パスワード管理ツール Part8
レス数が950を超えています。1000を超えると書き込みができなくなります。
パスワード管理ツール(ソフトウェア)について語るスレです。
前スレ
パスワード管理ツール Part7 [無断転載禁止]c2ch.net
http://egg.5ch.net/test/read.cgi/software/1485568889/ うかつなトレンドマイクロみたいなのを見ててもそう思うの? 匿名掲示板で何かを教えてもらいたいときは、質問ではなく、間違った主張をするとよい Keepass使ってる人ってスマホとパソコン全部当然なくした場合の対処ってしてる?
俺はDropboxにデータを置いてキーファイルはスマホとパソコンに置いてるんだけど
keepassのマスターパスワードとdropboxのパスワードは違うし
Dropboxのパスワードは覚えていないから突然スマホとPCをなくしたらすべて消失してしまう
キーファイルをどこかにバックアップをとって、DropboxのパスワードもKeepassの別にしつつ覚えたほうがいいんだろうか
皆さんどう管理してるか教えてください データベースはクラウドだから良いとして
キーファイルは昔のスマホに残ってるの発掘かな
無駄なバックアップは管理ツールの意味も薄くなるからあまり取りたくない
USBか何かにおいておいても良いかも知れないけど >>854
私はスマホとパソコンを同時に失うことは無いと想定し、心の平穏を得ています。
ちなみに KeePass のデータベースファイルを Dropboxに 置き、キーファイルは利用していません。
KeePass のマスタパスワードは記憶しています。Dropbox は PC 2 台とスマホ 1 台で利用中。
それでも気になるなら、USB メモリに格納するとか印刷するとかした上で貸金庫とかですかね? 電子的クラック耐性最強の紙に手書きで重要なパスだけメモってる
俺しか知らないルールでそのまま読めないようにしている
それも失ったときのために
絶対漏らさないし忘れない黒歴史の長文の詩を元にパスワードにしたものを
一つだけ記憶してる >>857
黒歴史を絶対に忘れられないって辛すぎないか PCなくした場合ってのが想像つかん
ノートPC持ち出しとか?自分はデスクトップなので紛失しようがない 全てを失った時用のバックアップがサーバーにあって、
そこへのパスワードをマスターパスワードと同じにしている
但し、サーバーにアクセスするには二段階認証が必要で、
その為に必要な携帯まで失っていたら手が出せなくなる ガチで>>800が言ってたようなキーパス信者いるから気をつけた方が良いぞ
あれはホンマ頭おかしい……
普通はlastpassとか無難なのでいい >>860
東日本大震災でPCと自宅NASをすべて失った知人を見てしまったからな 思いついたのが、何らかのハッシュ関数にKeepassのマスターパスワードにかけてそれをクラウドのパスワードにしたらいいんじゃないか?
そうすれば一個とハッシュ関数の種類を覚えてるだけで仮にローカルの端末をすべて消失してもクラウドにアクセスできるぞ
セキュリティ的にもマスターパスワードが十分に長いからハッシュは不可逆だし多分大丈夫だと思うけど chromeに全部記憶させて、2段階認証にyubikeyで良くないか >>861,865
なるほどその発想はなかった!指摘ありがとう
安全ボケ(?)してるわ… PCと携帯を同時に失うと、二段階認証を設定しているサイトにアクセスできなくなる
何か対策してる?
解決案は、二段階認証する時に使ったQRコードなりの画面をキャプチャーしておいて、
パスワード管理ソフトの添付ファイルとして管理しておく
あれもパスワードの一種だからバックアップが必要という認識があればok >>872
二段階認証にAuthyを利用してマスターパスワードを記憶
クラウド上にバックアップされる amazonの二段階認証を追加してバックアップしとこうとしたら、
認証アプリがカメラ使えなくなってた
また開発者サービスが何かやらかしてるらしい >>874
Authyって結構ユーザー増えてるはずだけどなかなか日本語化しないな
使用するのに問題はないけど そんな一番大事なもんをクラウドに置くのにやっぱり抵抗があるのでは 2段階認証のデータ単独なら盗まれても問題ない
1段階目の認証データと紐付けられたら破られるけど
そこまでのリスクを考慮するかどうかだな 二段階認証の基本的な考えは二重化だから、
それぞれが独立してないと意味ないんだよな
何か想定していない理由で片方の認証が破られても、もう一つあるから安心
だから、>>873の指摘が正解で、二つ同時に破られるなら二重化になってない
それを辿っていくと、結局マスターパスワードが2つ必要という結論になるんだよな
でもそんなことしてる人は少ない
代わりに、二段階目はマスターパスワードと結びつけずに、失ったら取り戻せない状態にしてるか、
スマホを複数化するか、安全でない方法で管理してるかのいずれか 異なるマスターパスワード2つ覚えればいいじゃん
あるいはマスターパスワードと>>867のやり方を使うとか 二重化してる所だけ守ってもマスターパスワード漏れた時点で大惨事なんだけどね
マスターパスワードだけは漏れない、という前提で押し進めるしか無い訳で、
使用頻度の低い2つ目のマスターパスワードなんか設定したら、忘れてしまうリスクが高い 貸金庫にマスターパスワードを書いた紙を入れとけば? 2段階認証のQRコードは、vera cryptで暗号化したコンテナに入れて
それをクラウドに保存してる そんな滅多に使わないような鍵を暗記しておける人はその方がいい >>872
携帯は同じ番号で再発行してもらえるんじゃないの? >>885
SMS認証ならそうだろうけどTOTPを失ってしまったら…ってことでしょ >>886
あぁそう言う事か。流れ読めてなかったスマン 二段階認証を無効化してくれるリカバリーコードは全部暗記してる
サイトが増えてきて最近では複雑なログインパスワードも記憶できるようになったからkeepass卒業しました 凄く初歩的なお尋ねです。2FAのQRコードを保存していなかったのですが、改めて保存するには、いったん2FAを無効化してやり直すしか他は無いですよね? 元は知らないけど今はTwilioがやってるサービスのはず googleのがバックアップできないからAuthyという人が大半だと思うけど、
キャプチャーでバックアップできるし、クラウドにバックアップしなくても済む そのキャプチャーしたのをどこに保存するの?
