パスワード管理ツール Part10

レス数が950を超えています。1000を超えると書き込みができなくなります。
2020/04/02(木) 16:22:32.91ID:FCfy+SDh0
パスワード管理ツール(ソフトウェア)について語るスレです。

前スレ
パスワード管理ツール Part9
https://egg.5ch.net/test/read.cgi/software/1551079734/
2020/09/22(火) 04:07:55.28ID:cZmqt8ix0
>>873
自己紹介お疲れ様
2020/09/22(火) 05:25:40.55ID:o1RDgE880
>>868
Norton Utility とかピーター・ノートンの手が入っていたDOS/Win3.1時代までは
本当によくできたツールだと感心したし、随分とお世話になったし
並々ならぬ信頼もしていたけど…

ブランド売却以降、あの出来じゃぁ逆宣伝だろと思ったな。
それ以上にPCが爆発的に普及したから商売としては美味しかったんだろうが
その後経営難に陥ったのは当たり前って感じ。
2020/09/22(火) 06:19:37.64ID:jhrEjI6O0
ttps://xtech.nikkei.com/it/free/NC/NEWS/20050424/159998/
当時の記事ってこれかな
2020/09/22(火) 07:54:39.05ID:kSwbXsy/0
無料&自分でホストして全機能を利用できるオープンソースの高機能パスワードマネージャー「Psono」レビュー
https://gigazine.net/news/20200921-psono/

ん…
2020/09/22(火) 08:01:16.72ID:CIlfv/IU0
>>874
ローカルアカウントでも指紋認証って使えるんだっけ
880名無しさん@お腹いっぱい。
垢版 |
2020/09/22(火) 15:52:22.30ID:OVr48f5D0
eWalletってダメてつか
2020/09/22(火) 16:12:02.45ID:CWIoY+RG0
>>878
Bitwardenのライバルかな
882名無しさん@お腹いっぱい。
垢版 |
2020/09/22(火) 16:23:48.53ID:fB50o+ct0
自分のサーバーとか無理ィ・・・
2020/09/22(火) 16:37:17.89ID:GwVDfe+j0
>>858
App Storeからトレンドマイクロが排除された深層、VPN機能で物言い
https://xtech.nikkei.com/atcl/nxt/column/18/00001/01512/

トレンドマイクロ従業員が顧客情報を不正に持ち出し売却、サポート詐欺に悪用されていたことが判明
https://internet.watch.impress.co.jp/docs/news/1216837.html

中国ハッカーに握られた社内PC 特命チーム暗闘の全貌
https://www.asahi.com/articles/ASN544T17N52ULZU00F.html
2020/09/22(火) 19:50:53.41ID:XodQBE6d0
>>881
ドイツ企業だからアメリカに個人情報集められること警戒してる勢力が
資金的にサポートして作ったんじゃないかと
ここのサーバーにデータ預けるとドイツの法律に準ずる形で保管される
2020/09/24(木) 00:14:11.90ID:gyCg9pB90
IDMを長いこと使ってきたが
Bitwardenに移行が簡単なら検討したくなってきた。
2020/09/24(木) 00:46:46.90ID:Ex7Kcyh50
bitwardenを使い始めた
主にfirefoxのプラグインとして利用する予定だが
lockwiseと併用することになるのかな
2020/09/24(木) 09:04:10.67ID:f1s6jDJE0
Bitwardenはバグが多い。
Mac版クライアントなんかまともに使えない。
一度ログイン後、しばらくして自動ログオフされた後の再ログオンができないとか。
chromeプラグインの保管庫検索がおかしいのも直らないし。
2020/09/24(木) 11:13:35.26ID:UD0oT+Se0
マック持ってないやぁ
2020/09/24(木) 13:33:37.38ID:7rRM9Jqa0
macもchromeも使わないなら問題ない?
2020/09/24(木) 19:02:09.76ID:Ey/+v66N0
BitwardenのWindows版デスクトップアプリは何に使えばいいの?
ブラウザのプラグインと連動してる様子もないし…
プラグイン版と比べると編集操作しやすいくらいしかメリットが見えない
2020/09/24(木) 22:23:08.40ID:KIGA6fyy0
編集もブラウザで公式サイトにアクセスした方が早いし楽
2020/09/25(金) 15:29:33.92ID:09PIWXdQ0
ブラウザ以外のWindowsアプリにID/PWを自動入力できるようになれば良いな、という期待か
2020/09/27(日) 22:24:15.07ID:zfd3yr5d0
Bitwardenにてログインは自動入寮できるのですが、例えば証券会社の取引パスワードを呼び出して自動入力させる方法はありますか?カスタムフィールドであれこれやってますがうまく行ってないです。
2020/09/28(月) 04:44:19.94ID:/KB9iHJQ0
あれこれやってうまく行かないんなら無理なんじゃない?
2020/09/29(火) 02:30:12.66ID:6NuAS4pP0
「警察当局はAmazonの顧客データをこうやって要求している」
https://jp.techcrunch.com/2020/09/28/2020-09-27-this-is-how-police-request-customer-data-from-amazon/

