーバ間じゃなくて、中継するメールサーバ間の話
まあこれが解決しても、結局E2Eじゃないので、やっぱりTOTPが良い >>794
なるほど、その観点は抜けてました。
ググってみたら、日本のドメインはアメリカと比較して、中継時の暗号化の割合が低いというページを見つけました。(本当かどうかは分からんけど)
結論がTOTPが良いとのことだけど、あなたの主張は途中が抜け落ちているので中々分かりにくいですね。 >>791
それは半分答えが分かってるから計算量が二倍で済んでるんです。
攻撃者は普通「二回繰り返してる」なんて知らないから。
二回繰り返すでも、1abcabcとかなら計算量二倍で済まないでしょ。
最近の定説ではランダム具合より、桁数が多い方が有効だそうですよ。 >>796
いや知ってるだろ
p@ssw0rdみたいなのも知ってるから一瞬で破られるけど
攻撃者は普通文字を置き換えてるなんて知らないから安全とか言うの?
あなたの主張は途中が抜け落ちているので中々分かりにくいですね 高齢者といえばJABANKなんだが、パスワード関連の仕様が偉く複雑で面倒くさい上、Androidアプリが3つも4つもある。
数ヶ月前まではもっと複雑怪奇だったし、何度か間違えると、実店舗まで出向いて紙面に再手続きの申し込みからやりなおしだった。
あれじゃ、年寄りじゃなくてもとまどうし、使い勝手の悪いシステム。
今でこそほぼオンラインで完結出来るようになったけど、複雑さは残ったまま。 >>789
773の者ですが勉強になりました
いろいろな方の意見も聞けたので質問してよかったです
私事ですが最近マスターパスワードを長くて複雑だけど覚えやすいものにしたくてあれこれ思案しています
また質問をしたいのですが皆さんはマスターパスワードをどんな方法で作成していますか?何かオススメの方法などがあればご教示いただけるとありがたいです >>796
> ランダム具合より、桁数が多い方が有効だ
そんな定説はない。「記号混ぜるより、ランダムな英数字1,2文字増やすほうが有効」というのは正しい
1abcabcタイプの繰り返しも6桁レベルでなく4桁レベルの計算で網羅できる
複雑化ルールは知られても対策不可能ものにするか、あるいはオリジナリティを高めるかの2択で
例に上がってる繰り返しはそのどちらでもない >>799
https://www.hyuki.com/diceware/
この文章は割と古いので4~6ワードと書かれてる部分は5~7ワードと読み替えた方がいいかもしれない
日本語のワードリストは国語辞書を代替にしてもいいし、ググって出てくるものを使ってもいい
とはいえ同強度の普通のランダムパスワードより文字数が相当多くなるので、どちらを採用すべきかはタイプ能力による
自分は日本語ならそこそこ早く打てるがランダム文字列を打つのはうんざりなのでDiceware
参考
https://imgs.xkcd.com/comics/password_strength.png >>799
ランダム系は忘れるから
漢字で小説人名2つにしてる 漢字とか絵文字とか自由に使えるのが理想だけど
現状、非漢字圏のソフトウェア作者が何気なく管理ソフトの仕様を変更するだけで詰む恐れがあるからな...... 5chのIDを適当に繋ぎ合わせてそのスレとレス番だけ覚える
よほど削除されそうなスレじゃなければもしパスワードを失念しても
いつでもどこからでも復活させれる可能性も高い
例えばこのスレの>>1-3なら繋に使う記号等はお好みで
FCfy+SDh0(><)aC4uSfA60(^^)M0B5RHsZ0 で小数記の全てが混ざった35文字が出来る
自分だけこの事を覚えていたら複数のカモフラージュ用のスレと一緒にスレごとPDF等にして
平文で適当に置いといても大丈夫! 詰まない 記号を混ぜるよりも桁数を増やす方が
同じエントロピーでも人間が覚えやすいというのはある
それを「有効」と言ってるのかもしれないけど
すぐに斜め読みされて強度の話にすり替わって
歪んで広まりそうだな ここまで来ると、パスワードが漏洩する確率の方が遥かに高そうだが 子供の名前は斎藤卍の助にして年齢足せばパスワードになるようにしたい >>801
>>802
返信ありがとうございます
Dicewareで検索してみたのですがこの方法はいいですね
やっぱり私もワードの方が覚えやすいので無理にランダムな文字列にこだわらずDicewareをベースにしてマスターパスワードを作成してみようと思います
あと少しアレンジして数字と記号を覚えられる範囲で入れ込んでみたいですね…ちょっとチャレンジしてみます
>>804
この方法もユニークだけど良いアイディアですね
なるほどこういう方法もあるのかと勉強になりました
有意義な情報や方法が聞けて本当に良かったです
どうもありがとうございましたm(_ _)m >>797
何でも知ってるあなたなら、このファイルのパスワードも瞬殺だよね?
