パスワード管理ツール Part10

**名無しさん＠お腹いっぱい。** · 2020/04/02(木) 16:22:32.91

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part9
https://egg.5ch.net/test/read.cgi/software/1551079734/

**名無しさん＠お腹いっぱい。** · 2020/10/05(月) 18:41:47.93

宅配ボックス買うたらええやん。

**名無しさん＠お腹いっぱい。** · 2020/10/05(月) 20:27:51.78

syncthing使って端末間でミラーリング同期したら？
keepassのデータベースを同期してるけど便利だよ

**名無しさん＠お腹いっぱい。** · 2020/10/05(月) 20:38:18.57

syncthingはp2pだから使えない人も多そう

**名無しさん＠お腹いっぱい。** · 2020/10/09(金) 21:42:41.93

resilio syncは起動させたままだと
電池食いまくって閉口したんだけど
syncthingは大丈夫？

**名無しさん＠お腹いっぱい。** · 2020/10/09(金) 22:04:00.70

自分の端末にsyncthing入れて1年ぐらい使ってるけど電力消費の問題とかは無い
ただ同期しているデータは合計100MBぐらいでデータ容量と通信量が少ないぶん電力消費も少なめで済んでいるだけなのかも…？

**名無しさん＠お腹いっぱい。** · 2020/10/09(金) 23:07:23.72

resilioは泥版がサイレントクラッシュするしsyncthingはNASのユーザー権限管理が面倒だしでなかなか一本化できん
今は resilio(NAS-PC間) + SMBSync2(NAS-泥間) でやってる

**名無しさん＠お腹いっぱい。** · 2020/10/10(土) 18:05:54.55

管理の手間とか考えたらなるべくシンプルな構成にしたいよね
自分はVPSと各端末にSyncthingを導入して [端末<-->VPS<-->端末] みたいな構成でVPSを介して各端末と同期してる
いろいろ試行錯誤してこの形に落ち着いた

**名無しさん＠お腹いっぱい。** · 2020/10/10(土) 20:09:39.99

enpassの同期機能(dropbox)に落ち着いた

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 11:10:29.09

自分も今日からEnpassに
公式のTwitterアカウントがRTしてたので、こちらからlifetime licenseを購入
https://twitter.com/marshawright/status/1313463856962863104
https://twitter.com/5chan_nel (5ch newer account)

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 13:20:40.28

Make your digital life more secure and more convenient. Normally $59, a lifetime license to Enpass Password Manager is now 58 percent off at just $24.99.

なるほど
悩む

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 13:52:18.97

Enpassユーザーにちょっと聞きたいんだけど他のメジャーなパスワードマネージャーと比べてEnpass独自の長所とか利点って何かあるの？
今セールやってるみたいだし買ってみようか悩んでる

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 15:22:16.05

KeepassXCでええわ

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 15:35:02.92

Enpassは買い切り版がある、ローカル保存がメリット
同期は他社クラウド等で運営会社信用してない人向け

前試した時、WindowsとandroidはKeepassXC + ブラウザアドオンとkeepass2androidの方が使いやすかった
iPhoneとiOSはEnpassの方がいいかも

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 15:49:43.06

Enpassは無料でもTOTPが使えて公式にPortable版もあるので
俺はその辺だけを適当に活用してる

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 16:31:07.67

なるほどiPhoneだったらEnpass使うのもアリって感じなのね
Androidユーザーだけど試しにちょっとだけ触ってみるかな…

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 16:42:58.88

パスワードマネージャー自体でTOTPを管理するのは微妙だが

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 17:04:44.98

>>912
買い切りが一番有難い。
ローカル管理のソフトだとプラットフォーム毎に買わなきゃいけないソフトが多い中、
何れか1つ買えばいいのも助かる。
PC、iPhone、AndroidをGoogleDriveで同期して使ってる。