どんな企業でも多少の捜査協力はするだろうがAmazon側は捜査機関に対して随分と協力的に顧客側の情報開示を行っているようだ
まさかお前らAmazonで国家権力に目を付けられそうなヤバいモノとか買ってないよな?大丈夫か?
2020/09/29(火) 13:18:41.96ID:LJf0PsH00
中国やロシア以外で、スマホなどとクラウド同期できて、
無料じゃなくて、年間2000円以内のものってありますか?
2020/09/29(火) 13:33:52.26ID:K4rMe9BB0
韓国があるんじゃないですかね
2020/09/29(火) 17:21:23.25ID:0kqYjpaE0
Bitwardenは?
2020/09/29(火) 18:04:40.48ID:DZrZsUUi0
ノートン
2020/09/29(火) 22:06:38.20ID:tt7pccks0
keepassを条件に合うクラウドストレージで運用するという手もある
901名無しさん@お腹いっぱい。
垢版 |
2020/10/03(土) 23:02:59.72ID:cDWph5+C0
enpass
902名無しさん@お腹いっぱい。
垢版 |
2020/10/05(月) 18:41:47.93ID:JMFFMwyU0
宅配ボックス買うたらええやん。
2020/10/05(月) 20:27:51.78ID:YElkM4pS0
syncthing使って端末間でミラーリング同期したら?
keepassのデータベースを同期してるけど便利だよ
2020/10/05(月) 20:38:18.57ID:orDMH+2T0
syncthingはp2pだから使えない人も多そう
2020/10/09(金) 21:42:41.93ID:AWUNniKC0
resilio syncは起動させたままだと
電池食いまくって閉口したんだけど
syncthingは大丈夫?
2020/10/09(金) 22:04:00.70ID:+FFO1l5F0
自分の端末にsyncthing入れて1年ぐらい使ってるけど電力消費の問題とかは無い
ただ同期しているデータは合計100MBぐらいでデータ容量と通信量が少ないぶん電力消費も少なめで済んでいるだけなのかも…?
2020/10/09(金) 23:07:23.72ID:r1+0s+Rj0
resilioは泥版がサイレントクラッシュするしsyncthingはNASのユーザー権限管理が面倒だしでなかなか一本化できん
今は resilio(NAS-PC間) + SMBSync2(NAS-泥間) でやってる
2020/10/10(土) 18:05:54.55ID:hQTPX1zZ0
管理の手間とか考えたらなるべくシンプルな構成にしたいよね
自分はVPSと各端末にSyncthingを導入して [端末<-->VPS<-->端末] みたいな構成でVPSを介して各端末と同期してる
いろいろ試行錯誤してこの形に落ち着いた
2020/10/10(土) 20:09:39.99ID:SSUTReA00
enpassの同期機能(dropbox)に落ち着いた
910名無しさん@お腹いっぱい。
垢版 |
2020/10/11(日) 11:10:29.09ID:ws3kX34j0
自分も今日からEnpassに
公式のTwitterアカウントがRTしてたので、こちらからlifetime licenseを購入
https://twitter.com/marshawright/status/1313463856962863104
https://twitter.com/5chan_nel (5ch newer account)
2020/10/11(日) 13:20:40.28ID:SXVtIIaX0
Make your digital life more secure and more convenient. Normally $59, a lifetime license to Enpass Password Manager is now 58 percent off at just $24.99.