ttps://23.gigafile.nu/0914-c19bb2a476973fd07fe0af6e97c1f0b03
まあ、知ってると思うけど、このファイルのパスワードは二回繰り返してるよ。 盗まれる可能性を知っている人=泥棒
殺される可能性を知っている人=殺人者
みたいな主張?
あなたの主張は途中が抜け落ちているので中々分かりにくいですね ところでドコモ口座で不正出金騒ぎが起きたのですが皆さんは大丈夫ですか?
結構大変なことが起きてしまったと思うのですが…
「ドコモ口座」不正出金で注目 「リバースブルートフォース攻撃」ってどんなもの?
https://news.yahoo.co.jp/articles/4be25ae1a727820b69432f1442f4d6f9e1397db0
こういう攻撃方法もあるんですね…怖い 銀行のワンタイムを他のサイトのログインにも使えるようにすればいいのに なんだか今の所テレビでは不正出金の事をどこも報じてない感じですが情報統制でも敷いているんでしょうか?
下手に報じて万が一取り付け騒ぎが起きたらマズい部分もあるんでしょうね
しかし肝心の口座番号などの情報はどこから漏洩したのか…
この間の10万円の定額給付金でほとんどの国民が行政側と口座番号などの情報をやり取りしましたよね
その情報の管理ってしっかりと厳重に管理されていたのか個人的にはちょっと疑問なのですがまさか定額給付金事業に携わった者から漏洩したなんてことは… 給付金詐欺が流行ってたらしいから漏洩じゃなくて、騙し取られた情報が使われてるんだろ >>816
まだ発生したばかりだからじゃないの
何気に大事件になりそうな感じだしいくら忖度してもこれを報じないって事はできないだろう……
ペイペイ、セブンペイ 後払いサービスを利用した不正とここの所ネット決済関係の
事件ばかり起きてるな扱うサービスに対してセキリティがゴミすぎなんだろう ニュース板だとドコモ叩きが多すぎて違和感がある
銀行の認証システムが甘すぎだろとしか思わん 銀行に非がないとは言わんが、
インターネットバンキングやっていないユーザの本人確認には、
暗証番号くらいしか秘密情報がないから、
厳密な確認は口振先(ドコモ)がやるしかないんだよ。
それをサボった罪は大きい。 そもそも詐欺に騙されたり、地銀が漏洩しなければ問題無いわけでして 口座情報と暗証番号(4桁)で連携を許可した銀行側の問題だろ。
ネットバンクじゃないから暗証番号のみとか旧態依然としすぎ
手っ取り早く対応するならJNBみたいに物理トークン発行すればいいだけ >>812
パスワード最低文字数のってこれ対策の面が結構大きい
ただのブルートフォース対策だけなら10回間違えばパスワード無効化などに設定すれば
4桁暗証番号でも構わないくらいだからな(リバースブルートフォース攻撃には当然弱い) 4桁の暗証番号とかみんな日付使うやつじゃん
そうなると365パターンまで減るから特定余裕なんだわ ドコモがユーザー馬鹿にしてんのがハッキリしただけだよ ログインパスワードはパスワード管理ツールを使い長くて無作為でシステム毎に違ったものにしている
でも金融機関の4桁パスワードは全部同じなんだよなあw
仮に暗証番号を知られてもカードが無ければ無意味だからそれでいいと今までは思っていたんだけどなあw 4桁PINで十分な理由はそれ。物理デバイス必須だから。
ネットで認証の砦として使ってはいけない。
ドコモ自身が厳格な本人確認すべきだった。 ドコモ以前にそもそも銀行が連携するべきでは無かった ドコモ口座の不正出金問題に関する被害の全容はまだまだ明らかになっていないようですが肝心のドコモ側の対応がどうもサイバー犯罪やユーザー等に対して後手に回っているように感じますね