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 17:08:43.64

>>914
間違えた
×iPhoneとiOSはEnpass
〇iPhoneとmacOSはEnpass

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 20:48:58.23

enpassって課金する程便利で安全なものなの？
初めて使ったパスワード管理ソフトのbitwardenをそのまま使い続けてるからわからん。

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 20:57:12.92

それなりに広く利用者がいて悪評がないのなら
とりあえずいいんじゃね？
こだわるなら自分で勉強するしかない

**名無しさん＠お腹いっぱい。** · 2020/10/11(日) 23:33:01.60

>>917
確かに
でも2FAアプリとパスワードマネージャーを別々に使うのだんだん面倒くさくなってきて結局Keepassで一緒に管理してるわ

**名無しさん＠お腹いっぱい。** · 2020/10/12(月) 17:05:14.96

TOTP 使うのはセキュリティのためじゃなくて
パスワードは合ってるのに不正アクセスと誤認されて最悪ログインをブロックされるというリスクを下げるためなので
普通にKeePassで一元管理してる
TOTP をちゃんと運用するなら、シークレットキーのバックアップは厳禁、バックアップコードは紙に印刷して保存、って感じでかなり面倒くさい
そこまでして知識、所有の厳密な2要素にこだわるよりは、KeePassの暗号強度（と流出対策）を信頼するね

**名無しさん＠お腹いっぱい。** · 2020/10/12(月) 17:17:49.01

暗号化して保管しとけばいいだろ

**名無しさん＠お腹いっぱい。** · 2020/10/13(火) 04:37:16.43

暗号を過信するのは良くないけどね
解けない暗号は無いから

**名無しさん＠お腹いっぱい。** · 2020/10/13(火) 07:10:40.90

MOに入れてネットワークから切り離して保管してる

**名無しさん＠お腹いっぱい。** · 2020/10/13(火) 20:11:39.22

>>925
マスターキーが推測不能かつ20文字以上なら、国家権力レベルを仮に想定したとしても解けない暗号と言っていいでしょ
まあ、PCに特殊なマルウェア仕込まれるとか、入力画面を盗み見されるとか、凶器で脅されるとか、
暗号化では守れないリスクはいろいろあるが、その辺は利便性とのバーターで諦める

**名無しさん＠お腹いっぱい。** · 2020/10/13(火) 21:15:58.01

暗号に穴がないとは言えない。
数学の大発見があればそれで終わる可能性もある。

金庫で例えれば、
鍵が盗難される可能性、
錠の複雑さ、
金庫自体の堅牢さ、
これはまったく別の問題。

**名無しさん＠お腹いっぱい。** · 2020/10/13(火) 21:19:51.11

所詮は時間稼ぎのツールだから
寿命まで逃げきれば勝ち

**名無しさん＠お腹いっぱい。** · 2020/10/13(火) 23:30:47.32

多少の高速化はあり得るだろうし、安全マージン加えて鍵を複雑にするくらいはやるが
暗号化が無意味になるレベルの数学的発見まで脅威と捉えるなら、インターネット捨てるしかないね
個人のパスワード管理なんてどうでもいいくらい影響範囲が大きすぎる

**名無しさん＠お腹いっぱい。** · 2020/10/13(火) 23:53:17.85

ドイツのエニグマもまさかコンピュータ使って解読されるとは思っていなかった。
そして解いたイギリスも解いた事はずっと伏せていた。
つまり、解かれても何事もなかったようにインターネットは継続するのよ。

**名無しさん＠お腹いっぱい。** · 2020/10/13(火) 23:59:54.22

ネット銀行のワンタイムパスワードの暗号方式が漏れてるとかなんとか言ってた人いたけど漏れてるなら暗号方式変えないの？
ワンタイムパスワードが漏れてワンタイムパスワード端末がなくても数字わかるとかヤバない？

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 00:24:36.08

初耳なんだけどそれホント？にわかには信じがたい話だなあ
実際にワンタイムパスワードが破られて不正送金された事例とか聞いたことないし

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 02:49:00.13

「ワンタイムパスワードの暗号方式が漏れてる」

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 07:49:03.63

RFC 6238

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 12:14:38.45

秘密鍵が知られなければ何の問題もない。

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 18:29:33.93

猟師コンピュータが出来れば、ズドンで終わる

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 18:30:31.13

bitwardenの脆弱性がどうたらって結局どうなったんだ

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 18:42:03.80

嘘か本当か知らんがドコモ口座が問題になった時にワンタイムパスワードの事も触れてテレビにも出てる専門家が言ってたな
ワンタイムパスワードの規格を決めてる所がハッキングされて
暗号方式の中身が盗まれたからワンタイムパスワードも安心じゃないとかなんとか

