パスワード管理ツール Part14

**名無しさん＠お腹いっぱい。** · 2022/08/05(金) 17:23:05.97

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part13
https://egg.5ch.net/test/read.cgi/software/1652093055/

**名無しさん＠お腹いっぱい。** · 2023/01/23(月) 00:28:00.08

それ設定がおかしいだけでは…

**名無しさん＠お腹いっぱい。** · 2023/01/23(月) 06:48:15.78

>>201
うん。
その設定が分からなくなったんで、逃げ出しました。

**名無しさん＠お腹いっぱい。** · 2023/01/23(月) 06:54:45.74

まぁ自信では別のサービスに乗り換えて解決してるようだし
どうでもいいんじゃない

**名無しさん＠お腹いっぱい。** · 2023/01/23(月) 07:01:41.78

>>203
そうなんです。
お騒がせいたしました。

**名無しさん＠お腹いっぱい。** · 2023/01/26(木) 12:14:01.37

ただ今制限を設けております

**名無しさん＠お腹いっぱい。** · 2023/01/26(木) 22:41:31.39

KeePassXCって項目追加できますか？

**名無しさん＠お腹いっぱい。** · 2023/01/27(金) 14:47:41.40

項目って何ですか？

**名無しさん＠お腹いっぱい。** · 2023/01/27(金) 21:45:19.24

>>206
自動入力2箇所で足りない？
項目追加してブラウザ拡張で自動ログインする方法

エントリー編集→詳細設定→追加属性追加→KPH: a→右のウィンドウにパスワード等追加
KPH:の後は半角スペース必須で文字列何でもいい

ログインしたいサイトでブラウザ拡張のカスタムログインフィールド選択
ユーザー名、パスワード、文字列フィールド(KPH:)設定
https://keepassxc.org/docs/#faq-browser-string-field

**名無しさん＠お腹いっぱい。** · 2023/01/27(金) 21:48:47.00

URL間違えた
https://keepassxc.org/docs/#faq-browser-string-fields

**名無しさん＠お腹いっぱい。** · 2023/01/28(土) 00:03:49.99

>>208
>>209
ありがとうございます
入力できました

**名無しさん＠お腹いっぱい。** · 2023/01/28(土) 13:47:27.23

エスパーしゅごい

**名無しさん＠お腹いっぱい。** · 2023/01/29(日) 16:10:00.82

これ理解できないのはアスペ

**名無しさん＠お腹いっぱい。** · 2023/01/29(日) 21:23:33.91

決めつけ星人だ逃げろー

**名無しさん＠お腹いっぱい。** · 2023/02/01(水) 00:27:40.10

Keepassに脆弱性
XCはセーフ
https://www.bleepingcomputer.com/news/security/keepass-disputes-vulnerability-allowing-stealthy-password-theft/

**名無しさん＠お腹いっぱい。** · 2023/02/01(水) 11:21:47.12

システムに書き込みできる状況じゃないと仕えない脆弱性かあ

**名無しさん＠お腹いっぱい。** · 2023/02/03(金) 14:36:10.52

(´ε｀；)ｳｰﾝ…

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 01:52:26.02

脆弱性って言うからKeepass更新来てるかなと思ったが特に更新来ない所を見ると言うほど深刻な脆弱性じゃないのか？
まあそれはそうと、最近は何処もかしこも二段階認証ばかりだけど、二段階認証とか設定してガチガチにすると
逆にスマホが壊れたりして本人なのに締め出されないかって心配になってくるわ……
それと最近スマホのSIMスワップとか言うスマホ自体を乗っ取る手口も出てきて
スマホが乗っ取られるならその二段階認証意味ないなってのと何でもかんでもスマホにした時
ヤバい事になりそうだな…自分としてはハードウェアトークン、ネット銀行等で使ってる
スマホとは別のワンタイムデバイスとか普及しないかな思うけど中々普及しないなもうスマホがあれば十分みたいなのが怖い