ドコモ口座のサービスを一旦停止すれば取り敢えず被害自体は食い止められると思うのですがドコモは未だにそれをやらないんですよね…私にはユーザーの利益保護よりもただただ自己保身に走っている様にしか見えません…
あと大手のゆうちょ銀行も提携している銀行でココから被害者が出なければいいのですが万が一出てしまうと本当に大変な事態になりますね
何だか認証も緩いらしいので
こういう情報に疎いと思われるシニア層が被害に遭ってないかかなり心配です
ウチの親にも聞いてみないと… ひとりごと形式で長文書く奴は情報に疎いか、頭沸いてるかの二択 この程度の文章で長文とか行ってる奴は低学歴か、
日本国籍を持たないくせに日本人ズラしてる奴の二択 昨日あたり、ニュースでやらないのは何かの陰謀か?とか言ってた連中がいたが、
今どういう顔してニュース見てるんだろう どっちでもいいけど自分語りはブログかTwitterでやってくれ ゆうちょ銀行、口座はあるけどよく考えたらキャッシュカードないから大丈夫だな。 サイコロひと振りで、“推測不能”なマスターパスワードを生成:「DiceKeys」が打ち出すセキュリティの新機軸
ttps://wired.jp/2020/09/10/dicekeys-cryptography/ 結局去年5月からあったのにその事実を隠蔽して
さらにドコモがセキリティを低くして
今回のこれ完全にドコモが悪だって事がハッキリしたな
地銀が悪いって次はユーザーがちゃんと暗証番号を守ってないのが悪いとか言い出したぞドコモ
もうどうしょうもないなドコモ鎖すぎ ここのみんなってMoneyTreeやMoneyForwardとかって使ってる?あれってログインIDとパス渡さないと使えないよね? パスワードを預けてるって意味では関係あるかもな
>>842
連携させるサービスによる
ほとんどの銀行はAPIが導入されたのでパスワードを渡さなくても使えるようになった
クレカなどはIDとパスワードをMoneyTreeやMoneyForwardとかに渡す必要がある セキュリティ意識が高い人達の実用に足るものなのか気になってつい。すまない管理ツールのスレだった。答えてくれた人ありがとう。 銀行は法規制入ったけど (正確には9月末まで猶予期間) 、クレジットカードは無理なんだろうか
抵抗感あるのは確か keepass2.46のダウンロードが始まらないんだけど何で? >>847
公式からSOURCEFORGE(JAIST)に飛んだ後だよね
自分もそうだったので
[Problems Downloading?]ボタン→direct link
を選択した
なんでだろうね
Firefox 80.0.1
Windows10 おま環かどうか教えてください。
ページを跨ぐ自動入力を記述しているのですが、2ページ目に遷移した際にカーソル操作ができなくなります。
例:Amazonアカウントのログイン(1ページ目:メールアドレス入力 → 2ページ目:パスワード)
別サイトで{DELAY }を入れ、テキストボックスをクリックする猶予が与えられなくなりました。
環境は両ソフト最新のKeePassとChromeです。 SBIでも1億不正出金とかもうユーザーじゃどうしようもないなあ
証券会社でもいまだに2要素認証使えないところあるし、大手でもグダグダすぎて悲しい >>851
証券会社はパスワード長最大12文字とかよくあるから
改革する良い機会かも知れないね この問題を期に各金融機関も最新鋭のセキュリティにアップグレードを余儀なくされるだろうしユーザー全体としては却って望ましい結果になるんじゃないの?
