パスワード管理ツール(ソフトウェア)について語るスレです。
前スレ
パスワード管理ツール Part7 [無断転載禁止]c2ch.net
http://egg.5ch.net/test/read.cgi/software/1485568889/
パスワード管理ツール Part8
■ このスレッドは過去ログ倉庫に格納されています
2018/04/05(木) 10:02:51.08ID:0ZK9Qtai0
2018/07/30(月) 22:45:03.00ID:9mJCzrUJ0
答えろガイジども
2018/07/30(月) 22:52:49.10ID:7OQYR9+m0
僕、ガイジなんで答えられません
2018/07/31(火) 16:15:52.37ID:gwz+TcG70
>>260
加齢という脆弱性が...
加齢という脆弱性が...
2018/07/31(火) 22:55:51.99ID:tJwsYDph0
>260
その方法が今も主流で一般に普及してしまったからこそパスワード使い回し等の最弱状況が続いてるわけで
ミニPCみたいな副脳追加や機械の体を手に入れるのが最強だろうね
機械の体は病気もなくて普通の生活にもおすすめだぞ
その方法が今も主流で一般に普及してしまったからこそパスワード使い回し等の最弱状況が続いてるわけで
ミニPCみたいな副脳追加や機械の体を手に入れるのが最強だろうね
機械の体は病気もなくて普通の生活にもおすすめだぞ
2018/08/05(日) 06:26:06.03ID:ivY5D2WY0
ようやくパスワード管理ツールなるものを使い始めたんだけど
ブラウザには各サイトのパスを記憶させるもんなの?
今まではそうだったけど
ブラウザには各サイトのパスを記憶させるもんなの?
今まではそうだったけど
2018/08/05(日) 10:04:15.82ID:IMnbZT+L0
好きな方でいいと思うよ
ブラウザごとの個別管理か
ツール使って一括管理か
Chromeでログインしてれば一括管理みたいなこともできるがブラウザに限られるからちょい不便
スマホのアプリ類でも使いたければ管理ツール使ったほうが便利
ブラウザごとの個別管理か
ツール使って一括管理か
Chromeでログインしてれば一括管理みたいなこともできるがブラウザに限られるからちょい不便
スマホのアプリ類でも使いたければ管理ツール使ったほうが便利
2018/08/05(日) 13:03:22.53ID:FOt1rZNS0
ブラウザに記憶させてるパスは盗まれるリスクない?
2018/08/05(日) 13:06:46.11ID:KMQwoMm50
Google様に見られるとかそういう話ならもうすでに何もかもバレてるから安心しろ
2018/08/05(日) 13:21:28.39ID:FOt1rZNS0
いやそういうつまらない話はいいから
2018/08/05(日) 14:56:21.22ID:sSf/jzfh0
chromeやsafariで自動入力の情報を盗まれるってのはあったね
2018/08/06(月) 02:29:36.83ID:TckMcsrT0
管理ソフトからブラウザにオートフィルのデータ渡すときにぶっこ抜かれるリスクも考えてあげてください
2018/08/06(月) 02:45:25.55ID:5pzk1Em90
キーロガーに覗き見されるリスクを気にするよりも先に
キーロガーなど仕組まれない対策を講じるべきだろうとは思う
でもこのスレにいる人ならば釈迦に説法かな(^_^)
キーロガーなど仕組まれない対策を講じるべきだろうとは思う
でもこのスレにいる人ならば釈迦に説法かな(^_^)
2018/08/06(月) 02:50:25.08ID:Uj4U1pX20
パスワード管理ツールがあればブラウザのキーロガー要らないよね?
2018/08/06(月) 08:14:00.10ID:FkXacetL0
それはキーロガーの意味が違うような気がする。
275名無しさん@お腹いっぱい。
2018/08/08(水) 08:00:46.90ID:WfNtUtkQ0 KeePassでCtrl+Alt+Aで自動入力しようとしても全く反応しません。何が問題なのでしょうか
2018/08/08(水) 11:32:46.51ID:Dqn1fTL60
>>275
対象ウィンドウの設定は?
対象ウィンドウの設定は?
277名無しさん@お腹いっぱい。
2018/08/08(水) 12:58:36.08ID:WfNtUtkQ02018/08/08(水) 15:53:41.51ID:0bR9GHCi0
Androidを8.0にしたら、keepass2androidでデータベースのロック解除でアプリが落ちるんだけど、同じ方いらっしゃる?