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 03:46:56.75

>>217
２段階認証はだいたい、復元コードなんかもセットになってるからそういうものの管理もできていれば問題ない。
また、SIMスワップはスマホ乗っ取りというより、回線乗っ取り。SMSの通知なんかは持っていかれるけど、ただちにログイン情報や決済時のシークレットやらの全てを盗難されるわけではない。

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 08:37:51.23

>>217
TOTPっていう一定時間ごとに変化する6桁の数字を入力するやつならKeepassXCが対応してるよ。
TOTPはグーグルとかメジャーなサイトでは対応しているから設定しておくといいかもしれない。
keepassxcでパスワードとTOTPを一緒に管理すると便利ではあるけど二要素認証にはならないが。

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 09:01:42.96

SIM依存のSMS認証は自分も好きじゃないわ
yahooがTOTP不可にしたのほんまクソ

Googleアカウントは任意のデバイス（複数）全部にメッセージ投げてくれるから
スマホのバッテリー切れててもタブから承認できて楽でいい
選択肢も「承認しますか［はい］［いいえ］」で数値打ち込みの面倒ないし
OS握ってるからこそできる事なのかもだけど

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 11:24:57.25

ハゲが廃止したのはクソすぎたな
ユーザーのこと何も考えてない無能

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 12:33:16.93

iPhoneの機種交換時、TOTPのGoogleオーセンティケーターだっけ？が復元されなかった時は大変だったな
覚えてる取引履歴書かされたり免許証もって写真撮ったり

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 14:23:21.84

俺も似たような目に遭って難儀したわ。以来Authyで代用するようにした

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 19:23:53.96

国内の携帯会社でSIMスワップなんて起きてるの？

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 19:27:46.18

https://news.yahoo.co.jp/articles/3aeb5467246f611388d1bc05a71cffe6d440fca7

**名無しさん＠お腹いっぱい。** · 2023/02/04(土) 22:13:37.93

SMS認証は都度溜まっていくのもキツいわ
AndroidのSMSツールで古い奴自動的に消せる奴ないかね

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 01:37:53.21

>>217
Authy使ってるわ
「Twilio Authy Authenticator」をチェック！
https://play.google.com/store/apps/details?id=com.authy.authy

オープンソースがいいならAegisがおすすめ
「Aegis Authenticator - 2FA App」をチェック！
https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 02:34:44.81

Aegis一択

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 03:55:49.17

俺もAuthy使ってる

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 10:25:20.41

>>227
Aegis良さそうだ
情報ありがとう

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 12:22:11.94

私もAuthy

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 19:18:05.77

Authyとか情弱かよ

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 19:55:28.45

いるよねこういうやつ

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 07:13:00.25

煽るだけなら猿でもできるからねえ

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 09:03:26.42

猫なら許す

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 11:34:45.68

ほんとに情弱なんだな・・・

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 12:03:55.07

対案示さずにただダメだって言ってるのは野党みたいだよな（つまりサルでもできると同意）

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 12:20:46.89

情強さんは自らハードルを上げるスタイルか

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 19:36:26.54

情弱でも安心して使えると考えてみたらどうだろう
必死な煽りが拝めると思うのだが

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 20:31:13.05

横からだけどAuthyはやらかしてるので人に勧めるのはどうかと

https://www.twilio.com/ja/blog/august-2022-social-engineering-attack-jp
「現在までの調査で、悪意のある行為者は、93人の個人Authyユーザー(*2)のアカウントに不正にアクセスし、
そのAuthyアカウントにデバイスを追加登録したことが確認されています。」

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 20:53:09.91

パスワード管理ツールのアカウントに2要素認証を設定している人って、
2要素認証アプリのアカウント情報はどこに保存しているのですか？

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 21:17:45.41

脳内

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 23:00:40.40

やらかしてるのはAuthyじゃなくてtwilioだけどね

**名無しさん＠お腹いっぱい。** · 2023/02/07(火) 11:28:40.04

>>242
やっぱりそういう運用になるのか
パスワード管理アプリと2要素認証アプリと、2つのパスワードは覚えないといけないと

**名無しさん＠お腹いっぱい。** · 2023/02/07(火) 13:09:50.84

しかもSMS認証とかガガイのガイすぎるからな
鍵管理するために携帯電話番号と紐付けますとか頭おかしい

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 07:37:25.47

GoogleのCredential Managerはサードパーティ製パスワードマネージャーを根絶やしにするか？
いいえ。
サードパーティ製でも利用できるようになる。
Lastpassとかでも。