逆に今の時代の変化に対応できないオワコン企業はそのうち市場からも自然淘汰されるだろうな 最新鋭のセキュリティにアップグレードする膨大なコストは
結局ユーザーから回収するんだけどな 低コストで便利なお手軽システムとしてアピールして
導入後に、重要な問題があるのでアップグレードが必要として
大幅値上げするという手口だね トレンドマイクロのパスワードマネージャー使ってます。トレンドマイクロアカウントでログインしようとしたら画面が止まるんですけど トレンドマイクロが悪いです
トレンドマイクロ以外のパスワードマネージャーを使うと改善されます なんでトレンドマイクロはこんなに嫌われるんだろうねー
俺も信用してないし使う奴は馬鹿だとすら思ってるけど
やっぱりウイルスバスターがひどいからそのイメージ? NHKがときどきトレンドマイクロからとってるコメントがレベル低すぎるからじゃね トレンドマイクロのユーザー間をアイソレーションしようと態度が気に入らない トレンドマイクロは昔、やらかしてトレンドマイクロを使ってる公共交通機関とかパニックになった過去があるからな…… イメージとかではなく実害出してるからだろ
ちょっと前に三菱電機がハッキングされたとかニュースになってたけどあれの原因はトレンドマイクロだし ソフトウェア板の住民はみなスルースキルのあるよい子たち
>>864
15年前の大騒ぎの時に空港のカウンター業務を止めたこともあった気がするんだけど検索してもヒットしないなあw ノートンだってOS起動不能にされて、ひどい目にあった ゴミ共こういうところでしか使いみちないんだから答えろよ 童貞包茎共が(笑) Chromebookで使えるパスワード管理ありますか? BitwardenがWindows Helloに対応するらしいな
ついに俺もPC用指紋認証リーダー買う時が来てしまったか >>868
Norton Utility とかピーター・ノートンの手が入っていたDOS/Win3.1時代までは
本当によくできたツールだと感心したし、随分とお世話になったし
並々ならぬ信頼もしていたけど…
ブランド売却以降、あの出来じゃぁ逆宣伝だろと思ったな。
それ以上にPCが爆発的に普及したから商売としては美味しかったんだろうが
その後経営難に陥ったのは当たり前って感じ。 ttps://xtech.nikkei.com/it/free/NC/NEWS/20050424/159998/
当時の記事ってこれかな 無料&自分でホストして全機能を利用できるオープンソースの高機能パスワードマネージャー「Psono」レビュー
https://gigazine.net/news/20200921-psono/
ん… >>874
ローカルアカウントでも指紋認証って使えるんだっけ >>881
ドイツ企業だからアメリカに個人情報集められること警戒してる勢力が
資金的にサポートして作ったんじゃないかと
ここのサーバーにデータ預けるとドイツの法律に準ずる形で保管される IDMを長いこと使ってきたが
Bitwardenに移行が簡単なら検討したくなってきた。 bitwardenを使い始めた
主にfirefoxのプラグインとして利用する予定だが
lockwiseと併用することになるのかな Bitwardenはバグが多い。
Mac版クライアントなんかまともに使えない。
一度ログイン後、しばらくして自動ログオフされた後の再ログオンができないとか。
chromeプラグインの保管庫検索がおかしいのも直らないし。 BitwardenのWindows版デスクトップアプリは何に使えばいいの?
