パスワード管理ツール Part14

**名無しさん＠お腹いっぱい。** · 2022/08/05(金) 17:23:05.97

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part13
https://egg.5ch.net/test/read.cgi/software/1652093055/

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 02:34:44.81

Aegis一択

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 03:55:49.17

俺もAuthy使ってる

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 10:25:20.41

>>227
Aegis良さそうだ
情報ありがとう

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 12:22:11.94

私もAuthy

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 19:18:05.77

Authyとか情弱かよ

**名無しさん＠お腹いっぱい。** · 2023/02/05(日) 19:55:28.45

いるよねこういうやつ

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 07:13:00.25

煽るだけなら猿でもできるからねえ

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 09:03:26.42

猫なら許す

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 11:34:45.68

ほんとに情弱なんだな・・・

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 12:03:55.07

対案示さずにただダメだって言ってるのは野党みたいだよな（つまりサルでもできると同意）

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 12:20:46.89

情強さんは自らハードルを上げるスタイルか

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 19:36:26.54

情弱でも安心して使えると考えてみたらどうだろう
必死な煽りが拝めると思うのだが

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 20:31:13.05

横からだけどAuthyはやらかしてるので人に勧めるのはどうかと

https://www.twilio.com/ja/blog/august-2022-social-engineering-attack-jp
「現在までの調査で、悪意のある行為者は、93人の個人Authyユーザー(*2)のアカウントに不正にアクセスし、
そのAuthyアカウントにデバイスを追加登録したことが確認されています。」

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 20:53:09.91

パスワード管理ツールのアカウントに2要素認証を設定している人って、
2要素認証アプリのアカウント情報はどこに保存しているのですか？

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 21:17:45.41

脳内

**名無しさん＠お腹いっぱい。** · 2023/02/06(月) 23:00:40.40

やらかしてるのはAuthyじゃなくてtwilioだけどね

**名無しさん＠お腹いっぱい。** · 2023/02/07(火) 11:28:40.04

>>242
やっぱりそういう運用になるのか
パスワード管理アプリと2要素認証アプリと、2つのパスワードは覚えないといけないと

**名無しさん＠お腹いっぱい。** · 2023/02/07(火) 13:09:50.84

しかもSMS認証とかガガイのガイすぎるからな
鍵管理するために携帯電話番号と紐付けますとか頭おかしい

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 07:37:25.47

GoogleのCredential Managerはサードパーティ製パスワードマネージャーを根絶やしにするか？
いいえ。
サードパーティ製でも利用できるようになる。
Lastpassとかでも。

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 09:14:09.46

パスワードマネージャーの文句にある一つ覚えておくだけで充分と言われるマスターパスワードをどう保存したらいいのか

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 10:38:42.73

>>242

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 14:15:32.62

日本語の文章をベースにして自作して覚えればいい

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 14:29:48.92

1つめのパスワードマネージャーのマスターパスワードは2つめのパスワードマネージャーに保存すればいい
2つめのパスワードマネージャーのマスターパスワードはどうするかって？言わせんな恥ずかしい

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 17:50:18.83

覚えられるような範囲のフレーズやローマ字化は多少つついたところで辞書やAIの推測などに弱そうで不安

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 18:17:37.13

>>251
数字や記号をダジャレ風に混ぜ込んでいる

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 19:37:34.23

パスワードは漏れるモノと思って潔く多要素認証使った方が心配事は無くなるよ

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 20:24:56.72

keepassxcは指紋とキーファイル併用してキーファイルを定期的に変更するようにしてる

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 20:44:34.92

Lastpass民だったから漏れてしまった今、多要素すっ飛ばしてマスターパスだけで踏ん張ってるんだろうなと想像してしまう

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 20:58:55.75

RoboFormからKeePass系に移行しようと思ってるんだが
KeePass系でおすすめある？
どれがどんな特徴や機能があるのかよく分からん

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 21:26:37.66

XC一択

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 21:37:24.93

LastPassのマスターパスワードやられる前に全部リセットしておかなきゃ

**名無しさん＠お腹いっぱい。** · 2023/02/08(水) 22:39:34.77

KeePass系はWindowsならXC

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 02:52:08.53

LinuxでもKeepassXC使ってます。

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 09:20:15.32

>>257
>>259-260
ありがとうございます
XCの評判がいいみたいなので
試してみたいと思います

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 10:31:19.82

keepassの弱点はiOSだとアプリがあまり揃っていないところだなあ
OSSからも金を徴収してくるAppleが悪いのだけど

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 11:55:01.47

>>214
2.53.1で修正

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 12:51:37.65

>>257
Android版はどこなあるの？

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 15:58:05.60

DX確定

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 16:41:43.38

DX一択だろ

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 18:00:34.29

keepassを以前XCに変えてみようとしたら同期とトリガーが無くて断念した覚えがあるんだけどやっぱり無い?