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 09:14:09.46

パスワードマネージャーの文句にある一つ覚えておくだけで充分と言われるマスターパスワードをどう保存したらいいのか

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 10:38:42.73

>>242

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 14:15:32.62

日本語の文章をベースにして自作して覚えればいい

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 14:29:48.92

1つめのパスワードマネージャーのマスターパスワードは2つめのパスワードマネージャーに保存すればいい
2つめのパスワードマネージャーのマスターパスワードはどうするかって？言わせんな恥ずかしい

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 17:50:18.83

覚えられるような範囲のフレーズやローマ字化は多少つついたところで辞書やAIの推測などに弱そうで不安

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 18:17:37.13

>>251
数字や記号をダジャレ風に混ぜ込んでいる

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 19:37:34.23

パスワードは漏れるモノと思って潔く多要素認証使った方が心配事は無くなるよ

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 20:24:56.72

keepassxcは指紋とキーファイル併用してキーファイルを定期的に変更するようにしてる

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 20:44:34.92

Lastpass民だったから漏れてしまった今、多要素すっ飛ばしてマスターパスだけで踏ん張ってるんだろうなと想像してしまう

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 20:58:55.75

RoboFormからKeePass系に移行しようと思ってるんだが
KeePass系でおすすめある？
どれがどんな特徴や機能があるのかよく分からん

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 21:26:37.66

XC一択

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 21:37:24.93

LastPassのマスターパスワードやられる前に全部リセットしておかなきゃ

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 22:39:34.77

KeePass系はWindowsならXC

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 02:52:08.53

LinuxでもKeepassXC使ってます。

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 09:20:15.32

>>257
>>259-260
ありがとうございます
XCの評判がいいみたいなので
試してみたいと思います

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 10:31:19.82

keepassの弱点はiOSだとアプリがあまり揃っていないところだなあ
OSSからも金を徴収してくるAppleが悪いのだけど

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 11:55:01.47

>>214
2.53.1で修正

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 12:51:37.65

>>257
Android版はどこなあるの？

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 15:58:05.60

DX確定

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 16:41:43.38

DX一択だろ

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 18:00:34.29

keepassを以前XCに変えてみようとしたら同期とトリガーが無くて断念した覚えがあるんだけどやっぱり無い?

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 23:05:07.33

どうでもいい

**名無しさん＠お腹いっぱい。** · 2023/02/10(金) 17:12:18.92

パスワードでテロ予告しておいて、流出させたハッカーを自動的にテロリスト枠に入れるという嫌がらせを考えたが、IDの所有者である俺もテロリストになるのか？

**名無しさん＠お腹いっぱい。** · 2023/02/11(土) 02:49:29.92

ちょっと何言ってるかわからない

**名無しさん＠お腹いっぱい。** · 2023/02/11(土) 03:39:52.15

(￣ー￣)ﾆﾔﾘ

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 00:05:40.21

AndroidだとDX推しだけど、Keepass2Androidとどっちがいいと思う？

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 01:30:42.07

有力どころがその2種しかないので試してみたほうが早い

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 01:56:41.93

DX使いにくかったからKeepass2Androidに帰ってきた

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 09:36:42.17

スマホのみで使うか、クラウド同期有データベース書き込み禁止ならDXがUI使いやすい印象
スマホで書き込みしてクラウド同期有はKeepass2Androidがトラブル少ない