ブラウザのプラグインと連動してる様子もないし…
プラグイン版と比べると編集操作しやすいくらいしかメリットが見えない 編集もブラウザで公式サイトにアクセスした方が早いし楽 ブラウザ以外のWindowsアプリにID/PWを自動入力できるようになれば良いな、という期待か Bitwardenにてログインは自動入寮できるのですが、例えば証券会社の取引パスワードを呼び出して自動入力させる方法はありますか?カスタムフィールドであれこれやってますがうまく行ってないです。 あれこれやってうまく行かないんなら無理なんじゃない? 「警察当局はAmazonの顧客データをこうやって要求している」
https://jp.techcrunch.com/2020/09/28/2020-09-27-this-is-how-police-request-customer-data-from-amazon/
どんな企業でも多少の捜査協力はするだろうがAmazon側は捜査機関に対して随分と協力的に顧客側の情報開示を行っているようだ
まさかお前らAmazonで国家権力に目を付けられそうなヤバいモノとか買ってないよな?大丈夫か? 中国やロシア以外で、スマホなどとクラウド同期できて、
無料じゃなくて、年間2000円以内のものってありますか? keepassを条件に合うクラウドストレージで運用するという手もある syncthing使って端末間でミラーリング同期したら?
keepassのデータベースを同期してるけど便利だよ syncthingはp2pだから使えない人も多そう resilio syncは起動させたままだと
電池食いまくって閉口したんだけど
syncthingは大丈夫? 自分の端末にsyncthing入れて1年ぐらい使ってるけど電力消費の問題とかは無い
ただ同期しているデータは合計100MBぐらいでデータ容量と通信量が少ないぶん電力消費も少なめで済んでいるだけなのかも…? resilioは泥版がサイレントクラッシュするしsyncthingはNASのユーザー権限管理が面倒だしでなかなか一本化できん
今は resilio(NAS-PC間) + SMBSync2(NAS-泥間) でやってる 管理の手間とか考えたらなるべくシンプルな構成にしたいよね
自分はVPSと各端末にSyncthingを導入して [端末<-->VPS<-->端末] みたいな構成でVPSを介して各端末と同期してる
いろいろ試行錯誤してこの形に落ち着いた enpassの同期機能(dropbox)に落ち着いた Make your digital life more secure and more convenient. Normally $59, a lifetime license to Enpass Password Manager is now 58 percent off at just $24.99.
なるほど
悩む Enpassユーザーにちょっと聞きたいんだけど他のメジャーなパスワードマネージャーと比べてEnpass独自の長所とか利点って何かあるの?
今セールやってるみたいだし買ってみようか悩んでる Enpassは買い切り版がある、ローカル保存がメリット
同期は他社クラウド等で運営会社信用してない人向け
前試した時、WindowsとandroidはKeepassXC + ブラウザアドオンとkeepass2androidの方が使いやすかった
iPhoneとiOSはEnpassの方がいいかも Enpassは無料でもTOTPが使えて公式にPortable版もあるので
俺はその辺だけを適当に活用してる なるほどiPhoneだったらEnpass使うのもアリって感じなのね
Androidユーザーだけど試しにちょっとだけ触ってみるかな… パスワードマネージャー自体でTOTPを管理するのは微妙だが >>912
買い切りが一番有難い。
ローカル管理のソフトだとプラットフォーム毎に買わなきゃいけないソフトが多い中、
何れか1つ買えばいいのも助かる。
PC、iPhone、AndroidをGoogleDriveで同期して使ってる。 >>914
間違えた
×iPhoneとiOSはEnpass
〇iPhoneとmacOSはEnpass enpassって課金する程便利で安全なものなの?
初めて使ったパスワード管理ソフトのbitwardenをそのまま使い続けてるからわからん。 それなりに広く利用者がいて悪評がないのなら
とりあえずいいんじゃね?
