パスワード管理ツール(ソフトウェア)について語るスレです。
前スレ
パスワード管理ツール Part9
https://egg.5ch.net/test/read.cgi/software/1551079734/
探検
パスワード管理ツール Part10
レス数が1000を超えています。これ以上書き込みはできません。
2020/04/02(木) 16:22:32.91ID:FCfy+SDh0
2020/10/13(火) 07:10:40.90ID:ONb4YLIZ0
MOに入れてネットワークから切り離して保管してる
927名無しさん@お腹いっぱい。
2020/10/13(火) 20:11:39.22ID:2Iola7qW0 >>925
マスターキーが推測不能かつ20文字以上なら、国家権力レベルを仮に想定したとしても解けない暗号と言っていいでしょ
まあ、PCに特殊なマルウェア仕込まれるとか、入力画面を盗み見されるとか、凶器で脅されるとか、
暗号化では守れないリスクはいろいろあるが、その辺は利便性とのバーターで諦める
マスターキーが推測不能かつ20文字以上なら、国家権力レベルを仮に想定したとしても解けない暗号と言っていいでしょ
まあ、PCに特殊なマルウェア仕込まれるとか、入力画面を盗み見されるとか、凶器で脅されるとか、
暗号化では守れないリスクはいろいろあるが、その辺は利便性とのバーターで諦める
2020/10/13(火) 21:15:58.01ID:imI9KuSP0
暗号に穴がないとは言えない。
数学の大発見があればそれで終わる可能性もある。
金庫で例えれば、
鍵が盗難される可能性、
錠の複雑さ、
金庫自体の堅牢さ、
これはまったく別の問題。
数学の大発見があればそれで終わる可能性もある。
金庫で例えれば、
鍵が盗難される可能性、
錠の複雑さ、
金庫自体の堅牢さ、
これはまったく別の問題。
2020/10/13(火) 21:19:51.11ID:wjxssEye0
所詮は時間稼ぎのツールだから
寿命まで逃げきれば勝ち
寿命まで逃げきれば勝ち
2020/10/13(火) 23:30:47.32ID:2Iola7qW0
多少の高速化はあり得るだろうし、安全マージン加えて鍵を複雑にするくらいはやるが
暗号化が無意味になるレベルの数学的発見まで脅威と捉えるなら、インターネット捨てるしかないね
個人のパスワード管理なんてどうでもいいくらい影響範囲が大きすぎる
暗号化が無意味になるレベルの数学的発見まで脅威と捉えるなら、インターネット捨てるしかないね
個人のパスワード管理なんてどうでもいいくらい影響範囲が大きすぎる
2020/10/13(火) 23:53:17.85ID:imI9KuSP0
ドイツのエニグマもまさかコンピュータ使って解読されるとは思っていなかった。
そして解いたイギリスも解いた事はずっと伏せていた。
つまり、解かれても何事もなかったようにインターネットは継続するのよ。
そして解いたイギリスも解いた事はずっと伏せていた。
つまり、解かれても何事もなかったようにインターネットは継続するのよ。
2020/10/13(火) 23:59:54.22ID:9Oi/DmTM0
ネット銀行のワンタイムパスワードの暗号方式が漏れてるとかなんとか言ってた人いたけど漏れてるなら暗号方式変えないの?
ワンタイムパスワードが漏れてワンタイムパスワード端末がなくても数字わかるとかヤバない?
ワンタイムパスワードが漏れてワンタイムパスワード端末がなくても数字わかるとかヤバない?