**名無しさん＠お腹いっぱい。** · 2023/02/09(木) 23:05:07.33

どうでもいい

**名無しさん＠お腹いっぱい。** · 2023/02/10(金) 17:12:18.92

パスワードでテロ予告しておいて、流出させたハッカーを自動的にテロリスト枠に入れるという嫌がらせを考えたが、IDの所有者である俺もテロリストになるのか？

**名無しさん＠お腹いっぱい。** · 2023/02/11(土) 02:49:29.92

ちょっと何言ってるかわからない

**名無しさん＠お腹いっぱい。** · 2023/02/11(土) 03:39:52.15

(￣ー￣)ﾆﾔﾘ

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 00:05:40.21

AndroidだとDX推しだけど、Keepass2Androidとどっちがいいと思う？

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 01:30:42.07

有力どころがその2種しかないので試してみたほうが早い

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 01:56:41.93

DX使いにくかったからKeepass2Androidに帰ってきた

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 09:36:42.17

スマホのみで使うか、クラウド同期有データベース書き込み禁止ならDXがUI使いやすい印象
スマホで書き込みしてクラウド同期有はKeepass2Androidがトラブル少ない

164+1 ：名無しさん＠お腹いっぱい。 [↓] ：2022/07/02(土) 21:33:32.87 ID:APnewt0B0 [PC]
dropboxにkdbxファイル入れてAndroidのKeepassDXで開くとなんか古い内容のデータが出てきちゃうことあるんだけど、これ対処法ある？
KeepassDXのDBリストから一度消してもう一度kdbxファイルを指定して、とかやると治ることもあるんだけど
治らないときは一向に治らん
KeepassDX上ではちゃんと新しい更新日時が出てるんだけどなあ

167 ：名無しさん＠お腹いっぱい。 [↓] ：2022/07/03(日) 14:38:06.83 ID:pmpdiHqG0 [PC]
PCからスマホへ一方向で使ってるからKeepassDXは書き込み禁止で使うようにしてからは起きてないように思う
書き込める設定だとファイルが分かれたりトラブルが多かった記憶

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 13:32:43.79

質問くんだからそこまで考慮してないぞ
どっちがいいか背中押してほしいだけよ
だからKeepass2Android Offlineを勧める

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 22:30:07.46

DASHLANEで２ＦＡをオンにすると、Dashlane Authenticatorで出て来る６ケタ数字を入力すると「携帯電話の時刻ゾーンを確認してください」って出るんだけど、どうにかなりませんか？

**名無しさん＠お腹いっぱい。** · 2023/02/12(日) 22:43:46.76

答えてくれた人、ありがとうございます。
同期してるファイルにDXで書き込むとおかしくなるの、昔起きておま環だと思ってたから助かった。
今までKeepass2AndroidだったけどDXがチャレンジレスポンスに対応したっての見て、DXまた気になって聞いてみたんよ。
KP2Aの機能には満足だけど開発終了しても気づかなさそうなくらいアプデないのが怖い

**名無しさん＠お腹いっぱい。** · 2023/02/13(月) 03:25:54.04

>>277
恐らくTOTP認証しようとしてるんだけど携帯の時刻があってないとか正しい秘密鍵を使っていないんじゃないの

**名無しさん＠お腹いっぱい。** · 2023/02/13(月) 18:24:07.89

>>279
携帯とパソコンの時刻を手持ちのを電波時計に合わせると上手く機能するようになりました。(人''▽｀)ありがとう

ところで暗号理論に詳しい方、時間同期式の２ＦＡって当然ながらワンタイムパスワードと違って理論解読不可能ではないですよね？

**名無しさん＠お腹いっぱい。** · 2023/02/13(月) 20:43:49.05

他社サービスである限り、信頼できるパスワードマネージャーなんて本質的に存在し得ないんだと思う
とすると行き着く先は自作かね
やってる人はやってそうだな

**名無しさん＠お腹いっぱい。** · 2023/02/13(月) 21:07:45.52

>>280
時間同期式の2FAってTOTPのことだとするとこれもワンパスワードの一種だよ。
詳しくはTime-based One-time Passwordで検索してみてね。

