パスワード管理ツール(ソフトウェア)について語るスレです。
前スレ
パスワード管理ツール Part9
https://egg.5ch.net/test/read.cgi/software/1551079734/
パスワード管理ツール Part10
レス数が1000を超えています。これ以上書き込みはできません。
2020/04/02(木) 16:22:32.91ID:FCfy+SDh0
2020/10/14(水) 18:42:03.80ID:3NE5avuL0
嘘か本当か知らんがドコモ口座が問題になった時にワンタイムパスワードの事も触れてテレビにも出てる専門家が言ってたな
ワンタイムパスワードの規格を決めてる所がハッキングされて
暗号方式の中身が盗まれたからワンタイムパスワードも安心じゃないとかなんとか
ワンタイムパスワードの規格を決めてる所がハッキングされて
暗号方式の中身が盗まれたからワンタイムパスワードも安心じゃないとかなんとか
2020/10/14(水) 19:07:46.29ID:ux0Ld+f50
2020/10/14(水) 20:15:01.03ID:k0xQdkVE0
やはり時代は石板か
2020/10/14(水) 20:20:49.86ID:IHfUQrvD0
>>940
捨てメールじゃなくて、本メール使ったんすか?
捨てメールじゃなくて、本メール使ったんすか?
2020/10/14(水) 20:23:43.22ID:ux0Ld+f50
>>942
フォームにはちゃんとGMailのアドレス入力したぞ
フォームにはちゃんとGMailのアドレス入力したぞ
2020/10/14(水) 20:46:29.61ID:X5uqLYlR0
そりゃ規格を決めてるところが秘密情報を持ってる暗号方式なんて
安心して使えないよな
安心して使えないよな
2020/10/14(水) 21:02:59.78ID:txH24ubu0
なんとなく話を聞いた印象だと初期パスワードを秘密鍵の生成に流用するとかの類なのかな
2020/10/14(水) 21:22:20.01ID:McdE+eLb0
>>941
やっぱ完全記憶能力でしょ
やっぱ完全記憶能力でしょ
2020/10/14(水) 22:33:18.42ID:9P78+tWJ0
2020/10/14(水) 22:39:22.20ID:9P78+tWJ0
2020/10/14(水) 22:41:48.16ID:LBcSKCpN0
2020/10/15(木) 00:19:42.61ID:1365Y5gB0
メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
2020/10/15(木) 00:20:14.99ID:1365Y5gB0
メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
2020/10/15(木) 00:26:41.93ID:gL5V5o790
そのBitwardenの脆弱性って最新のバージョンでも修正されてないの?
実はメールを読んでてすでに修正してるとか?もしかしたらだけど
実はメールを読んでてすでに修正してるとか?もしかしたらだけど
2020/10/15(木) 00:30:13.52ID:Rs35GMVy0
>>951
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする
2020/10/15(木) 00:30:43.39ID:2CqtpzZB0
今流行りのリバースブルートフォース
2020/10/15(木) 00:40:46.65ID:dwOrVfH90
取りあえず2FAはメール受信に切り替えた
さすがにメールならすぐ気がつくだろう
さすがにメールならすぐ気がつくだろう
2020/10/15(木) 00:45:26.10ID:xbc/CcoW0
>>955
メアドは別のにした?同じだとメアド乗っ取られたとき大変だよ
メアドは別のにした?同じだとメアド乗っ取られたとき大変だよ
2020/10/15(木) 01:12:06.46ID:axAmzWrq0
これはフォーラムに書いてもいいんじゃないかな
2020/10/15(木) 01:21:08.56ID:T0WY0ukp0
皆が寝静まった深夜に爆弾落とすスタイル
2020/10/15(木) 01:41:01.93ID:UuiICp/v0
bitwardenに限らずTOTPならどこでも?
2020/10/15(木) 01:49:47.31ID:Gjno9AQp0
対策されてなければどこでも
2020/10/15(木) 01:51:05.50ID:hXcnFnoe0
2020/10/15(木) 02:33:43.20ID:UuiICp/v0
TOTPが弱いからダメ、という点ではなく
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか?
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか?
2020/10/15(木) 07:15:54.60ID:R+sDkxST0
りょうここんぴゅーたーならあっという間っていうてた
2020/10/15(木) 08:52:11.64ID:AD0hJjYg0
昨日からbitwarden使い始めたってのに…
2020/10/15(木) 09:59:11.65ID:bsdwCdmu0
暫定対応は>>955でいい感じかな
2020/10/15(木) 10:01:20.46ID:4ZdWsDXE0
bitwarden使ってないしTOTPの脆弱性もピンとこないが
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる
2020/10/15(木) 10:35:00.32ID:2/naAJao0
よくわからんけどbitwardenのマスターTOTPは暗号鍵が固定でパターンが6個しかないってこと?