2020/10/14(水) 00:24:36.08ID:RPFkJIiu0
初耳なんだけどそれホント?にわかには信じがたい話だなあ
実際にワンタイムパスワードが破られて不正送金された事例とか聞いたことないし
実際にワンタイムパスワードが破られて不正送金された事例とか聞いたことないし
2020/10/14(水) 02:49:00.13ID:HAmLovCQ0
「ワンタイムパスワードの暗号方式が漏れてる」
2020/10/14(水) 07:49:03.63ID:VZYprdKe0
RFC 6238
2020/10/14(水) 12:14:38.45ID:cFnI6luO0
秘密鍵が知られなければ何の問題もない。
2020/10/14(水) 18:29:33.93ID:VEulbwq30
猟師コンピュータが出来れば、ズドンで終わる
2020/10/14(水) 18:30:31.13ID:aPJUPNzO0
bitwardenの脆弱性がどうたらって結局どうなったんだ
2020/10/14(水) 18:42:03.80ID:3NE5avuL0
嘘か本当か知らんがドコモ口座が問題になった時にワンタイムパスワードの事も触れてテレビにも出てる専門家が言ってたな
ワンタイムパスワードの規格を決めてる所がハッキングされて
暗号方式の中身が盗まれたからワンタイムパスワードも安心じゃないとかなんとか
ワンタイムパスワードの規格を決めてる所がハッキングされて
暗号方式の中身が盗まれたからワンタイムパスワードも安心じゃないとかなんとか
2020/10/14(水) 19:07:46.29ID:ux0Ld+f50
2020/10/14(水) 20:15:01.03ID:k0xQdkVE0
やはり時代は石板か
2020/10/14(水) 20:20:49.86ID:IHfUQrvD0
>>940
捨てメールじゃなくて、本メール使ったんすか?
捨てメールじゃなくて、本メール使ったんすか?
2020/10/14(水) 20:23:43.22ID:ux0Ld+f50
>>942
フォームにはちゃんとGMailのアドレス入力したぞ
フォームにはちゃんとGMailのアドレス入力したぞ
2020/10/14(水) 20:46:29.61ID:X5uqLYlR0
そりゃ規格を決めてるところが秘密情報を持ってる暗号方式なんて
安心して使えないよな
安心して使えないよな
2020/10/14(水) 21:02:59.78ID:txH24ubu0
なんとなく話を聞いた印象だと初期パスワードを秘密鍵の生成に流用するとかの類なのかな
2020/10/14(水) 21:22:20.01ID:McdE+eLb0
>>941
やっぱ完全記憶能力でしょ
やっぱ完全記憶能力でしょ
2020/10/14(水) 22:33:18.42ID:9P78+tWJ0
2020/10/14(水) 22:39:22.20ID:9P78+tWJ0
2020/10/14(水) 22:41:48.16ID:LBcSKCpN0
2020/10/15(木) 00:19:42.61ID:1365Y5gB0
メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
2020/10/15(木) 00:20:14.99ID:1365Y5gB0
メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
2020/10/15(木) 00:26:41.93ID:gL5V5o790
そのBitwardenの脆弱性って最新のバージョンでも修正されてないの?
実はメールを読んでてすでに修正してるとか?もしかしたらだけど
実はメールを読んでてすでに修正してるとか?もしかしたらだけど
2020/10/15(木) 00:30:13.52ID:Rs35GMVy0
>>951
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする
2020/10/15(木) 00:30:43.39ID:2CqtpzZB0
今流行りのリバースブルートフォース
2020/10/15(木) 00:40:46.65ID:dwOrVfH90
取りあえず2FAはメール受信に切り替えた
さすがにメールならすぐ気がつくだろう
さすがにメールならすぐ気がつくだろう
2020/10/15(木) 00:45:26.10ID:xbc/CcoW0
>>955
メアドは別のにした?同じだとメアド乗っ取られたとき大変だよ
メアドは別のにした?同じだとメアド乗っ取られたとき大変だよ
2020/10/15(木) 01:12:06.46ID:axAmzWrq0
これはフォーラムに書いてもいいんじゃないかな
2020/10/15(木) 01:21:08.56ID:T0WY0ukp0
皆が寝静まった深夜に爆弾落とすスタイル
2020/10/15(木) 01:41:01.93ID:UuiICp/v0
bitwardenに限らずTOTPならどこでも?
2020/10/15(木) 01:49:47.31ID:Gjno9AQp0
対策されてなければどこでも
2020/10/15(木) 01:51:05.50ID:hXcnFnoe0
2020/10/15(木) 02:33:43.20ID:UuiICp/v0
TOTPが弱いからダメ、という点ではなく
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか?
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか?
2020/10/15(木) 07:15:54.60ID:R+sDkxST0
りょうここんぴゅーたーならあっという間っていうてた
2020/10/15(木) 08:52:11.64ID:AD0hJjYg0
昨日からbitwarden使い始めたってのに…
2020/10/15(木) 09:59:11.65ID:bsdwCdmu0
暫定対応は>>955でいい感じかな
2020/10/15(木) 10:01:20.46ID:4ZdWsDXE0
bitwarden使ってないしTOTPの脆弱性もピンとこないが
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる
2020/10/15(木) 10:35:00.32ID:2/naAJao0
よくわからんけどbitwardenのマスターTOTPは暗号鍵が固定でパターンが6個しかないってこと?