>>281
他人の作った中身の分からないプログラムを使のが嫌ならKeepassXCみたいなオープンソースのパスワードマネージャーを使えばいいんじゃない?
ソースコードを読んで問題無いと思えば自分でコンパイルして使う。
自作するよりは楽でしょ。
以下のURLからKeepassXCとbitwardenのソースコードを読めるよ
https://github.com/keepassxreboot/keepassxc
https://github.com/bitwarden

**名無しさん＠お腹いっぱい。** · 2023/02/14(火) 00:49:38.35

>>282
ごめんなんとなくスレに立ち寄ったけどKeepass系知らんかった
このスレじゃ常識のようで、情弱すぎて恥ずかしいわ
ありがとうね

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 12:29:43.33

少し上の方の話だけどSMS認証ってよろしくないの？
2要素認証としてOTPアプリなんかで1つの端末で完結するのってどうなのと思って
昔からスマホとは別端末のSMS認証（ケータイ）にしてるんだけど意味無いんだろうか

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 12:42:11.97

2台とも手元にないといけないので意味ないことはないが、パスワードとスマホのロックで充分じゃないか
ナイナイ

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 13:43:04.91

SMS認証はせめて複数の番号に対応させてほしいわ

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 14:15:37.09

twitterで"2fa sms"で検索するとsms認証はダメみたいに言う人がちらほら見つかる。
さらに
"security key" gmail
(security keyの部分を""で囲むと関係ないツイートがでにくくなる)
で検索するとアカウントを乗っ取られたとgmailに訴えるツイートがたくさん見つかる。
その中に2FAを使っていたのに乗っ取られたという人がいるんだけど
それがどの種類の2FAを使っていたかまでは書いてない。
アカウントを乗っ取られたツイートの返信を見ると
インスタグラムのこのアカウントの人にお願いすれば取り返せるよっていうあやしいツイートがついている事が多い。

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 16:10:24.23

当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 16:42:02.47

どこもかしこもザルだらけだな

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 19:55:17.35

A security system is only as strong as its weakest link.
セキュリティシステムの強さは一番弱い部分の強さと同じ。

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 19:59:08.33

最近思うのはココで絵空事をグダグダ言うより
chat GPTに聞いた方が具体的な答えやヒントが得られるな

**名無しさん＠お腹いっぱい。** · 2023/02/15(水) 20:11:45.84

SMS認証は結構前に
SIMスワップ詐欺
https://eset-info.canon-its.jp/malware_info/special/detail/210209.html
ってのが有って
それで警戒する人が居るのではないかと

**名無しさん＠お腹いっぱい。** · 2023/02/17(金) 17:30:43.68

SMS認証にしろスマホのワンタイムアプリにしろスマホに依存すぎるのがどうも好きじゃない
SIMスワップもあるけどスマホに集中している以上スマホを亡くしたり、落としたり、故障したりしたら面倒なのと
理想はやっぱりネット銀行とかのスマホじゃないハードウェアトークンかな…
あとスマホだと機種変とかした時面倒になりそうだなってのがあるしスマホも定期的に買い替えるものだから
認証は別にしておきたいだけどな…