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 19:07:46.29

>>938

>>631だけどJPCERTに問い合わせ送った事すら忘れてて今メール覗いてみたけど、一切返信なかったわ
念の為にBitwardenにも送ってたけどこちらも返信なし

これって問題にならない程度の手法ってことか？
マスターパスワードさえ漏れなきゃ問題ないからどうとも言えんけど

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 20:15:01.03

やはり時代は石板か

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 20:20:49.86

>>940
捨てメールじゃなくて、本メール使ったんすか？

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 20:23:43.22

>>942
フォームにはちゃんとGMailのアドレス入力したぞ

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 20:46:29.61

そりゃ規格を決めてるところが秘密情報を持ってる暗号方式なんて
安心して使えないよな

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 21:02:59.78

なんとなく話を聞いた印象だと初期パスワードを秘密鍵の生成に流用するとかの類なのかな

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 21:22:20.01

>>941
やっぱ完全記憶能力でしょ

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 22:33:18.42

>>940
ずっと返信無いなら、Bitwardenの公式フォーラムかGitHubかでオープンにしようよ
話の通りだとしてもバレたらそ

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 22:39:22.20

>>947
バレたら即ユーザが危険にさらされるわけではないし
正しくとも勘違いでも、オープンにならないと、ただの風説の流布

**名無しさん＠お腹いっぱい。** · 2020/10/14(水) 22:41:48.16

スレチだけど一応

nano系の広告ブロックは速やかに削除しましょう
https://280blocker.net/blog/20201011/2568/

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:19:42.61

メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題

///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで

ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる

また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:20:14.99

メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題

///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで

ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる

また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:26:41.93

そのBitwardenの脆弱性って最新のバージョンでも修正されてないの？
実はメールを読んでてすでに修正してるとか？もしかしたらだけど

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:30:13.52

>>951
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:30:43.39

今流行りのリバースブルートフォース

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:40:46.65

取りあえず2FAはメール受信に切り替えた
さすがにメールならすぐ気がつくだろう

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:45:26.10

>>955
メアドは別のにした？同じだとメアド乗っ取られたとき大変だよ

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:12:06.46

これはフォーラムに書いてもいいんじゃないかな

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:21:08.56

皆が寝静まった深夜に爆弾落とすスタイル

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:41:01.93

bitwardenに限らずTOTPならどこでも？

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:49:47.31

対策されてなければどこでも

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:51:05.50

>>940
IPAに出したのかい？
https://www.ipa.go.jp/security/vuln/report/
https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 02:33:43.20

TOTPが弱いからダメ、という点ではなく
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか？

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 07:15:54.60

りょうここんぴゅーたーならあっという間っていうてた

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 08:52:11.64

昨日からbitwarden使い始めたってのに…

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 09:59:11.65

暫定対応は>>955でいい感じかな

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 10:01:20.46

bitwarden使ってないしTOTPの脆弱性もピンとこないが
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 10:35:00.32

よくわからんけどbitwardenのマスターTOTPは暗号鍵が固定でパターンが6個しかないってこと？
暗号鍵の再発行ができるようになってないなら確かに問題だが

チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 11:15:59.52

>>964
だからenpassにしろとあれほど･･･

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 12:13:23.06

OTPの別入力を許すサービス設計は昔からあって
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ

慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・

脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:25:06.19

許容するにしても警告なしは普通にマズくね？
例えば5回連続で失敗したら一時的（1時間位）にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは...

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:28:16.73

>>970
それな
実際TOTPロストした奴がこの手法でアカウントにアクセスできてる時点で何らかの対策をとる必要があると思う

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:32:58.98

二段階認証をメール方式にする
※Bitwarden登録に使用したメールアドレス以外

無料会員の暫定対応はこれであってるかな？
有料会員ならもっと選択肢ありそうだけど

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:35:09.38

慣例ってこわい

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:44:28.00

2段階認証してないわいには逆に関係なかった

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 16:39:18.37

Nanoまじか削除してくる

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 17:47:34.15

自分が「こうあるべき」「これが必要」と思うのは自由だし
利用を中止するのも気にしないのも緩和策を選ぶのも運営元に要望を出すのも自由だけど
公的機関が脆弱性として扱うかどうかは自分がどう思うかとは別問題ってこと

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 18:22:13.35

まあその方針を貫いた結果が今問題の地銀アタックなんだけどな

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 18:32:46.52

パスワードマネージャーはKeepassが安定最強って認識でOK?