暗号鍵の再発行ができるようになってないなら確かに問題だが
チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし
暗号鍵の再発行ができるようになってないなら確かに問題だが
チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし
968名無しさん@お腹いっぱい。
2020/10/15(木) 11:15:59.52ID:U23NcZ6M0 >>964
だからenpassにしろとあれほど・・・
だからenpassにしろとあれほど・・・
2020/10/15(木) 12:13:23.06ID:SeTnZEGS0
OTPの別入力を許すサービス設計は昔からあって
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ
慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・
脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ
慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・
脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど
2020/10/15(木) 13:25:06.19ID:meAthy8q0
許容するにしても警告なしは普通にマズくね?
例えば5回連続で失敗したら一時的(1時間位)にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは...
例えば5回連続で失敗したら一時的(1時間位)にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは...
2020/10/15(木) 13:28:16.73ID:I+nUsbAy0
2020/10/15(木) 13:32:58.98ID:atqAmJsS0
二段階認証をメール方式にする
※Bitwarden登録に使用したメールアドレス以外
無料会員の暫定対応はこれであってるかな?
有料会員ならもっと選択肢ありそうだけど
※Bitwarden登録に使用したメールアドレス以外
無料会員の暫定対応はこれであってるかな?
有料会員ならもっと選択肢ありそうだけど
2020/10/15(木) 13:35:09.38ID:Mq+AOywu0
慣例ってこわい
2020/10/15(木) 13:44:28.00ID:idkH8bgp0
2段階認証してないわいには逆に関係なかった
2020/10/15(木) 16:39:18.37ID:lgoUEM0H0
Nanoまじか削除してくる
2020/10/15(木) 17:47:34.15ID:maeuJBWI0
自分が「こうあるべき」「これが必要」と思うのは自由だし
利用を中止するのも気にしないのも緩和策を選ぶのも運営元に要望を出すのも自由だけど
公的機関が脆弱性として扱うかどうかは自分がどう思うかとは別問題ってこと
利用を中止するのも気にしないのも緩和策を選ぶのも運営元に要望を出すのも自由だけど
公的機関が脆弱性として扱うかどうかは自分がどう思うかとは別問題ってこと
2020/10/15(木) 18:22:13.35ID:oAsYSWiG0
まあその方針を貫いた結果が今問題の地銀アタックなんだけどな
2020/10/15(木) 18:32:46.52ID:KXpZXLhb0
パスワードマネージャーはKeepassが安定最強って認識でOK?
2020/10/15(木) 18:39:20.08ID:1+xwkoKB0
KeePassXCがさいつよ
2020/10/15(木) 18:49:10.02ID:V95EAilK0
いまいち違いが分からない
2020/10/15(木) 20:26:30.33ID:UGcNWuZy0
ウロボロスの2段階認証がどんどん複雑になってゆく
2020/10/15(木) 22:00:46.88ID:3DGdTnlr0
自分で如何様にも強化できるKeepassだな!