暗号鍵の再発行ができるようになってないなら確かに問題だが
チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし
暗号鍵の再発行ができるようになってないなら確かに問題だが
チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし
968名無しさん@お腹いっぱい。
2020/10/15(木) 11:15:59.52ID:U23NcZ6M0 >>964
だからenpassにしろとあれほど・・・
だからenpassにしろとあれほど・・・
2020/10/15(木) 12:13:23.06ID:SeTnZEGS0
OTPの別入力を許すサービス設計は昔からあって
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ
慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・
脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ
慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・
脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど
2020/10/15(木) 13:25:06.19ID:meAthy8q0
許容するにしても警告なしは普通にマズくね?
例えば5回連続で失敗したら一時的(1時間位)にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは...
例えば5回連続で失敗したら一時的(1時間位)にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは...
2020/10/15(木) 13:28:16.73ID:I+nUsbAy0
2020/10/15(木) 13:32:58.98ID:atqAmJsS0
二段階認証をメール方式にする
※Bitwarden登録に使用したメールアドレス以外
無料会員の暫定対応はこれであってるかな?
有料会員ならもっと選択肢ありそうだけど
※Bitwarden登録に使用したメールアドレス以外
無料会員の暫定対応はこれであってるかな?
有料会員ならもっと選択肢ありそうだけど
2020/10/15(木) 13:35:09.38ID:Mq+AOywu0
慣例ってこわい
2020/10/15(木) 13:44:28.00ID:idkH8bgp0
2段階認証してないわいには逆に関係なかった
2020/10/15(木) 16:39:18.37ID:lgoUEM0H0
Nanoまじか削除してくる
2020/10/15(木) 17:47:34.15ID:maeuJBWI0
自分が「こうあるべき」「これが必要」と思うのは自由だし
利用を中止するのも気にしないのも緩和策を選ぶのも運営元に要望を出すのも自由だけど
公的機関が脆弱性として扱うかどうかは自分がどう思うかとは別問題ってこと
利用を中止するのも気にしないのも緩和策を選ぶのも運営元に要望を出すのも自由だけど
公的機関が脆弱性として扱うかどうかは自分がどう思うかとは別問題ってこと
2020/10/15(木) 18:22:13.35ID:oAsYSWiG0
まあその方針を貫いた結果が今問題の地銀アタックなんだけどな
2020/10/15(木) 18:32:46.52ID:KXpZXLhb0
パスワードマネージャーはKeepassが安定最強って認識でOK?
2020/10/15(木) 18:39:20.08ID:1+xwkoKB0
KeePassXCがさいつよ
2020/10/15(木) 18:49:10.02ID:V95EAilK0
いまいち違いが分からない
2020/10/15(木) 20:26:30.33ID:UGcNWuZy0
ウロボロスの2段階認証がどんどん複雑になってゆく
2020/10/15(木) 22:00:46.88ID:3DGdTnlr0
自分で如何様にも強化できるKeepassだな!