なるほど
悩む
2020/10/11(日) 13:52:18.97ID:TQd9Dm8j0
Enpassユーザーにちょっと聞きたいんだけど他のメジャーなパスワードマネージャーと比べてEnpass独自の長所とか利点って何かあるの?
今セールやってるみたいだし買ってみようか悩んでる
2020/10/11(日) 15:22:16.05ID:0hmWIEEb0
KeepassXCでええわ
2020/10/11(日) 15:35:02.92ID:jsJIlE4A0
Enpassは買い切り版がある、ローカル保存がメリット
同期は他社クラウド等で運営会社信用してない人向け

前試した時、WindowsとandroidはKeepassXC + ブラウザアドオンとkeepass2androidの方が使いやすかった
iPhoneとiOSはEnpassの方がいいかも
2020/10/11(日) 15:49:43.06ID:ID4+UepK0
Enpassは無料でもTOTPが使えて公式にPortable版もあるので
俺はその辺だけを適当に活用してる
2020/10/11(日) 16:31:07.67ID:dd1eRlom0
なるほどiPhoneだったらEnpass使うのもアリって感じなのね
Androidユーザーだけど試しにちょっとだけ触ってみるかな…
2020/10/11(日) 16:42:58.88ID:jOHF2h2d0
パスワードマネージャー自体でTOTPを管理するのは微妙だが
918名無しさん@お腹いっぱい。
垢版 |
2020/10/11(日) 17:04:44.98ID:noA+edE40
>>912
買い切りが一番有難い。
ローカル管理のソフトだとプラットフォーム毎に買わなきゃいけないソフトが多い中、
何れか1つ買えばいいのも助かる。
PC、iPhone、AndroidをGoogleDriveで同期して使ってる。
2020/10/11(日) 17:08:43.64ID:jsJIlE4A0
>>914
間違えた
×iPhoneとiOSはEnpass
〇iPhoneとmacOSはEnpass
2020/10/11(日) 20:48:58.23ID:fhKrl/7k0
enpassって課金する程便利で安全なものなの?
初めて使ったパスワード管理ソフトのbitwardenをそのまま使い続けてるからわからん。
2020/10/11(日) 20:57:12.92ID:ohUkcqcJ0
それなりに広く利用者がいて悪評がないのなら
とりあえずいいんじゃね?
こだわるなら自分で勉強するしかない
2020/10/11(日) 23:33:01.60ID:dd1eRlom0
>>917
確かに
でも2FAアプリとパスワードマネージャーを別々に使うのだんだん面倒くさくなってきて結局Keepassで一緒に管理してるわ
2020/10/12(月) 17:05:14.96ID:E5Y1DsFk0
TOTP 使うのはセキュリティのためじゃなくて
パスワードは合ってるのに不正アクセスと誤認されて最悪ログインをブロックされるというリスクを下げるためなので
普通にKeePassで一元管理してる
TOTP をちゃんと運用するなら、シークレットキーのバックアップは厳禁、バックアップコードは紙に印刷して保存、って感じでかなり面倒くさい
そこまでして知識、所有の厳密な2要素にこだわるよりは、KeePassの暗号強度(と流出対策)を信頼するね
2020/10/12(月) 17:17:49.01ID:1vaY9qRz0
暗号化して保管しとけばいいだろ
2020/10/13(火) 04:37:16.43ID:V6obex+h0
暗号を過信するのは良くないけどね
解けない暗号は無いから
2020/10/13(火) 07:10:40.90ID:ONb4YLIZ0
MOに入れてネットワークから切り離して保管してる
927名無しさん@お腹いっぱい。
垢版 |
2020/10/13(火) 20:11:39.22ID:2Iola7qW0
>>925
マスターキーが推測不能かつ20文字以上なら、国家権力レベルを仮に想定したとしても解けない暗号と言っていいでしょ
まあ、PCに特殊なマルウェア仕込まれるとか、入力画面を盗み見されるとか、凶器で脅されるとか、
暗号化では守れないリスクはいろいろあるが、その辺は利便性とのバーターで諦める
2020/10/13(火) 21:15:58.01ID:imI9KuSP0
暗号に穴がないとは言えない。
数学の大発見があればそれで終わる可能性もある。