164+1 ：名無しさん＠お腹いっぱい。 [↓] ：2022/07/02(土) 21:33:32.87 ID:APnewt0B0 [PC]
dropboxにkdbxファイル入れてAndroidのKeepassDXで開くとなんか古い内容のデータが出てきちゃうことあるんだけど、これ対処法ある？
KeepassDXのDBリストから一度消してもう一度kdbxファイルを指定して、とかやると治ることもあるんだけど
治らないときは一向に治らん
KeepassDX上ではちゃんと新しい更新日時が出てるんだけどなあ

167 ：名無しさん＠お腹いっぱい。 [↓] ：2022/07/03(日) 14:38:06.83 ID:pmpdiHqG0 [PC]
PCからスマホへ一方向で使ってるからKeepassDXは書き込み禁止で使うようにしてからは起きてないように思う
書き込める設定だとファイルが分かれたりトラブルが多かった記憶

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 13:32:43.79

質問くんだからそこまで考慮してないぞ
どっちがいいか背中押してほしいだけよ
だからKeepass2Android Offlineを勧める

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 22:30:07.46

DASHLANEで２ＦＡをオンにすると、Dashlane Authenticatorで出て来る６ケタ数字を入力すると「携帯電話の時刻ゾーンを確認してください」って出るんだけど、どうにかなりませんか？

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 22:43:46.76

答えてくれた人、ありがとうございます。
同期してるファイルにDXで書き込むとおかしくなるの、昔起きておま環だと思ってたから助かった。
今までKeepass2AndroidだったけどDXがチャレンジレスポンスに対応したっての見て、DXまた気になって聞いてみたんよ。
KP2Aの機能には満足だけど開発終了しても気づかなさそうなくらいアプデないのが怖い

**名無しさん＠お腹いっぱい。** · 2023/02/13(月) 03:25:54.04

>>277
恐らくTOTP認証しようとしてるんだけど携帯の時刻があってないとか正しい秘密鍵を使っていないんじゃないの

**名無しさん＠お腹いっぱい。** · 2023/02/13(月) 18:24:07.89

>>279
携帯とパソコンの時刻を手持ちのを電波時計に合わせると上手く機能するようになりました。(人''▽｀)ありがとう

ところで暗号理論に詳しい方、時間同期式の２ＦＡって当然ながらワンタイムパスワードと違って理論解読不可能ではないですよね？

**名無しさん＠お腹いっぱい。** · 2023/02/13(月) 20:43:49.05

他社サービスである限り、信頼できるパスワードマネージャーなんて本質的に存在し得ないんだと思う
とすると行き着く先は自作かね
やってる人はやってそうだな

**名無しさん＠お腹いっぱい。** · 2023/02/13(月) 21:07:45.52

>>280
時間同期式の2FAってTOTPのことだとするとこれもワンパスワードの一種だよ。
詳しくはTime-based One-time Passwordで検索してみてね。

>>281
他人の作った中身の分からないプログラムを使のが嫌ならKeepassXCみたいなオープンソースのパスワードマネージャーを使えばいいんじゃない?
ソースコードを読んで問題無いと思えば自分でコンパイルして使う。
自作するよりは楽でしょ。
以下のURLからKeepassXCとbitwardenのソースコードを読めるよ
https://github.com/keepassxreboot/keepassxc
https://github.com/bitwarden

**名無しさん＠お腹いっぱい。** · 2023/02/14(火) 00:49:38.35

>>282
ごめんなんとなくスレに立ち寄ったけどKeepass系知らんかった
このスレじゃ常識のようで、情弱すぎて恥ずかしいわ
ありがとうね

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 12:29:43.33

少し上の方の話だけどSMS認証ってよろしくないの？
2要素認証としてOTPアプリなんかで1つの端末で完結するのってどうなのと思って
昔からスマホとは別端末のSMS認証（ケータイ）にしてるんだけど意味無いんだろうか

