パスワード管理ツール Part10

**名無しさん＠お腹いっぱい。** · 2020/04/02(木) 16:22:32.91

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part9
https://egg.5ch.net/test/read.cgi/software/1551079734/

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:26:41.93

そのBitwardenの脆弱性って最新のバージョンでも修正されてないの？
実はメールを読んでてすでに修正してるとか？もしかしたらだけど

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:30:13.52

>>951
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:30:43.39

今流行りのリバースブルートフォース

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:40:46.65

取りあえず2FAはメール受信に切り替えた
さすがにメールならすぐ気がつくだろう

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 00:45:26.10

>>955
メアドは別のにした？同じだとメアド乗っ取られたとき大変だよ

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:12:06.46

これはフォーラムに書いてもいいんじゃないかな

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:21:08.56

皆が寝静まった深夜に爆弾落とすスタイル

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:41:01.93

bitwardenに限らずTOTPならどこでも？

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:49:47.31

対策されてなければどこでも

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 01:51:05.50

>>940
IPAに出したのかい？
https://www.ipa.go.jp/security/vuln/report/
https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 02:33:43.20

TOTPが弱いからダメ、という点ではなく
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか？

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 07:15:54.60

りょうここんぴゅーたーならあっという間っていうてた

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 08:52:11.64

昨日からbitwarden使い始めたってのに…

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 09:59:11.65

暫定対応は>>955でいい感じかな

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 10:01:20.46

bitwarden使ってないしTOTPの脆弱性もピンとこないが
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 10:35:00.32

よくわからんけどbitwardenのマスターTOTPは暗号鍵が固定でパターンが6個しかないってこと？
暗号鍵の再発行ができるようになってないなら確かに問題だが

チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 11:15:59.52

>>964
だからenpassにしろとあれほど･･･

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 12:13:23.06

OTPの別入力を許すサービス設計は昔からあって
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ

慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・

脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:25:06.19

許容するにしても警告なしは普通にマズくね？
例えば5回連続で失敗したら一時的（1時間位）にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは...

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:28:16.73

>>970
それな
実際TOTPロストした奴がこの手法でアカウントにアクセスできてる時点で何らかの対策をとる必要があると思う

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:32:58.98

二段階認証をメール方式にする
※Bitwarden登録に使用したメールアドレス以外

無料会員の暫定対応はこれであってるかな？
有料会員ならもっと選択肢ありそうだけど

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:35:09.38

慣例ってこわい

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 13:44:28.00

2段階認証してないわいには逆に関係なかった

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 16:39:18.37

Nanoまじか削除してくる

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 17:47:34.15

自分が「こうあるべき」「これが必要」と思うのは自由だし
利用を中止するのも気にしないのも緩和策を選ぶのも運営元に要望を出すのも自由だけど
公的機関が脆弱性として扱うかどうかは自分がどう思うかとは別問題ってこと

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 18:22:13.35

まあその方針を貫いた結果が今問題の地銀アタックなんだけどな

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 18:32:46.52

パスワードマネージャーはKeepassが安定最強って認識でOK?

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 18:39:20.08

KeePassXCがさいつよ

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 18:49:10.02

いまいち違いが分からない

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 20:26:30.33

ウロボロスの2段階認証がどんどん複雑になってゆく

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 22:00:46.88

自分で如何様にも強化できるKeepassだな！

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 22:11:25.51

Keepassは情弱には厳しいから初心者はEnpassでも買っとけ

**名無しさん＠お腹いっぱい。** · 2020/10/15(木) 23:25:24.15

KeePass新規はKeePassXCがいいぞ、UIがよりスッキリしててわかりやすい
Android も iOS も UI 良くした新規アプリが続々出てきてて、やはり熱気あるコミュニティは良い

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 01:09:18.76

>>977
あれがやらかしたのは
「TOTPがあるからマスターパスワードは廃止してもいいよね」
レベルだからダメさの桁が違う

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 02:40:34.95

https://www.keepassdx.com/
AndroidアプリでKeepassDXってのが最近出てきたけどこれイイよ
ずっとKeepass2Android使ってて特に不満はなかったけど見た目はDXの方が今風で好みだからこっちに換えた

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 05:16:21.41

>>986
試したけどUIはシンプルでこっちの方がいいな

データベースマージ機能無し？でPCとクラウド同期してると上書きされてデータ消えそうで様子見

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 06:57:11.12

>>986
KeePassDXイイネ Googleアンケートで残高貯まってたからさっそくPro版買ったわ

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 07:16:42.39

次スレたのんます

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 08:26:15.72

keepassはプラットフォームや
プラグイン毎に全部作者が違うのがちょっとね
他は不満無かったけどそれが嫌で
enpassに切り替えた

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 08:38:49.93

>>988
pro版は開発支援版だから、普段使いは今のところ無料版のほうがいいかも
違いはSteam TOTPに対応して、2つテーマが増えるだけで
無料版のBeta版基準で更新されるから、まれに安定してないときがある
（今はBeta版出てないから、無料版と有料版は同じバージョンだけどね）

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 10:45:44.99

うめちゃん

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 12:21:38.13

androidはオープンソースで優秀なアプリがあるからいいな

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 14:59:20.36

KeePass クライアントに限っては Strongbox も KeePassium もオープンソース
とはいえGPLライセンスとApp Storeの規約は非互換なので、事実上改造も再配布も禁じられているようなものだが

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 17:43:49.54

>>987
データベースのバックアップ機能などはまだまだ発展の余地はありそうだね
自分は個人利用の環境だけど各端末とクラウド同期しても使用上の不具合は起きてないよ
>>988
自分も気に入ったから応援の意味も込めてPro版購入したよ～

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 18:16:38.60

次スレ
パスワード管理ツール Part11
https://egg.5ch.net/test/read.cgi/software/1602839772/

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 18:27:16.13

>>991
>無料版のBeta版基準で更新されるから
これは知らなかったけど、あとはわかった上で金払ったよ >>995と同じく応援したかったから

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 19:47:20.12

iOS用のKeePassクライアントはなにがいいんだろ

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 19:55:23.69

埋め宮アンナ

**名無しさん＠お腹いっぱい。** · 2020/10/16(金) 19:57:41.36

>>995
作者はバックアップ機能の実装には消極的っぽい
バックアップには Syncthing とか外部アプリを使うことを推してる感じ
とはいえ、競合したらデータベースのマージができるようにはしようとしてるみたい
>>997
自分も応援で金払ってるし、テスターのつもりで Pro 版使ってるけど
前安定版から現バージョンまでそこそこバグ出してたからね、一部端末で起動時クラッシュとか
個人開発で機能追加も活発だと品質保証までリソースが回らないのも当たり前だし、ベータテスターの確保なしには安定版はリリースできないけど
Proという名前で不安定なのはええんか？と思わなくもない

**1001** · Over 1000

このスレッドは１０００を超えました。
新しいスレッドを立ててください。
life time: 197日 3時間 35分 9秒

**1002** · Over 1000

5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。

───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────

会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。

▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/

▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php