ちなみに、キャッシュ消したり、データ消したり、1回アンインストールしたりしたけどダメだった
ちなみに、キャッシュ消したり、データ消したり、1回アンインストールしたりしたけどダメだった
279名無しさん@お腹いっぱい。
2018/08/08(水) 16:36:14.02ID:WfNtUtkQ0 275ですけど自己解決しました
お騒がせして申し訳ありませんでした
お騒がせして申し訳ありませんでした
2018/08/08(水) 17:51:43.88ID:sLnQEFGb0
2018/08/12(日) 01:08:58.54ID:y05YY/4J0
keepassでブラウザで自動入力させるのって動作しなかったりするから
結局ブラウザに記憶させてるな
結局ブラウザに記憶させてるな
2018/08/15(水) 00:21:21.00ID:vrD52KoZ0
けっきょくkeepassがベストなん?
2018/08/15(水) 01:00:02.38ID:2NnAUA1L0
>>282
どのようなデバイスを使っているかなど前提によるのでは
どのようなデバイスを使っているかなど前提によるのでは
2018/08/15(水) 13:12:04.85ID:/jj05Bn40
↓脳信者が一言
2018/08/15(水) 23:50:39.19ID:8W/mDcyh0
むしろKeepassを使い続けてる人は尊敬するわ
あんな使いにくいもんよく使ってられるなと
あんな使いにくいもんよく使ってられるなと
2018/08/16(木) 12:53:22.99ID:1Wf3OtdZ0
ローカル保存なのが安心感につながるからいいのよ。
2018/08/16(木) 13:22:23.25ID:aOkM5Wrt0
同感。あまりいないかもしれないけど、インターネットに接続できない環境で使うこともあるんで。
それとオープンソースなので開発中止になりにくいことを期待してる。
それとオープンソースなので開発中止になりにくいことを期待してる。
2018/08/16(木) 15:24:01.21ID:v7EYCy1W0
なりにくいというか、中止されても派生が出るからね
2018/08/16(木) 17:52:28.29ID:J0dP5CBX0
keepassのどこが使いにくいのかわからん
290名無しさん@お腹いっぱい。
2018/08/17(金) 06:36:14.13ID:2bLNmGm60 keepassのどこが使いやすいのかわからん
2018/08/17(金) 07:01:35.10ID:WtnXdv8u0
sshとか自分でハンドラ設定できるし
2018/08/18(土) 04:56:27.79ID:UKnXcKnX0
使いやすさよりも非クラウド、非営利、オープンソース開発を重視する奴向けだから
2018/08/18(土) 08:44:44.82ID:z/hAbBVE0
keepass使いやすいだろ
公式クライアントだけ見て使いにくいって言ってるのはアホや
公式クライアントだけ見て使いにくいって言ってるのはアホや
2018/08/18(土) 10:24:25.93ID:REbewsiu0
へえ
公式クライアントだけ見て使いにくいって言ってることにしてしまいたいくらい微妙なんやな
公式クライアントだけ見て使いにくいって言ってることにしてしまいたいくらい微妙なんやな
2018/08/18(土) 12:23:32.43ID:EjO03zJt0
同期や複合キーなどの面倒くささと安心感がトレードオフなのを納得できるかどうかが肝心
難しいならクラウド型をおすすめする
難しいならクラウド型をおすすめする
2018/08/18(土) 23:52:49.16ID:E4blVujU0
パスワードなんかより
素敵なこと 管理 して あ・げ・る☆
素敵なこと 管理 して あ・げ・る☆
2018/08/20(月) 06:57:03.18ID:tUeZfDDt0
Keep Ass
2018/09/02(日) 17:44:37.98ID:LPPx/rOR0
keepassでロボフォームのURL一致みたいなセキュリティ機能ないんですか?
あと開いたら自動で入力ボタン押さないと入力されないのも仕様なんでしょうか
あと開いたら自動で入力ボタン押さないと入力されないのも仕様なんでしょうか
2018/09/02(日) 19:32:12.76ID:zq8/DpyY0
>>298
OSとブラウザとプラグイン類などを明確化した方がいいのでは?
OSとブラウザとプラグイン類などを明確化した方がいいのでは?