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 12:42:11.97

2台とも手元にないといけないので意味ないことはないが、パスワードとスマホのロックで充分じゃないか
ナイナイ

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 13:43:04.91

SMS認証はせめて複数の番号に対応させてほしいわ

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 14:15:37.09

twitterで"2fa sms"で検索するとsms認証はダメみたいに言う人がちらほら見つかる。
さらに
"security key" gmail
(security keyの部分を""で囲むと関係ないツイートがでにくくなる)
で検索するとアカウントを乗っ取られたとgmailに訴えるツイートがたくさん見つかる。
その中に2FAを使っていたのに乗っ取られたという人がいるんだけど
それがどの種類の2FAを使っていたかまでは書いてない。
アカウントを乗っ取られたツイートの返信を見ると
インスタグラムのこのアカウントの人にお願いすれば取り返せるよっていうあやしいツイートがついている事が多い。

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 16:10:24.23

当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 16:42:02.47

どこもかしこもザルだらけだな

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 19:55:17.35

A security system is only as strong as its weakest link.
セキュリティシステムの強さは一番弱い部分の強さと同じ。

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 19:59:08.33

最近思うのはココで絵空事をグダグダ言うより
chat GPTに聞いた方が具体的な答えやヒントが得られるな

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 20:11:45.84

SMS認証は結構前に
SIMスワップ詐欺
https://eset-info.canon-its.jp/malware_info/special/detail/210209.html
ってのが有って
それで警戒する人が居るのではないかと

**名無しさん＠お腹いっぱい。** · 2023/02/17(金) 17:30:43.68

SMS認証にしろスマホのワンタイムアプリにしろスマホに依存すぎるのがどうも好きじゃない
SIMスワップもあるけどスマホに集中している以上スマホを亡くしたり、落としたり、故障したりしたら面倒なのと
理想はやっぱりネット銀行とかのスマホじゃないハードウェアトークンかな…
あとスマホだと機種変とかした時面倒になりそうだなってのがあるしスマホも定期的に買い替えるものだから
認証は別にしておきたいだけどな…

**名無しさん＠お腹いっぱい。** · 2023/02/17(金) 19:53:07.87

>>291
情報の根拠聞いてみると存在しないURLとか文章を出してくるから過信は禁物

**名無しさん＠お腹いっぱい。** · 2023/02/18(土) 14:19:07.14

キーボード押した指の温度でパスワードが分かるらしいね
温度見れる装置が必要だが

**名無しさん＠お腹いっぱい。** · 2023/02/18(土) 14:26:06.65

へーへー。テンキーの汚れ具合で推察するスパイ映画みたいやー

**名無しさん＠お腹いっぱい。** · 2023/02/18(土) 16:43:33.05

TwitterがTOTP認証必須になるから二段階認証アプリ界隈が盛り上がるな

>>10
Android: Aegis Authenticator
iOS: Raivo OTP
がベストか

**名無しさん＠お腹いっぱい。** · 2023/02/18(土) 17:45:50.42

ロボフォーム結構いいよね
使用頻度の高い順や最近使用した順から表示するサイト選択できたり
ログインボタンも自動で押してくれたり
1つのサイトにアカウント複数あっても選択肢で選べるようになってたり
1つのページに別用途のログイン欄が複数あっても入力欄横に表示されるアイコンで選択できたり

でもスマホと同期は有料になっちゃうみたいで残念
これら全てが無料で出来るのってないよね…

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 05:31:40.93

Twitter、SMSを有料化してアプリ認証が話題になってるけど
ざっと見た感じGoogleよりもMSの方を勧めてる人が多いな…
MSの方がいいのかな？

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 08:59:34.27

>>299
Googleはスマホ紛失故障時にリカバリ出来ないから使い勝手悪い
アプリ不具合で起動不可もあった
https://i.imgur.com/Y7vebYx.jpg

Microsoftはマイクロソフトアカウントでバックアップ可能だが
アカウントロックされる事がある
https://i.imgur.com/tGL2g97.jpg

セキュリティ重視なら>>297

スマホ紛失故障でも即使いたいならAuthyを複数端末に入れるのをすすめる

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 10:03:26.51

googleの認証アプリはサブ機にも入れておけばどちらからでも使えて使い勝手良いよ