まさかアカウントのパスワードと一緒じゃないよね Google認証システムはバックアップできなくて使いづらい
Authyのクラウドバックアップは不安
って人はIIJ SmartKeyを使うといい
端末内保存で登録後のバックアップに対応してるから
https://play.google.com/store/apps/details?id=jp.ad.iij.smartkey2 バックアップする為には特殊なパスワードとか必要なの?
何のガードもなく設定をエクスポートできてしまうなら、それはそれで怖いんだけど
パスワードが必要なら、それはどうやって管理するのかという問題に戻ってしまう BitwardenとAuthyの2つのマスターパスワードを記憶してるよ 基本はスマホで承認ボタン押すだけにして
通信不可の場合のみTOTPにすれば楽なのに >>904
まあロシアの会社だし多少はね
Yandex垢のために使ってるよ
Yandex垢の場合6桁の数字じゃなくて8文字の英字で、ログインするときに「パスワードに加えて」じゃなくて「パスワードの代わりに」入力するタイプ、だから他のTOTPアプリで代用できない パスワードの存在が意味を成してるのかよく分からない現状だとそういう認証も楽でええな Yahooも生体認証だけの設定に変更しませんかって言ってくるな >>901
もしauthyが洩れても、それだけじゃあ何も出来ないんじゃなくて? iijのスマートキーとかいうやつ
後からQRを表示できるのは確かに便利だけど
エクスポートまではできないから
数が増えてきたら乗り換えるとき一つ一つ再登録するのは怠い
やはりAuthy か適当なパスマネの内蔵2FAストレージが実用的だと思う
ちなみにAuthy以外だと
Microsoft Authenticatorも2FAのバックアップに対応してるよ
こちらは確かiCloud経由で同期される(Android版は知らん) 今まで何も意識せずLastpassに自動生成させて保存してたけどなんかおすすめの方法ってありますかね? >>914
何も意識せずLastpassに自動生成させて保存 2FA要りそうなとこがamazonとgmail以外に思いつかない
銀行とかは大抵独自の何かを導入してるし Yahoo, Evernote, Twitter, WordPress等々 パスワード管理と2FAは別々のアプリほうがいいんでないかい どれも使ってないなあ
2FA使う為に導入してみるか >>916
メガバンクはなぜ独自なのか?
せめてVIP ACCESSに統一して欲しい。 >>920
独自ソリューション(笑)を売る業者と結託して金を流してるから >>921
その独自ソリューションが際立って良い物なら全然構わないんだが。 どのアプリでも使えるTOTPで済ましてる所が逆に手抜き感ある そろそろYubiKey買おうかと思ったらAmazonで正規の値段で売ってるとこなくなってる Type-CとNFC両対応のやつってもう出てたっけ?
昔見たときはゴツいやつとかあって嵩張りそうで諦めた記憶がある パスワードファイルをamazonのクラウドにバックアップしてあって、
amazonは二段階認証を有効にしてある
二段階認証の為のQRコードもamazonのクラウドにある
この場合、PCとスマホを同時に失うと詰むよね
他に電話は無いとすると、QRコードを印刷しておいて持ち歩く、くらいしか無いのかな >>936
実際に指摘された内容については記事中で触れられていない。使えない記事。
きちんと原典にあたれという親心なのかな? >>936
パスワード管理ツールでパスワードを参照した直後に実行中のメモリ覗いたら
パスワード盗めたヤッターって自慢する自称セキュリティ研究者
あのさぁ… >>936
やっぱkeepassはアカンのやな……
メーカーの規模を基準にして信頼するのが良さそうだね >>936
Threat post の記事も読んだけどメモリに自由にアクセスできるならキーロガーでもなんでも仕込めるだろうし、、各ベンダーが反論してる通りちょっとツッコミずれてる気がする パス知ってればハックし放題
家宅侵入すればハックし放題 >>925
代理店のソフト技研のサイトからも購入できないし、サイトとかTwitterとかソフト技研の動きがピタッと止まってる模様。
契約切れたのかな? すまん、俺が悪かった、孝宏の為にも帰ってきてくれ。 テプラをディスプレイのベゼルに貼るのが紛失しなくていいぞ
まあLastPassで今んとこ不満はない >>936
これがダメなら、ブラウザのメモリもクリップボードのメモリも覗かれるのでは >>936
同じ記事を脳みそくるくるぱーが翻訳するとなぜかメモリリークの問題になった
人気の複数パスワードマネージャにメモリリークの問題、対処後に利用を
https://news.mynavi.jp/article/20190224-775615/ レス数が950を超えています。1000を超えると書き込みができなくなります。