2018/09/03(月) 13:19:03.71ID:ZYcFDRcz0
>>298
KeePassにURL登録してそれをクリックすれば近いんじゃない?
(好きなブラウザで開くようにもできる)
プラグインで自動化もできるらしいが、デフォではCtrl+Alt+Aで入力するのが基本
全自動入力はリスクもあるし個人的にはワンクッションあるのがむしろありがたい
KeePassにURL登録してそれをクリックすれば近いんじゃない?
(好きなブラウザで開くようにもできる)
プラグインで自動化もできるらしいが、デフォではCtrl+Alt+Aで入力するのが基本
全自動入力はリスクもあるし個人的にはワンクッションあるのがむしろありがたい
2018/09/09(日) 02:30:20.81ID:iXwxvcEp0
chrome+chromeIPass+keepassで使ってるけど、Amazonのログイン画面で全く自動入力してくれないので、ここだけブラウザに登録させたった。
ログイン画面を使いにくく改悪したAmazon、そういうとこやぞ。
ログイン画面を使いにくく改悪したAmazon、そういうとこやぞ。
302名無しさん@お腹いっぱい。
2018/09/09(日) 06:10:30.24ID:jy5wMmhJ0303名無しさん@お腹いっぱい。
2018/09/10(月) 23:50:44.12ID:eYEZoIbl0 無料でパス管理ソフト試したくてbitwardenにした。
どこの国で作っててクラウドしてるのか分からないのと歴史が浅いのがちょっと怖いけれど、
オープンソースなら大丈夫だろうきっと。無料性能が良かったし。
んで友達にbitwarden使ってること言ったら存在自体知らなくて馬鹿にされた。
悔しいのでお前らも導入してbitwardenちゃんを盛り上げるべきです。
どこの国で作っててクラウドしてるのか分からないのと歴史が浅いのがちょっと怖いけれど、
オープンソースなら大丈夫だろうきっと。無料性能が良かったし。
んで友達にbitwarden使ってること言ったら存在自体知らなくて馬鹿にされた。
悔しいのでお前らも導入してbitwardenちゃんを盛り上げるべきです。
2018/09/11(火) 05:50:18.17ID:wbwDfF+v0
>>303
俺もそれ使ってる。シンプルでいいよね。
俺もそれ使ってる。シンプルでいいよね。
305名無しさん@お腹いっぱい。
2018/09/11(火) 06:28:26.41ID:0UjkIP2o02018/09/11(火) 08:30:36.68ID:MSLSFs690
フリーミアムモデルでクラウドを維持してる感じかな。
2段階認証もふくまれるみたいだけどどの方式が無料?
YubikeyとかTOTPは有料っぽい。
2段階認証もふくまれるみたいだけどどの方式が無料?
YubikeyとかTOTPは有料っぽい。
2018/09/11(火) 10:21:50.72ID:qwQ+bP8Q0
ぎにああああああああああああああああああああああああああああああああああああああああああああああああああああああああ!!!!!!!!!!!!!!
2018/09/11(火) 11:55:52.68ID:fNAPayCW0
わりと、やりすぎセキュリティってサイトがわかりやすいと思う
2018/09/11(火) 12:02:11.25ID:2jrlCDVI0
日本語おかしいのと、それとは別に細部で疑問点もあるけどなあそこは
310名無しさん@お腹いっぱい。
2018/09/11(火) 15:14:11.68ID:hRib2Fcd0 >>303
> どこの国で作っててクラウドしてるのか分からない
ツイッターによれば米国
https://twitter.com/bitwarden_app
https://twitter.com/5chan_nel (5ch newer account)
> どこの国で作っててクラウドしてるのか分からない
ツイッターによれば米国
https://twitter.com/bitwarden_app
https://twitter.com/5chan_nel (5ch newer account)
2018/09/11(火) 15:34:17.22ID:HSbAmfoj0
KeePass 2.40
https://keepass.info/news/n180910_2.40.html
https://keepass.info/news/n180910_2.40.html
2018/09/11(火) 16:03:42.19ID:+OF3pFAN0
2018/09/11(火) 19:45:22.41ID:lfR6acFM0
不正アクセスされたり個人情報を名簿屋に売られるようなことにならないようプライバシーやセキュリティに気をつけているが
国家に情報漏れても自分の場合は何も影響が無さそうなのでその方面は心配していないw
国家に情報漏れても自分の場合は何も影響が無さそうなのでその方面は心配していないw
314名無しさん@お腹いっぱい。
2018/09/11(火) 21:31:32.56ID:Pcmui3ZM0 >>303
で、そいつらはなにを使ってるのよ?