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 18:39:20.08

KeePassXCがさいつよ

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 18:49:10.02

いまいち違いが分からない

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 20:26:30.33

ウロボロスの2段階認証がどんどん複雑になってゆく

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 22:00:46.88

自分で如何様にも強化できるKeepassだな！

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 22:11:25.51

Keepassは情弱には厳しいから初心者はEnpassでも買っとけ

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 23:25:24.15

KeePass新規はKeePassXCがいいぞ、UIがよりスッキリしててわかりやすい
Android も iOS も UI 良くした新規アプリが続々出てきてて、やはり熱気あるコミュニティは良い

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 01:09:18.76

>>977
あれがやらかしたのは
「TOTPがあるからマスターパスワードは廃止してもいいよね」
レベルだからダメさの桁が違う

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 02:40:34.95

https://www.keepassdx.com/
AndroidアプリでKeepassDXってのが最近出てきたけどこれイイよ
ずっとKeepass2Android使ってて特に不満はなかったけど見た目はDXの方が今風で好みだからこっちに換えた

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 05:16:21.41

>>986
試したけどUIはシンプルでこっちの方がいいな

データベースマージ機能無し？でPCとクラウド同期してると上書きされてデータ消えそうで様子見

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 06:57:11.12

>>986
KeePassDXイイネ Googleアンケートで残高貯まってたからさっそくPro版買ったわ

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 07:16:42.39

次スレたのんます

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 08:26:15.72

keepassはプラットフォームや
プラグイン毎に全部作者が違うのがちょっとね
他は不満無かったけどそれが嫌で
enpassに切り替えた

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 08:38:49.93

>>988
pro版は開発支援版だから、普段使いは今のところ無料版のほうがいいかも
違いはSteam TOTPに対応して、2つテーマが増えるだけで
無料版のBeta版基準で更新されるから、まれに安定してないときがある
（今はBeta版出てないから、無料版と有料版は同じバージョンだけどね）

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 10:45:44.99

うめちゃん

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 12:21:38.13

androidはオープンソースで優秀なアプリがあるからいいな

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 14:59:20.36

KeePass クライアントに限っては Strongbox も KeePassium もオープンソース
とはいえGPLライセンスとApp Storeの規約は非互換なので、事実上改造も再配布も禁じられているようなものだが

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 17:43:49.54

>>987
データベースのバックアップ機能などはまだまだ発展の余地はありそうだね
自分は個人利用の環境だけど各端末とクラウド同期しても使用上の不具合は起きてないよ
>>988
自分も気に入ったから応援の意味も込めてPro版購入したよ～

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 18:16:38.60

次スレ
パスワード管理ツール Part11
https://egg.5ch.net/test/read.cgi/software/1602839772/

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 18:27:16.13

>>991
>無料版のBeta版基準で更新されるから
これは知らなかったけど、あとはわかった上で金払ったよ >>995と同じく応援したかったから

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 19:47:20.12

iOS用のKeePassクライアントはなにがいいんだろ

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 19:55:23.69

埋め宮アンナ

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 19:57:41.36

>>995
作者はバックアップ機能の実装には消極的っぽい
バックアップには Syncthing とか外部アプリを使うことを推してる感じ
とはいえ、競合したらデータベースのマージができるようにはしようとしてるみたい
>>997
自分も応援で金払ってるし、テスターのつもりで Pro 版使ってるけど
前安定版から現バージョンまでそこそこバグ出してたからね、一部端末で起動時クラッシュとか
個人開発で機能追加も活発だと品質保証までリソースが回らないのも当たり前だし、ベータテスターの確保なしには安定版はリリースできないけど
Proという名前で不安定なのはええんか？と思わなくもない

**1001** · Over 1000

このスレッドは１０００を超えました。
新しいスレッドを立ててください。
life time: 197日 3時間 35分 9秒