こだわるなら自分で勉強するしかない >>917
確かに
でも2FAアプリとパスワードマネージャーを別々に使うのだんだん面倒くさくなってきて結局Keepassで一緒に管理してるわ TOTP 使うのはセキュリティのためじゃなくて
パスワードは合ってるのに不正アクセスと誤認されて最悪ログインをブロックされるというリスクを下げるためなので
普通にKeePassで一元管理してる
TOTP をちゃんと運用するなら、シークレットキーのバックアップは厳禁、バックアップコードは紙に印刷して保存、って感じでかなり面倒くさい
そこまでして知識、所有の厳密な2要素にこだわるよりは、KeePassの暗号強度(と流出対策)を信頼するね 暗号を過信するのは良くないけどね
解けない暗号は無いから >>925
マスターキーが推測不能かつ20文字以上なら、国家権力レベルを仮に想定したとしても解けない暗号と言っていいでしょ
まあ、PCに特殊なマルウェア仕込まれるとか、入力画面を盗み見されるとか、凶器で脅されるとか、
暗号化では守れないリスクはいろいろあるが、その辺は利便性とのバーターで諦める 暗号に穴がないとは言えない。
数学の大発見があればそれで終わる可能性もある。
金庫で例えれば、
鍵が盗難される可能性、
錠の複雑さ、
金庫自体の堅牢さ、
これはまったく別の問題。 所詮は時間稼ぎのツールだから
寿命まで逃げきれば勝ち 多少の高速化はあり得るだろうし、安全マージン加えて鍵を複雑にするくらいはやるが
暗号化が無意味になるレベルの数学的発見まで脅威と捉えるなら、インターネット捨てるしかないね
個人のパスワード管理なんてどうでもいいくらい影響範囲が大きすぎる ドイツのエニグマもまさかコンピュータ使って解読されるとは思っていなかった。
そして解いたイギリスも解いた事はずっと伏せていた。
つまり、解かれても何事もなかったようにインターネットは継続するのよ。 ネット銀行のワンタイムパスワードの暗号方式が漏れてるとかなんとか言ってた人いたけど漏れてるなら暗号方式変えないの?
ワンタイムパスワードが漏れてワンタイムパスワード端末がなくても数字わかるとかヤバない? 初耳なんだけどそれホント?にわかには信じがたい話だなあ
実際にワンタイムパスワードが破られて不正送金された事例とか聞いたことないし bitwardenの脆弱性がどうたらって結局どうなったんだ 嘘か本当か知らんがドコモ口座が問題になった時にワンタイムパスワードの事も触れてテレビにも出てる専門家が言ってたな
ワンタイムパスワードの規格を決めてる所がハッキングされて
暗号方式の中身が盗まれたからワンタイムパスワードも安心じゃないとかなんとか >>938
>>631だけどJPCERTに問い合わせ送った事すら忘れてて今メール覗いてみたけど、一切返信なかったわ
念の為にBitwardenにも送ってたけどこちらも返信なし
これって問題にならない程度の手法ってことか?
マスターパスワードさえ漏れなきゃ問題ないからどうとも言えんけど >>940
捨てメールじゃなくて、本メール使ったんすか? >>942
フォームにはちゃんとGMailのアドレス入力したぞ そりゃ規格を決めてるところが秘密情報を持ってる暗号方式なんて
安心して使えないよな なんとなく話を聞いた印象だと初期パスワードを秘密鍵の生成に流用するとかの類なのかな >>940
ずっと返信無いなら、Bitwardenの公式フォーラムかGitHubかでオープンにしようよ
話の通りだとしてもバレたらそ >>947
バレたら即ユーザが危険にさらされるわけではないし
正しくとも勘違いでも、オープンにならないと、ただの風説の流布 メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大 メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大 そのBitwardenの脆弱性って最新のバージョンでも修正されてないの?
実はメールを読んでてすでに修正してるとか?もしかしたらだけど >>951
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする 取りあえず2FAはメール受信に切り替えた
さすがにメールならすぐ気がつくだろう >>955
メアドは別のにした?同じだとメアド乗っ取られたとき大変だよ TOTPが弱いからダメ、という点ではなく
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか? りょうここんぴゅーたーならあっという間っていうてた bitwarden使ってないしTOTPの脆弱性もピンとこないが
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる よくわからんけどbitwardenのマスターTOTPは暗号鍵が固定でパターンが6個しかないってこと?