で、そいつらはなにを使ってるのよ?
2018/09/11(火) 21:31:48.77ID:6BysgwZf0
KeePass 2.40、選択状態の時に下に出てくる奴が日本語やと文字化けするね
2018/09/11(火) 22:44:48.65ID:lfR6acFM0
>>315
例えばサマリーや備考に書いてあることがメイン画面の下部に表示される所の話かな?自分は文字化けしないなあ
Windows10 1803
Keepass 2.40
keepass translations 2.40+
例えばサマリーや備考に書いてあることがメイン画面の下部に表示される所の話かな?自分は文字化けしないなあ
Windows10 1803
Keepass 2.40
keepass translations 2.40+
2018/09/11(火) 23:10:16.07ID:+OF3pFAN0
こういうの導入すると楽しくてセキュリティ意識高い系になりつつある。
win10proにしてbitlockerで全部暗号化しようとか
yubikey導入しようかとも思いつつあるけれど、
うちのパソコンなんて誰に見られてもだから何だという他ない代物なのに、
俺はどこへ向かっているのだろう。
win10proにしてbitlockerで全部暗号化しようとか
yubikey導入しようかとも思いつつあるけれど、
うちのパソコンなんて誰に見られてもだから何だという他ない代物なのに、
俺はどこへ向かっているのだろう。
2018/09/11(火) 23:19:22.29ID:6BysgwZf0
ごめん、これ(>>315)バージョン関係なく、Win10でUTF-8を使うとダメなだけやった
2018/09/12(水) 00:19:05.51ID:6qK2VEbG0
他はどうあれbitlockerだけはオススメできない
あれを掛けてると、PCがちょっと言うことを効かなくなったときにデータを封印されてにっちもさっちもいかなくなる
オレは素人だからそれだいぶ痛い目を見た
無用なセキュリティは掛けないが吉だよ
あれを掛けてると、PCがちょっと言うことを効かなくなったときにデータを封印されてにっちもさっちもいかなくなる
オレは素人だからそれだいぶ痛い目を見た
無用なセキュリティは掛けないが吉だよ
2018/09/12(水) 01:26:22.61ID:bwmN6I1x0
家が全焼してPCとケータイが片方もしくは両方消滅しても
何とかなるくらいを想定したリカバリー手段は大事だね。
二段階認証導入したての時、ケータイ落としたら詰むことに気付いて
リカバリーには気を使ってるわ。しかしセキュリティは下がる模様。
何とかなるくらいを想定したリカバリー手段は大事だね。
二段階認証導入したての時、ケータイ落としたら詰むことに気付いて
リカバリーには気を使ってるわ。しかしセキュリティは下がる模様。
2018/09/12(水) 06:37:47.65ID:ialNr/4b0
携帯のSIMはキャリアとの契約だから再発行すれば大丈夫
格安とか使い捨てとか使ってるなら分からんけど
格安とか使い捨てとか使ってるなら分からんけど
2018/09/12(水) 12:25:09.96ID:lpPLKCwx0
keepassのkdbxファイルって長年使ってると壊れたりするんですかね?
2018/09/12(水) 13:14:10.03ID:GHJFRZQv0
なるよ
おれのkdbxファイルも毎日開け閉めしてるからネジがバカになった
おれのkdbxファイルも毎日開け閉めしてるからネジがバカになった
2018/09/12(水) 14:05:36.41ID:1JfYnk5m0
>>323
俺のは文字が薄くなってcとoの判別が難しくなったよ
俺のは文字が薄くなってcとoの判別が難しくなったよ
2018/09/12(水) 17:33:49.02ID:bm+iwoSZ0
俺のところは粉みたいなの噴いてるな。
2018/09/12(水) 17:51:26.59ID:WH48yydy0
>>318
非UnicodeアプリでUTF-8云々?
非UnicodeアプリでUTF-8云々?
