パスワード管理ツール Part15

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2023/08/19(土) 18:05:02.94ID:uR1cfZIa0
パスワード管理ツール(ソフトウェア)について語るスレです。


前スレ
パスワード管理ツール Part14
https://egg.5ch.net/test/read.cgi/software/1659687785/

0300名無しさん@お腹いっぱい。2023/11/02(木) 22:45:26.20ID:y0nNmJqV0
とあるクラウドシステムの管理コンソールのパスワードが60文字まで可、だったので試しに40文字で設定したらログインできなくなった。
htmlのソースを見たら、設定するときは入力できるが、ログイン画面は最大32文字で制限がかかっていた。
サポートに問い合わせしたら1か月後に修正された。
これまで何年も33文字以上のパスワードを設定したユーザーはいなかったのだろう。

0301名無しさん@お腹いっぱい。2023/11/02(木) 22:57:26.79ID:e3oWziZr0
まぁ、40桁とかツールないと覚えらんないしなw

0302名無しさん@お腹いっぱい。2023/11/02(木) 23:39:21.71ID:48x572kv0
昔8文字を超えるパスワードを設定すると
ログインする場所によって先頭8文字でないとログインできないところと
全部でないとログインできないところが混在して
大変になったことがあったな

0303名無しさん@お腹いっぱい。2023/11/03(金) 01:09:42.89ID:dKyW0C2/0
今は使われてないと思うが、昔のUNIXだとパスワードの保存にDESを使ってたから
何文字入れても 8文字で切られてたな

0304名無しさん@お腹いっぱい。2023/11/03(金) 01:12:29.72ID:yg1d33T00
今でもそんなところがゴロゴロしてる
文字数上限5000兆文字にしろとは言わないからせめて64文字くらいまでは受け入れて上限も明示してくれとは思う

0305名無しさん@お腹いっぱい。2023/11/03(金) 01:36:15.25ID:tBJc/tgo0
仮にパスワードの上限を256文字にしても現代のインターネットなら大した通信料にはならないだろうし。
普通はパスワード自体はデータベースに保存せずにハッシュを保存するから64文字だろうが256文字だろうがデータベースに書き込む容量は変わらない。
たぶんシステムを開発している人はパスワードマネージャーのことを知らなくて、どうせ20文字以上のパスワードを使う人はいないだろうと思って短めに設定してるんじゃないか?
もしくはパスワードの上限を64文字にするとシステムをテストするときに64文字以下のいろんな長さのパスワードでテストしなくちゃいけなくなるから、手間を省くために上限を短くしているのでは。

0306名無しさん@お腹いっぱい。2023/11/03(金) 06:43:08.68ID:NtbtVSru0
単なる仕様の確認漏れや不整合だろ考えすぎだよ

0307名無しさん@お腹いっぱい。2023/11/03(金) 07:58:13.87ID:faH+uRjM0
ようするに8桁以上は実用性ないよな

0308名無しさん@お腹いっぱい。2023/11/03(金) 08:59:48.31ID:zdhIz8TU0
文字数の上限を明示してくれ、に同意
せめて、上限を超えていたらエラーを出してくれ

0309名無しさん@お腹いっぱい。2023/11/03(金) 09:22:47.48ID:mQByA3f40
全サービス2FAを希望します
次回以降この端末では〜前提で

0310名無しさん@お腹いっぱい。2023/11/03(金) 14:15:07.68ID:qmWkb5DA0
上限6文字を明示されても困るけどな
(銀行で実在する)

0311名無しさん@お腹いっぱい。2023/11/03(金) 21:45:17.44ID:TVgt8IGt0
Sticky PasswordプレミアムLifetime 85%Off $29.97
https://jp.colormango.com/product/sticky-password-premium_103255.html
ここから本家に飛ぶとブラックフライデー価格で$39.99てどういうことよ

0312名無しさん@お腹いっぱい。2023/11/04(土) 05:40:52.32ID:kSagwmro0
ドコモのネットワーク暗証番号は今でも4文字の数字

0313名無しさん@お腹いっぱい。2023/11/04(土) 08:02:08.11ID:CN7IRpDB0
>>312
auもそうやで

0314名無しさん@お腹いっぱい。2023/11/04(土) 10:50:55.10ID:UM8wTj+h0
暗証番号は誕生日定期

0315名無しさん@お腹いっぱい。2023/11/04(土) 13:20:15.50ID:XzQvlKXy0
>>312
ソフトバンクも楽天もじゃね?

0316名無しさん@お腹いっぱい。2023/11/04(土) 14:57:10.85ID:++Cb0Fm80
5桁以上になるとATMが対応できないとか?