金庫で例えれば、
鍵が盗難される可能性、
錠の複雑さ、
金庫自体の堅牢さ、
これはまったく別の問題。
2020/10/13(火) 21:19:51.11ID:wjxssEye0
所詮は時間稼ぎのツールだから
寿命まで逃げきれば勝ち
2020/10/13(火) 23:30:47.32ID:2Iola7qW0
多少の高速化はあり得るだろうし、安全マージン加えて鍵を複雑にするくらいはやるが
暗号化が無意味になるレベルの数学的発見まで脅威と捉えるなら、インターネット捨てるしかないね
個人のパスワード管理なんてどうでもいいくらい影響範囲が大きすぎる
2020/10/13(火) 23:53:17.85ID:imI9KuSP0
ドイツのエニグマもまさかコンピュータ使って解読されるとは思っていなかった。
そして解いたイギリスも解いた事はずっと伏せていた。
つまり、解かれても何事もなかったようにインターネットは継続するのよ。
2020/10/13(火) 23:59:54.22ID:9Oi/DmTM0
ネット銀行のワンタイムパスワードの暗号方式が漏れてるとかなんとか言ってた人いたけど漏れてるなら暗号方式変えないの?
ワンタイムパスワードが漏れてワンタイムパスワード端末がなくても数字わかるとかヤバない?
2020/10/14(水) 00:24:36.08ID:RPFkJIiu0
初耳なんだけどそれホント?にわかには信じがたい話だなあ
実際にワンタイムパスワードが破られて不正送金された事例とか聞いたことないし
2020/10/14(水) 02:49:00.13ID:HAmLovCQ0
「ワンタイムパスワードの暗号方式が漏れてる」
2020/10/14(水) 07:49:03.63ID:VZYprdKe0
RFC 6238
2020/10/14(水) 12:14:38.45ID:cFnI6luO0
秘密鍵が知られなければ何の問題もない。
2020/10/14(水) 18:29:33.93ID:VEulbwq30
猟師コンピュータが出来れば、ズドンで終わる
2020/10/14(水) 18:30:31.13ID:aPJUPNzO0
bitwardenの脆弱性がどうたらって結局どうなったんだ
2020/10/14(水) 18:42:03.80ID:3NE5avuL0
嘘か本当か知らんがドコモ口座が問題になった時にワンタイムパスワードの事も触れてテレビにも出てる専門家が言ってたな
ワンタイムパスワードの規格を決めてる所がハッキングされて
暗号方式の中身が盗まれたからワンタイムパスワードも安心じゃないとかなんとか
2020/10/14(水) 19:07:46.29ID:ux0Ld+f50
>>938

>>631だけどJPCERTに問い合わせ送った事すら忘れてて今メール覗いてみたけど、一切返信なかったわ
念の為にBitwardenにも送ってたけどこちらも返信なし

これって問題にならない程度の手法ってことか?
マスターパスワードさえ漏れなきゃ問題ないからどうとも言えんけど
2020/10/14(水) 20:15:01.03ID:k0xQdkVE0
やはり時代は石板か
2020/10/14(水) 20:20:49.86ID:IHfUQrvD0
>>940
捨てメールじゃなくて、本メール使ったんすか?
2020/10/14(水) 20:23:43.22ID:ux0Ld+f50
>>942
フォームにはちゃんとGMailのアドレス入力したぞ
2020/10/14(水) 20:46:29.61ID:X5uqLYlR0
そりゃ規格を決めてるところが秘密情報を持ってる暗号方式なんて
安心して使えないよな
2020/10/14(水) 21:02:59.78ID:txH24ubu0
なんとなく話を聞いた印象だと初期パスワードを秘密鍵の生成に流用するとかの類なのかな
2020/10/14(水) 21:22:20.01ID:McdE+eLb0
>>941
やっぱ完全記憶能力でしょ
2020/10/14(水) 22:33:18.42ID:9P78+tWJ0
>>940
ずっと返信無いなら、Bitwardenの公式フォーラムかGitHubかでオープンにしようよ
話の通りだとしてもバレたらそ
2020/10/14(水) 22:39:22.20ID:9P78+tWJ0
>>947
バレたら即ユーザが危険にさらされるわけではないし
正しくとも勘違いでも、オープンにならないと、ただの風説の流布
2020/10/14(水) 22:41:48.16ID:LBcSKCpN0
スレチだけど一応

nano系の広告ブロックは速やかに削除しましょう
https://280blocker.net/blog/20201011/2568/
2020/10/15(木) 00:19:42.61ID:1365Y5gB0
メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題