327名無しさん@お腹いっぱい。
2018/09/12(水) 18:18:17.11ID:jllE/u//0 bitwarden を試しているが Gメールとの相性が悪いのか
ログインパスワードを記憶してくれないみたいなんだが。
ログインパスワードを記憶してくれないみたいなんだが。
2018/09/12(水) 20:02:32.28ID:Ng6OFvr80
2018/09/12(水) 21:47:22.50ID:agokXmWQ0
Authyや管理ツールに2段階認証の鍵を保存しとく手もあるけど、
俺は2つ以上の方法確保した上でバックアップコードをGPGで暗号化してUSBと外付けHDDとクラウドに保存
もちろんGPGとクラウドのパスワードは覚えてる
俺は2つ以上の方法確保した上でバックアップコードをGPGで暗号化してUSBと外付けHDDとクラウドに保存
もちろんGPGとクラウドのパスワードは覚えてる
2018/09/13(木) 01:53:30.27ID:SuQkFiMo0
331名無しさん@お腹いっぱい。
2018/09/13(木) 18:21:35.26ID:yvyrIKCS0 現在、Google ChromeでアクセスするWeb pageのuser ID/passwordの管理を
Google smart lockとNorton ID safeで行っているが、Norton ID safeの機
能の方が優先されるみたい。
Google smart lock
https://support.google.com/accounts/answer/6197437
Norton ID safe
https://support.norton.com/sp/ja/jp/home/current/solutions/v63757029_identity_safe_standalone_1_ja_jp
Google smart lockとNorton ID safeで行っているが、Norton ID safeの機
能の方が優先されるみたい。
Google smart lock
https://support.google.com/accounts/answer/6197437
Norton ID safe
https://support.norton.com/sp/ja/jp/home/current/solutions/v63757029_identity_safe_standalone_1_ja_jp
332名無しさん@お腹いっぱい。
2018/09/13(木) 18:35:49.47ID:zcEMCwI00333名無しさん@お腹いっぱい。
2018/09/14(金) 10:02:34.67ID:r0QWBC0d0 Chromeを利用する人について、
server "https://passwords.google.com/"; で、各人のGoogle accountにより
パスワードを管理することにより、同一人の利用する複数を端末で使用する
パスワードを同期して使うことができる
server "https://passwords.google.com/"; で、各人のGoogle accountにより
パスワードを管理することにより、同一人の利用する複数を端末で使用する
パスワードを同期して使うことができる
2018/09/15(土) 22:57:15.20ID:FKm6n8e/0
指紋だけだと寝てる時に彼女に突破されそうだし、
顔認証だけだと取り調べの時に捜査協力する気が無くても警察に突破されてしまう。
なもんでiphoneもPCも、指紋と顔認証を二重に必要とするセキュリティ設定が
可能になればいいのになぁ。
iphoneはもう片方しかないから仕方ないけれど、
せめて生体認証+PINの両方を必要とする設定を可能にしてほしい。
PINだけだとそれはそれで簡単に盗み見られるし。
そしてPINを囮用も設定できるようにして、
囮用PINを打てば差しさわりの無い内容しか表示されないようにしたい。
そのためにもまずは彼女が欲しい。
顔認証だけだと取り調べの時に捜査協力する気が無くても警察に突破されてしまう。
なもんでiphoneもPCも、指紋と顔認証を二重に必要とするセキュリティ設定が
可能になればいいのになぁ。
iphoneはもう片方しかないから仕方ないけれど、
せめて生体認証+PINの両方を必要とする設定を可能にしてほしい。
PINだけだとそれはそれで簡単に盗み見られるし。
そしてPINを囮用も設定できるようにして、
囮用PINを打てば差しさわりの無い内容しか表示されないようにしたい。
そのためにもまずは彼女が欲しい。
335名無しさん@お腹いっぱい。
2018/09/15(土) 22:59:09.74ID:qIaJH68t0 金もいらなきゃ背丈もいらぬ
2018/09/15(土) 23:48:03.33ID:jBLOHP3r0
>>334
別れる時に指持ってかれたとかありそうだな。
別れる時に指持ってかれたとかありそうだな。
2018/09/16(日) 10:08:09.02ID:1Tj12sCW0
そもそも生体認証は利便性のためで、セキュリティは下がるんだが
そんな心配ならPINじゃなく長いパスワード設定すればいいだけ(長いPINでもいいが
iPhoneで出来たか忘れたけど、泥ならパスワード完全非表示もできるし
囮についてもアカウント使い分けで簡単に実現可
そんな心配ならPINじゃなく長いパスワード設定すればいいだけ(長いPINでもいいが
iPhoneで出来たか忘れたけど、泥ならパスワード完全非表示もできるし
囮についてもアカウント使い分けで簡単に実現可
2018/09/16(日) 22:59:53.08ID:8rce7/CW0
生体認証は時流的に外聞がいい、かつ、使いやすさの向上が大きいからって
安易な採用が多いよなあ
一般的なパスワード等と違って生体認証は一生変えられないデータなんだし考えて使わないと今も将来も辛酸をなめることになると思うが
安易な採用が多いよなあ
一般的なパスワード等と違って生体認証は一生変えられないデータなんだし考えて使わないと今も将来も辛酸をなめることになると思うが
2018/09/17(月) 00:29:44.20ID:qGre5WTu0
KeePassのFirefox用アドオンのKee、オートタイプの設定無視するんだけど仕様?