0317名無しさん@お腹いっぱい。2023/11/04(土) 15:35:48.10ID:QiNVorWX0
4桁暗証番号は他の認証をした上で重ねての本人確認用途だからな

0318名無しさん@お腹いっぱい。2023/11/04(土) 15:56:29.53ID:Got/TfBf0
メモ
KeePassで二段階認証2FAがプラグイン導入等でできるかどうか調べる中で
Edit Entry(Quick)の中に
OTP(ワンタイムパスワード) Generator Settings
があることを発見して各種サイトで試してみた結果

サポート
X(secret Base32 その他デフォルトのまま)
epic games(secret Base32 その他デフォルトのまま)
二段階認証成功して利用中
作成の時
Time-Based TOTPタブを使う
QRコード表示の下に見れない場合というリンクがあって
それをクリックすると秘密コードが表示されるので
コピペしてshared secret欄に入力するとOTPが表示される
使用時は右クリック時にOther Dataの中にCopy Time-Based OTPがあって選ぶとクリップボードにコピペされる

非サポート
MicroSoft Account
Amazon
Google Account
生成したワンタイムパスワードを入力するが弾かれて成功しない
デフォルト設定から変更する事が必要なのかもしれないが
ググったところではどこをどう変更するのか情報がないようだ
amazonは生成したワンタイムパスワード入力してそこまではできたが
最後のSMS認証で一度キャンセルしてしまって
その後はなんどもトライしたが弾かれてしまうのでおま環の可能性がある

0319名無しさん@お腹いっぱい。2023/11/04(土) 17:13:32.02ID:HRaXM6/h0
>>318
何をしているのかよくわからんが、ms,google,amazonは普通のtotpクライアントであれば既定値で利用できる。

Keepassの標準機能でTOTPが使えるか試したことないけど、プラグインのKeepassOTP使っておけば、secretだけちゃんと登録すればパラメータいじる必要はない。

0320名無しさん@お腹いっぱい。2023/11/04(土) 17:24:40.53ID:6zE0ZepW0
プラグインKeeOtp2でも特に問題なく各種サイトに使えてる

0321名無しさん@お腹いっぱい。2023/11/04(土) 18:50:00.46ID:Got/TfBf0
プラグイン不要のKeePass単体でTime-Based OTPを使った二要素認証ができるということが言いたかった
非サポートのリストに関してはおま環の可能性があって検証できてない

0322名無しさん@お腹いっぱい。2023/11/05(日) 00:36:43.93ID:fWxCTApf0
KeePass本体のTOTP対応は今更だし非サポートという書き方は誤解を招く

0323名無しさん@お腹いっぱい。2023/11/05(日) 10:24:41.08ID:r3SKxub30
まあぼくちゃんは知らんかったけど

0324名無しさん@お腹いっぱい。2023/11/05(日) 23:51:31.25ID:wqD71kb30
やっぱりやりすぎセキュリティさんイチオシのbitwarden一択じゃね

0325名無しさん@お腹いっぱい。2023/11/07(火) 00:50:33.44ID:mfBc1mya0
bitwardenって自ネットのみで使えないの?

0326名無しさん@お腹いっぱい。2023/11/07(火) 01:03:58.08ID:atjMPsOg0
>>325
https://www.kodaruma.com/2022/05/bitwardenvautlwarden-on-docker.html

0327名無しさん@お腹いっぱい。2023/11/07(火) 10:13:28.35ID:Y/eNwsjE0
keepassDXのメモ
漢字変換できなくなった
ひらがなで確定した状態でしか入力できない
11/06の夕方までは漢字変換できた

0328名無しさん@お腹いっぱい。2023/11/08(水) 00:17:23.89ID:OK5ZhkF40
>>326
有難うございます。でもドメインが必要??

0329名無しさん@お腹いっぱい。2023/11/08(水) 06:45:51.10ID:mVIkTIZv0
自ネットってどういう意味なんだろ

0330名無しさん@お腹いっぱい。2023/11/08(水) 06:49:51.94ID:vQu0AKG30
自宅LANのことだろ

0331名無しさん@お腹いっぱい。2023/11/08(水) 18:14:21.83ID:Tlqajpw20
Password Exporter使っておったんですが
新しいfirefoxでは使えなくなっているのですが
乗り換え先のアドオン教えてください

03323182023/11/10(金) 01:53:17.50ID:NDo0Ngfn0
>>320でKeeOtp2なら使えているということで検証してみた

プラグインなし状態のkeepassのみで2段階認証ができなかった件の検証と結果
対象はアマゾン

検証
プラグインKeeOtp2使用時出力されるトークンを比べてみたら違っていた

QRコードの下の読みこめない場合を選択すると
シークレットキーが表示されるがそのままコピペして
Base32を選び
貼り付けたら赤背景で不正な入力扱いされる

そこで4文字ごとに入っているスペースをすべて消すと
赤背景が消え入力を受け付けて
なおかつkeeOtp2と出力トークンが一致した

結果
アマゾンでプラグイン無しのKeePassのみの2段階認証でログインできている

検証してないがグーグルアカウントやマイクロソフトアカウントでも
大丈夫だろう

Base32を選びスペースをすべて削除したシークレットキーを入力すること

0333名無しさん@お腹いっぱい。2023/11/10(金) 10:56:42.57ID:9kGJb50V0
>>332
Keepassの標準のTOTP機能だと、secretの文字列にスペースが含まれていた時に、それを無視しせずに、入力値エラー扱いになるってことね。