///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで

ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる

また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
2020/10/15(木) 00:20:14.99ID:1365Y5gB0
メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題

///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで

ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる

また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
2020/10/15(木) 00:26:41.93ID:gL5V5o790
そのBitwardenの脆弱性って最新のバージョンでも修正されてないの?
実はメールを読んでてすでに修正してるとか?もしかしたらだけど
2020/10/15(木) 00:30:13.52ID:Rs35GMVy0
>>951
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする
2020/10/15(木) 00:30:43.39ID:2CqtpzZB0
今流行りのリバースブルートフォース
2020/10/15(木) 00:40:46.65ID:dwOrVfH90
取りあえず2FAはメール受信に切り替えた
さすがにメールならすぐ気がつくだろう
2020/10/15(木) 00:45:26.10ID:xbc/CcoW0
>>955
メアドは別のにした?同じだとメアド乗っ取られたとき大変だよ
2020/10/15(木) 01:12:06.46ID:axAmzWrq0
これはフォーラムに書いてもいいんじゃないかな
2020/10/15(木) 01:21:08.56ID:T0WY0ukp0
皆が寝静まった深夜に爆弾落とすスタイル
2020/10/15(木) 01:41:01.93ID:UuiICp/v0
bitwardenに限らずTOTPならどこでも?
2020/10/15(木) 01:49:47.31ID:Gjno9AQp0
対策されてなければどこでも
2020/10/15(木) 01:51:05.50ID:hXcnFnoe0
>>940
IPAに出したのかい?
https://www.ipa.go.jp/security/vuln/report/
https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html
2020/10/15(木) 02:33:43.20ID:UuiICp/v0
TOTPが弱いからダメ、という点ではなく
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか?
2020/10/15(木) 07:15:54.60ID:R+sDkxST0
りょうここんぴゅーたーならあっという間っていうてた
2020/10/15(木) 08:52:11.64ID:AD0hJjYg0
昨日からbitwarden使い始めたってのに…
2020/10/15(木) 09:59:11.65ID:bsdwCdmu0
暫定対応は>>955でいい感じかな
2020/10/15(木) 10:01:20.46ID:4ZdWsDXE0
bitwarden使ってないしTOTPの脆弱性もピンとこないが
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる
2020/10/15(木) 10:35:00.32ID:2/naAJao0
よくわからんけどbitwardenのマスターTOTPは暗号鍵が固定でパターンが6個しかないってこと?
暗号鍵の再発行ができるようになってないなら確かに問題だが

チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし
968名無しさん@お腹いっぱい。
垢版 |
2020/10/15(木) 11:15:59.52ID:U23NcZ6M0
>>964
だからenpassにしろとあれほど・・・
2020/10/15(木) 12:13:23.06ID:SeTnZEGS0
OTPの別入力を許すサービス設計は昔からあって
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ

慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・

脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど
2020/10/15(木) 13:25:06.19ID:meAthy8q0
許容するにしても警告なしは普通にマズくね?
例えば5回連続で失敗したら一時的(1時間位)にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは...
2020/10/15(木) 13:28:16.73ID:I+nUsbAy0
>>970
それな
実際TOTPロストした奴がこの手法でアカウントにアクセスできてる時点で何らかの対策をとる必要があると思う
2020/10/15(木) 13:32:58.98ID:atqAmJsS0
二段階認証をメール方式にする
※Bitwarden登録に使用したメールアドレス以外

無料会員の暫定対応はこれであってるかな?
有料会員ならもっと選択肢ありそうだけど
2020/10/15(木) 13:35:09.38ID:Mq+AOywu0
慣例ってこわい
2020/10/15(木) 13:44:28.00ID:idkH8bgp0
2段階認証してないわいには逆に関係なかった
レス数が950を超えています。1000を超えると書き込みができなくなります。
16歳の水野カイトが封印の刀を見つけ、時間が裂けて黒い風と亡霊の侍が現れ、霊の時雨と契約して呪われた刀の継承者となる場面
ニューススポーツなんでも実況