2020/10/15(木) 22:11:25.51ID:lgoUEM0H0
Keepassは情弱には厳しいから初心者はEnpassでも買っとけ
2020/10/15(木) 23:25:24.15ID:qevqA5bl0
KeePass新規はKeePassXCがいいぞ、UIがよりスッキリしててわかりやすい
Android も iOS も UI 良くした新規アプリが続々出てきてて、やはり熱気あるコミュニティは良い
Android も iOS も UI 良くした新規アプリが続々出てきてて、やはり熱気あるコミュニティは良い
2020/10/16(金) 01:09:18.76ID:uTvbmw3G0
2020/10/16(金) 02:40:34.95ID:yVBOay6s0
https://www.keepassdx.com/
AndroidアプリでKeepassDXってのが最近出てきたけどこれイイよ
ずっとKeepass2Android使ってて特に不満はなかったけど見た目はDXの方が今風で好みだからこっちに換えた
AndroidアプリでKeepassDXってのが最近出てきたけどこれイイよ
ずっとKeepass2Android使ってて特に不満はなかったけど見た目はDXの方が今風で好みだからこっちに換えた
2020/10/16(金) 05:16:21.41ID:TyURB4g+0
2020/10/16(金) 06:57:11.12ID:sXWXcC6v0
>>986
KeePassDXイイネ Googleアンケートで残高貯まってたからさっそくPro版買ったわ
KeePassDXイイネ Googleアンケートで残高貯まってたからさっそくPro版買ったわ
989名無しさん@お腹いっぱい。
2020/10/16(金) 07:16:42.39ID:tWohs8bd0 次スレたのんます
2020/10/16(金) 08:26:15.72ID:x3ty1czn0
keepassはプラットフォームや
プラグイン毎に全部作者が違うのがちょっとね
他は不満無かったけどそれが嫌で
enpassに切り替えた
プラグイン毎に全部作者が違うのがちょっとね
他は不満無かったけどそれが嫌で
enpassに切り替えた
2020/10/16(金) 08:38:49.93ID:VMocCjMr0
>>988
pro版は開発支援版だから、普段使いは今のところ無料版のほうがいいかも
違いはSteam TOTPに対応して、2つテーマが増えるだけで
無料版のBeta版基準で更新されるから、まれに安定してないときがある
(今はBeta版出てないから、無料版と有料版は同じバージョンだけどね)
pro版は開発支援版だから、普段使いは今のところ無料版のほうがいいかも
違いはSteam TOTPに対応して、2つテーマが増えるだけで
無料版のBeta版基準で更新されるから、まれに安定してないときがある
(今はBeta版出てないから、無料版と有料版は同じバージョンだけどね)
2020/10/16(金) 10:45:44.99ID:eZh7p+OD0
うめちゃん
2020/10/16(金) 12:21:38.13ID:VSLIVYjE0
androidはオープンソースで優秀なアプリがあるからいいな
2020/10/16(金) 14:59:20.36ID:VMocCjMr0
KeePass クライアントに限っては Strongbox も KeePassium もオープンソース
とはいえGPLライセンスとApp Storeの規約は非互換なので、事実上改造も再配布も禁じられているようなものだが
とはいえGPLライセンスとApp Storeの規約は非互換なので、事実上改造も再配布も禁じられているようなものだが
2020/10/16(金) 17:43:49.54ID:w0I+fWIg0
2020/10/16(金) 18:16:38.60ID:5F0KAgQJ0
2020/10/16(金) 18:27:16.13ID:sXWXcC6v0
2020/10/16(金) 19:47:20.12ID:oJ3XKi2s0
iOS用のKeePassクライアントはなにがいいんだろ
999名無しさん@お腹いっぱい。
2020/10/16(金) 19:55:23.69ID:/NI3f/ow0 埋め宮アンナ
1000名無しさん@お腹いっぱい。
2020/10/16(金) 19:57:41.36ID:VMocCjMr010011001
Over 1000Thread このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 197日 3時間 35分 9秒
新しいスレッドを立ててください。
life time: 197日 3時間 35分 9秒
レス数が1000を超えています。これ以上書き込みはできません。
ニュース
- 【熊本】園児に強制性交か 保育所勤務の男を逮捕「性的な欲望が我慢できなかった」警察は余罪を調べる [七波羅探題★]
- 堀江貴文、キャッシュレス非対応の店にモヤッ 『PayPay』立ち上げの人物にまさかの直談判「現金決済しかできないんだけど…」 [冬月記者★]
- 【前橋市】小川晶前市長とラブホテルで打ち合わせをした54歳男性職員を停職処分 今月末で依願退職するという [シャチ★]
- 【おこめ券】鈴木農相 米価維持の意図「一切ない」★3 [ぐれ★]
- 日銀「歴史的」利上げ迫る 35年ぶりの年間上げ幅、0.5%の壁を突破 [蚤の市★]
- 【千葉】特養ホームで90歳女性を殴った疑い 女性は死亡 介護福祉士の男(48)傷害容疑で逮捕 成田市 [ぐれ★]
- 中国の日本向けレアアースの輸出止まる、高市のせいで日本終了のお知らせ [931948549]
- 高市早苗「竹島は日本領土」 [834922174]
- あくたんのおまんこって甘そうだよな🤤
- 今日初めてケンタッキー行ってきたんだけどさ
- ヨドバシ店員「転売対策です。エヴァに出てくるロボットの名前をどれかひとつ言ってください」 [268718286]
- 🏡