Base32なんだから、空白をそのまま入力してもそれは駄目だと思うけど、他のtotpクライアントだと、スペースを勝手に無視してくれるからね。
わからんと嵌る罠。

なお、Base32はデフォルト値なので、わざわざ選ばなくて良さげ。

0334名無しさん@お腹いっぱい。2023/11/10(金) 15:11:41.46ID:HwhbelN80
キーの入力時に赤色になって弾かれるんでしょ
どこに罠があるの

0335名無しさん@お腹いっぱい。2023/11/10(金) 18:25:50.62ID:9kGJb50V0
>>334
>>318みたいに、何が間違っているのかわからん人がでてくるってこと。

0336名無しさん@お腹いっぱい。2023/11/11(土) 09:22:05.20ID:b/takZ7g0
>>327
自己レス
11/10のアプデで解消された👍

0337名無しさん@お腹いっぱい。2023/11/12(日) 10:09:44.26ID:yQxR44V20
>>332
追加検証結果

マイクロソフトアカウント
シークレットキーが英小文字+空白付きのため赤背景
大文字に変換して空白を削除することによって2段階認証成功

グーグルアカウントは試してみたけどグーグルからのメッセージで2段階認証するので
TOTPはサポート外?ということでいいのかな

0338名無しさん@お腹いっぱい。2023/11/12(日) 10:43:45.55ID:uyXFB0iA0
>>337
対応してる。
ただ、1つ目の二段階認証手段としては、sms,通話、セキュリティキー、ログイン済みスマホでの承認みたいに限定されていて、それらの内、一つを登録すれば、TOTPが使えるようになる。

0339あぼーんNGNG
あぼーん

0340名無しさん@お腹いっぱい。2023/11/12(日) 18:33:29.62ID:L/0g7yxE0
>>339
こういう方法もあるんだな

0341名無しさん@お腹いっぱい。2023/11/13(月) 05:50:37.33ID:0PG5xiWJ0
ステマは法律で禁止されたけど海外にいる人まで逮捕できないからステマし放題なのか。

0342名無しさん@お腹いっぱい。2023/11/13(月) 08:06:03.94ID:MDT2eT5n0
>>341
罰せられるのはステマをさせた業者の方だよ

0343名無しさん@お腹いっぱい。2023/11/13(月) 08:14:31.75ID:0Y7zqNsg0
よく間違ってる人がいるけど
ステマ禁止法にはステマをさせた企業に対する罰則はあるけどステマした個人にはないよ

だから5ch運営がTIKTOKにやめさせるようにクレームを入れればいいだけ、TIKTOK側でBANしてもえたらメシウマ
無視されたら色々すっとばして警察でもいいんじゃね

0344名無しさん@お腹いっぱい。2023/11/13(月) 09:46:04.42ID:ZpHr0vpt0
>>343
ただTikTok自体は広告代理店にぼかした言い方で指示していてステマしろとは言ってないだろう
その下請けやそのまた下請けが勝手に突っ走ったことになってるだろうな

0345名無しさん@お腹いっぱい。2023/11/14(火) 17:58:32.19ID:qr8HGroK0
これでええだろ
https://i.imgur.com/1fr0rIy.jpg

0346名無しさん@お腹いっぱい。2023/11/15(水) 07:59:59.69ID:LA/Xdl5I0
絵絵

0347名無しさん@お腹いっぱい。2023/11/15(水) 19:26:01.47ID:B9+rJ9TA0
こっちにしてみた
https://i.imgur.com/r9nHQna.jpg

0348名無しさん@お腹いっぱい。2023/11/18(土) 12:00:36.98ID:3uUWIK3I0
使ってはいけないパスワード2023年版、第1位発表
https://news.mynavi.jp/techplus/article/20231116-2819873/
こういうのって放置パスワードなのかと思ってたけど
順位変動有るって事は使っててコレなんだな
ホラーだわ

0349名無しさん@お腹いっぱい。2023/11/19(日) 11:44:28.52ID:hj4luLpJ0
生年月日安心安全説

0350名無しさん@お腹いっぱい。2023/11/21(火) 20:18:23.32ID:imQDPxlA0
>>348
11番目、うんこ自身に空目した。自虐かなと思ったら、unknownだった。

■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★
Donguri System Team