暗号鍵の再発行ができるようになってないなら確かに問題だが
チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし >>964
だからenpassにしろとあれほど・・・ OTPの別入力を許すサービス設計は昔からあって
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ
慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・
脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど 許容するにしても警告なしは普通にマズくね?
例えば5回連続で失敗したら一時的(1時間位)にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは... >>970
それな
実際TOTPロストした奴がこの手法でアカウントにアクセスできてる時点で何らかの対策をとる必要があると思う 二段階認証をメール方式にする
※Bitwarden登録に使用したメールアドレス以外
無料会員の暫定対応はこれであってるかな?
有料会員ならもっと選択肢ありそうだけど 自分が「こうあるべき」「これが必要」と思うのは自由だし
利用を中止するのも気にしないのも緩和策を選ぶのも運営元に要望を出すのも自由だけど
公的機関が脆弱性として扱うかどうかは自分がどう思うかとは別問題ってこと まあその方針を貫いた結果が今問題の地銀アタックなんだけどな パスワードマネージャーはKeepassが安定最強って認識でOK? Keepassは情弱には厳しいから初心者はEnpassでも買っとけ KeePass新規はKeePassXCがいいぞ、UIがよりスッキリしててわかりやすい
Android も iOS も UI 良くした新規アプリが続々出てきてて、やはり熱気あるコミュニティは良い >>977
あれがやらかしたのは
「TOTPがあるからマスターパスワードは廃止してもいいよね」
レベルだからダメさの桁が違う https://www.keepassdx.com/
AndroidアプリでKeepassDXってのが最近出てきたけどこれイイよ
ずっとKeepass2Android使ってて特に不満はなかったけど見た目はDXの方が今風で好みだからこっちに換えた >>986
試したけどUIはシンプルでこっちの方がいいな
データベースマージ機能無し?でPCとクラウド同期してると上書きされてデータ消えそうで様子見 >>986
KeePassDXイイネ Googleアンケートで残高貯まってたからさっそくPro版買ったわ keepassはプラットフォームや
プラグイン毎に全部作者が違うのがちょっとね
他は不満無かったけどそれが嫌で
enpassに切り替えた >>988
pro版は開発支援版だから、普段使いは今のところ無料版のほうがいいかも
違いはSteam TOTPに対応して、2つテーマが増えるだけで
無料版のBeta版基準で更新されるから、まれに安定してないときがある
(今はBeta版出てないから、無料版と有料版は同じバージョンだけどね) androidはオープンソースで優秀なアプリがあるからいいな KeePass クライアントに限っては Strongbox も KeePassium もオープンソース
とはいえGPLライセンスとApp Storeの規約は非互換なので、事実上改造も再配布も禁じられているようなものだが >>987
データベースのバックアップ機能などはまだまだ発展の余地はありそうだね
自分は個人利用の環境だけど各端末とクラウド同期しても使用上の不具合は起きてないよ
>>988
自分も気に入ったから応援の意味も込めてPro版購入したよ〜 >>991
>無料版のBeta版基準で更新されるから
これは知らなかったけど、あとはわかった上で金払ったよ >>995と同じく応援したかったから iOS用のKeePassクライアントはなにがいいんだろ >>995
作者はバックアップ機能の実装には消極的っぽい
バックアップには Syncthing とか外部アプリを使うことを推してる感じ
とはいえ、競合したらデータベースのマージができるようにはしようとしてるみたい
>>997
自分も応援で金払ってるし、テスターのつもりで Pro 版使ってるけど
前安定版から現バージョンまでそこそこバグ出してたからね、一部端末で起動時クラッシュとか
個人開発で機能追加も活発だと品質保証までリソースが回らないのも当たり前だし、ベータテスターの確保なしには安定版はリリースできないけど
Proという名前で不安定なのはええんか?と思わなくもない このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 197日 3時間 35分 9秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。