2020/10/15(木) 22:11:25.51ID:lgoUEM0H0
Keepassは情弱には厳しいから初心者はEnpassでも買っとけ
2020/10/15(木) 23:25:24.15ID:qevqA5bl0
KeePass新規はKeePassXCがいいぞ、UIがよりスッキリしててわかりやすい
Android も iOS も UI 良くした新規アプリが続々出てきてて、やはり熱気あるコミュニティは良い
Android も iOS も UI 良くした新規アプリが続々出てきてて、やはり熱気あるコミュニティは良い
2020/10/16(金) 01:09:18.76ID:uTvbmw3G0
2020/10/16(金) 02:40:34.95ID:yVBOay6s0
https://www.keepassdx.com/
AndroidアプリでKeepassDXってのが最近出てきたけどこれイイよ
ずっとKeepass2Android使ってて特に不満はなかったけど見た目はDXの方が今風で好みだからこっちに換えた
AndroidアプリでKeepassDXってのが最近出てきたけどこれイイよ
ずっとKeepass2Android使ってて特に不満はなかったけど見た目はDXの方が今風で好みだからこっちに換えた
2020/10/16(金) 05:16:21.41ID:TyURB4g+0
2020/10/16(金) 06:57:11.12ID:sXWXcC6v0
>>986
KeePassDXイイネ Googleアンケートで残高貯まってたからさっそくPro版買ったわ
KeePassDXイイネ Googleアンケートで残高貯まってたからさっそくPro版買ったわ
989名無しさん@お腹いっぱい。
2020/10/16(金) 07:16:42.39ID:tWohs8bd0 次スレたのんます
2020/10/16(金) 08:26:15.72ID:x3ty1czn0
keepassはプラットフォームや
プラグイン毎に全部作者が違うのがちょっとね
他は不満無かったけどそれが嫌で
enpassに切り替えた
プラグイン毎に全部作者が違うのがちょっとね
他は不満無かったけどそれが嫌で
enpassに切り替えた
2020/10/16(金) 08:38:49.93ID:VMocCjMr0
>>988
pro版は開発支援版だから、普段使いは今のところ無料版のほうがいいかも
違いはSteam TOTPに対応して、2つテーマが増えるだけで
無料版のBeta版基準で更新されるから、まれに安定してないときがある
(今はBeta版出てないから、無料版と有料版は同じバージョンだけどね)
pro版は開発支援版だから、普段使いは今のところ無料版のほうがいいかも
違いはSteam TOTPに対応して、2つテーマが増えるだけで
無料版のBeta版基準で更新されるから、まれに安定してないときがある
(今はBeta版出てないから、無料版と有料版は同じバージョンだけどね)
2020/10/16(金) 10:45:44.99ID:eZh7p+OD0
うめちゃん
2020/10/16(金) 12:21:38.13ID:VSLIVYjE0
androidはオープンソースで優秀なアプリがあるからいいな
2020/10/16(金) 14:59:20.36ID:VMocCjMr0
KeePass クライアントに限っては Strongbox も KeePassium もオープンソース
とはいえGPLライセンスとApp Storeの規約は非互換なので、事実上改造も再配布も禁じられているようなものだが
とはいえGPLライセンスとApp Storeの規約は非互換なので、事実上改造も再配布も禁じられているようなものだが
2020/10/16(金) 17:43:49.54ID:w0I+fWIg0
2020/10/16(金) 18:16:38.60ID:5F0KAgQJ0
2020/10/16(金) 18:27:16.13ID:sXWXcC6v0
2020/10/16(金) 19:47:20.12ID:oJ3XKi2s0
iOS用のKeePassクライアントはなにがいいんだろ
999名無しさん@お腹いっぱい。
2020/10/16(金) 19:55:23.69ID:/NI3f/ow0 埋め宮アンナ
1000名無しさん@お腹いっぱい。
2020/10/16(金) 19:57:41.36ID:VMocCjMr010011001
Over 1000Thread このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 197日 3時間 35分 9秒
新しいスレッドを立ててください。
life time: 197日 3時間 35分 9秒
レス数が1000を超えています。これ以上書き込みはできません。
ニュース
- 中国とロシアの爆撃機、日本周辺で共同飛行 [少考さん★]
- 「中国側も日本機のレーダーを感知していた」 中国メディアが報道 [♪♪♪★]
- 空自機レーダー照射、音声データ公開 中国 ★2 [蚤の市★]
- 【YouTuber】バイク事故で入院のゆたぼん、振込で「お見舞金」募る [muffin★]
- 堀江貴文、キャッシュレス非対応の店にモヤッ 『PayPay』立ち上げの人物にまさかの直談判「現金決済しかできないんだけど…」 [冬月記者★]
- 高市早苗首相、消費税減税に後ろ向き 足かせはレジシステム? 「責任ある積極財政」期待高いが [蚤の市★]
- 【悲惨】中国軍が自衛隊に「事前通告」し自衛隊も返答した音声が公開されてしまうwwwこれは高市チェックアウトゕ★3 [597533159]
- 防衛省、中国を完全論破www 「事前通告があったのは海自であって空自ではない」 高市早苗勝利 [175344491]
- 【悲惨】中国軍が自衛隊に「事前通告」し自衛隊も返答した音声が公開されてしまうwwwこれは高市チェックアウトゕ★4 [597533159]
- ド・ド・ドリフのwwwwwwwww
- 【悲報】JA「全然米が売れなくて倉庫を圧迫してる。助けて!」米卸売り業者「安売りしたら赤字になる…助けて!」 [802034645]
- スマホのキャリア無制限の奴あつまれwww