2018/09/17(月) 00:33:06.67ID:iKYE9D1f0
生体認証は、元データの特徴を各社独自のアルゴリズムで算出して
その結果を認証に使うんだよ。保管するのはその特徴データだけ。
ファイルのハッシュ値と思えば良い。アルゴリズムに脆弱性があればアップデートされる。
だから一生変えられないデータという認識は妥当ではない。
その結果を認証に使うんだよ。保管するのはその特徴データだけ。
ファイルのハッシュ値と思えば良い。アルゴリズムに脆弱性があればアップデートされる。
だから一生変えられないデータという認識は妥当ではない。
2018/09/17(月) 05:24:50.62ID:F9kpUwBy0
生体認証を使うサービスごとに算出結果をパスワードのかわりに使ってるだけだしな
IDとPASSWORDみたいデータ流出したところで流用できるものではない
IDとPASSWORDみたいデータ流出したところで流用できるものではない
2018/09/17(月) 11:02:40.46ID:YuAUC87/0
ん?338が問題にしてるのは指紋自体がコピーされた場合じゃね?
パスワードハッシュが漏れてもそれ自体は他のサービスで使えないが
パスワードが漏れたら変えなきゃいけない。指紋は変えられない
パスワードハッシュが漏れてもそれ自体は他のサービスで使えないが
パスワードが漏れたら変えなきゃいけない。指紋は変えられない
2018/09/17(月) 12:15:11.46ID:wY8CGdPM0
ハングマンのように指紋を消さないとな
2018/09/17(月) 16:50:58.06ID:XWPIVagO0
2018/09/20(木) 02:06:59.99ID:FKkqAxEW0
例えば指紋の場合、センサー側の改良で単純な紋様だけを使うのではなくなるので
形だけのコピーでは無意味になり長期的には問題ないと考えられる。
形だけのコピーでは無意味になり長期的には問題ないと考えられる。
2018/09/20(木) 02:48:27.87ID:e5I7fgoU0
>>345
なんか具体性なくない?
なんか具体性なくない?
2018/09/20(木) 03:23:11.34ID:F6/Z8HZv0
3D情報ということなら既に使ってるし既に破られてる
体温とかも偽指を温めれば済みそう
やるとしたら表皮付近の毛細血管パターンまで透視するとかか
怪我できなくなるなw
体温とかも偽指を温めれば済みそう
やるとしたら表皮付近の毛細血管パターンまで透視するとかか
怪我できなくなるなw
2018/09/20(木) 23:16:08.81ID:jnpnaDF50
現在の技術を元に考えてもあまり意味ないけどね
30年後でも50年後でも生きてさえいれば今の指紋を使ってるわけだから
原則として変更が効かないものをパスワードの代替にするべきではないだろう
公開鍵やIDのようなある意味補助的なものにのみ使うのが妥当だと思う
利便性とセキュリティがトレードオフなのは生体認証にも言えることだと思うんだがなあ
30年後でも50年後でも生きてさえいれば今の指紋を使ってるわけだから
原則として変更が効かないものをパスワードの代替にするべきではないだろう
公開鍵やIDのようなある意味補助的なものにのみ使うのが妥当だと思う
利便性とセキュリティがトレードオフなのは生体認証にも言えることだと思うんだがなあ
2018/09/20(木) 23:39:48.52ID:F6/Z8HZv0
2018/09/20(木) 23:40:44.06ID:N10drSXx0
というか30年後や50年後に指紋なんて使ってないやろ
2018/09/23(日) 03:23:46.55ID:f+g7OWqR0
たぶん肛門だろうな。
2018/09/24(月) 23:17:15.29ID:SSYRvZXn0
パスワードって最低でも何桁くらいあれば安全でしょうか?
必ずパスワード管理ソフト使えるものなら100桁越えとか最長のにするけど、手打ちしないといけない場面があるものだと何桁くらいで設定するか悩む
必ずパスワード管理ソフト使えるものなら100桁越えとか最長のにするけど、手打ちしないといけない場面があるものだと何桁くらいで設定するか悩む
2018/09/24(月) 23:24:31.41ID:7BS0NIT/0
12桁
2018/09/25(火) 00:04:05.81ID:SPukwo0a0
パスワードが何桁あれば充分かっていうのはすごく場合によりけりな話。
パスワードに数字だけ使う場合と、大文字小文字のアルファベットと数字+αを使う場合では必要な桁数が異なってくる。
パスワードマネージャとかwebサイトで使うパスワードは、パスワードにランダムな文字列をくっつけて鍵導出関数(pbkdf2とかargon2)で変換してから保存してる。
鍵導出関数の計算に時間がかかるようにパラメータを設定してあれば8桁ぐらいのパスワードでもパスワードを求めるのに凄く時間がかかるし、
逆に鍵導出関数がsha1みたいな計算に時間のかからないハッシュ関数を使ってると20桁ぐらいのパスワードでもあまり時間がかからずに求めることができたりする。
keepassだとどの鍵導出関数を使っているかわかるけど、一般のwebサイトではどうやってパスワードを保存しているかはわからないから一概に何桁あればOKなんて言えないと思います。
パスワードに数字だけ使う場合と、大文字小文字のアルファベットと数字+αを使う場合では必要な桁数が異なってくる。
パスワードマネージャとかwebサイトで使うパスワードは、パスワードにランダムな文字列をくっつけて鍵導出関数(pbkdf2とかargon2)で変換してから保存してる。
鍵導出関数の計算に時間がかかるようにパラメータを設定してあれば8桁ぐらいのパスワードでもパスワードを求めるのに凄く時間がかかるし、
逆に鍵導出関数がsha1みたいな計算に時間のかからないハッシュ関数を使ってると20桁ぐらいのパスワードでもあまり時間がかからずに求めることができたりする。
keepassだとどの鍵導出関数を使っているかわかるけど、一般のwebサイトではどうやってパスワードを保存しているかはわからないから一概に何桁あればOKなんて言えないと思います。
2018/09/25(火) 01:22:04.18ID:JKh6fzf80
じゃあ32桁
2018/09/25(火) 07:01:13.02ID:sYbOQDcF0
>>352
まずオンライン攻撃とオフライン攻撃では話が別
以下はオフライン攻撃前提
ただし今でも平文で保存してるサイトが結構あって、その場合オフラインもクソもない
https://cleartext.azurewebsites.net/
https://github.com/plaintextoffenders/plaintextoffenders/blob/master/offenders.csv
そして>>354の言うようにどうハッシュ化してるかわからないので、ソルトなしのMD5を前提とする
まず、何桁というよりエントロピーで考えるのが基本
https://www.itdojo.com/a-somewhat-brief-explanation-of-password-entropy/
で、どれくらいのエントロピーがあればいいかだけど、以下が参考になる
http://world.std.com/~reinhold/dicewarefaq.html
これはパスフレーズを使う場合なんでエントロピーの計算法は違うけど、
現時点で78bitあればNSA級の組織以外は突破不可
90bitだと2030頃にそうした組織に突破されるかも
103bit以上なら2050まで安全、ということがわかる
これは現在のスパコンの性能増加曲線をそのまま外挿したらそうなるということ
https://www.keylength.com/
ランダムに選んだ大小文字数字記号だと大体16文字あればよいことになる
逆に、ハッシュ長より高いエントロピーは意味がない
例えばサイトが賢くもbcryptを使っていたとすると、その出力は184bit
これより高いエントロピーのパスワードを使っても、セキュリティは全く向上しない
同様にパスワードマネージャーも、KDFのハッシュ長もしくは暗号鍵の鍵長がセキュリティの上限
なお100万qbit級の量子コンピュータ(ShorじゃなくGroverのアルゴリズム)が完成しない限り
128bitを突破することは不可能なので、実質の上限は128bitとみなしていい
TL;DR 100桁なんて無駄
まずオンライン攻撃とオフライン攻撃では話が別
以下はオフライン攻撃前提
ただし今でも平文で保存してるサイトが結構あって、その場合オフラインもクソもない
https://cleartext.azurewebsites.net/
https://github.com/plaintextoffenders/plaintextoffenders/blob/master/offenders.csv
そして>>354の言うようにどうハッシュ化してるかわからないので、ソルトなしのMD5を前提とする
まず、何桁というよりエントロピーで考えるのが基本
https://www.itdojo.com/a-somewhat-brief-explanation-of-password-entropy/
で、どれくらいのエントロピーがあればいいかだけど、以下が参考になる
http://world.std.com/~reinhold/dicewarefaq.html
これはパスフレーズを使う場合なんでエントロピーの計算法は違うけど、
現時点で78bitあればNSA級の組織以外は突破不可
90bitだと2030頃にそうした組織に突破されるかも
103bit以上なら2050まで安全、ということがわかる
これは現在のスパコンの性能増加曲線をそのまま外挿したらそうなるということ
https://www.keylength.com/
ランダムに選んだ大小文字数字記号だと大体16文字あればよいことになる
逆に、ハッシュ長より高いエントロピーは意味がない
例えばサイトが賢くもbcryptを使っていたとすると、その出力は184bit
これより高いエントロピーのパスワードを使っても、セキュリティは全く向上しない
同様にパスワードマネージャーも、KDFのハッシュ長もしくは暗号鍵の鍵長がセキュリティの上限
なお100万qbit級の量子コンピュータ(ShorじゃなくGroverのアルゴリズム)が完成しない限り
128bitを突破することは不可能なので、実質の上限は128bitとみなしていい
TL;DR 100桁なんて無駄
2018/09/25(火) 11:28:46.96ID:MQSXdKis0
7nmプロセス400mm^2チップで解読専用ASICを100枚使って、
10文字のパスフレーズで、解読に1万年以上かかるくらいの強度は最低限必要
10文字のパスフレーズで、解読に1万年以上かかるくらいの強度は最低限必要
2018/09/25(火) 15:27:03.93ID:a3iJ06B90
bitwardenでIDが2つに分かれてるサイトが全滅
三井住友銀行とか駄目だ
三井住友銀行とか駄目だ
2018/09/26(水) 10:54:58.93ID:zmy+o7J90
2018/09/26(水) 11:24:55.27ID:zmy+o7J90
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 【野球】大谷翔平、佐々木朗希、山本由伸らがWBC辞退なら広がる不協和音… 『過去イチ盛り上がらない大会』になる可能性も★2 [冬月記者★]
- 【国際】ロシアはすでに戦争準備段階――ポーランド軍トップが警告 [ぐれ★]
- 「町中華」の“息切れ倒産”が増加 ブームにも支えられ職人技で踏ん張ってきたが… 大手チェーンは値上げでも絶好調 [ぐれ★]
- 【news23】小川彩佳アナ「ここまでの広がりになるということを、高市総理はどれだけ想像できていたんでしょうね」 日中問題特集で [冬月記者★]
- 毛寧(もう・ねい)報道官「中国に日本の水産品の市場は無い」 高市首相の国会答弁に「中国民衆の強い怒り」 ★2 [ぐれ★]
- 立民・岡田氏の質疑「不適切」 維新・藤田氏、台湾有事答弁巡り [蚤の市★]
- 高市早苗って「わざと」日本畳んでるよな? [419865925]
- 【高市売り】円安、止まらず!凄い勢いで暴落中。157円へ [219241683]
- 【悲報】ヤフコメ民「中国が水産物を輸入禁止にするなら、日本国民向けに安く販売すればいい。中国依存から脱するべき」 [153736977]
- ひぐらしが鳴く頃にってキャラデザが可愛かったから売れただけの内容スカスカのゴミだよな
- 俺とお前以外AIでワロタ
- 1,000万円のBMWに擦ってしまった札幌のガキ、捕らえられてガチで詰む [329329848]