**名無しさん＠お腹いっぱい。** · 2023/02/17(金) 19:53:07.87

>>291
情報の根拠聞いてみると存在しないURLとか文章を出してくるから過信は禁物

**名無しさん＠お腹いっぱい。** · 2023/02/18(土) 14:19:07.14

キーボード押した指の温度でパスワードが分かるらしいね
温度見れる装置が必要だが

**名無しさん＠お腹いっぱい。** · 2023/02/18(土) 14:26:06.65

へーへー。テンキーの汚れ具合で推察するスパイ映画みたいやー

**名無しさん＠お腹いっぱい。** · 2023/02/18(土) 16:43:33.05

TwitterがTOTP認証必須になるから二段階認証アプリ界隈が盛り上がるな

>>10
Android: Aegis Authenticator
iOS: Raivo OTP
がベストか

**名無しさん＠お腹いっぱい。** · 2023/02/18(土) 17:45:50.42

ロボフォーム結構いいよね
使用頻度の高い順や最近使用した順から表示するサイト選択できたり
ログインボタンも自動で押してくれたり
1つのサイトにアカウント複数あっても選択肢で選べるようになってたり
1つのページに別用途のログイン欄が複数あっても入力欄横に表示されるアイコンで選択できたり

でもスマホと同期は有料になっちゃうみたいで残念
これら全てが無料で出来るのってないよね…

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 05:31:40.93

Twitter、SMSを有料化してアプリ認証が話題になってるけど
ざっと見た感じGoogleよりもMSの方を勧めてる人が多いな…
MSの方がいいのかな？

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 08:59:34.27

>>299
Googleはスマホ紛失故障時にリカバリ出来ないから使い勝手悪い
アプリ不具合で起動不可もあった
https://i.imgur.com/Y7vebYx.jpg

Microsoftはマイクロソフトアカウントでバックアップ可能だが
アカウントロックされる事がある
https://i.imgur.com/tGL2g97.jpg

セキュリティ重視なら>>297

スマホ紛失故障でも即使いたいならAuthyを複数端末に入れるのをすすめる

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 10:03:26.51

googleの認証アプリはサブ機にも入れておけばどちらからでも使えて使い勝手良いよ

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 10:51:20.49

認証アプリ｢Authy｣の安全性を危惧する声。何が問題なのか。
https://nomeu.net/8879/

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 12:20:55.60

2FAS
オープンソース、電話番号SMS不要、ios android PCブラウザ拡張対応
https://2fas.com/vs/authy/

Authyから乗り換え検討したけどスマホからPCにパスワード送信するだけのブラウザ拡張で
Authy継続使用

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 15:46:37.26

二要素認証向けのTOTPアプリは何を使っていますかという投票形式のアンケート。
https://twitter.com/hyuki/status/1621641613645844480

49.9% Google Authenticator
24.7% Microsoft Authenticator
15.6% Authy
9.8% そのほか
https://twitter.com/5chan_nel (5ch newer account)

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 16:25:13.34

サンプルが少なすぎるな…

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 17:29:06.19

>>303
これも良さそうやね

オープンソース
GoogleDrive自動バックアップ
インポート・エクスポート
次のトークンを早めに表示できる
アイコンカスタマイズ
Android, iOS, ブラウザ拡張機能

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 18:02:22.59

>>304
Chromeがスマホから浸透して行ってブラウザシェア1になったように
スマホを使っていればGoogleアカウントはほぼ必須だから
まあGoogleが一位になるよな
MicrosoftはPCのWindows、OSでほぼ独占だから2位…

結局、GoogleかMSの大手にするかマイナーな法にするか
どうするかな……

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 18:27:14.61

Authyから他に乗り換えようとしてAuthyアカウント消そうとしたけど消せなくて困ってる。
apple storeのレビュー確認したら数年前から消せないってレビューあってびっくり、どうすんだこれ。

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 18:45:57.39

スマホのSafariからだとSMS認証のステップから進まないのでデスクトップでやったら進んだんだけど
090じゃなくて最初の0はいらないのね、何回か失敗したらロックかかってしまった、解除は1週間後とかアホか

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 19:16:14.93

>>308
ご愁傷。
Authyは使うのに電話番号必須なので使う気にならない。
調べたらアカウント削除するのに一ヶ月かかるのね。

303にあった2FASなかなか良さげ。

**名無しさん＠お腹いっぱい。** · 2023/02/19(日) 19:53:01.19

>>308
こちらもauthyから乗り換え済みだが時間掛かるのか
とりあえず登録情報全部消しとけば安心では

**名無しさん＠お腹いっぱい。** · 2023/02/20(月) 08:08:10.59

authyから別のに乗り換えるとして、各サービス毎に2faの生成をやり直す必要があるよな?
それが結構手間だな

**名無しさん＠お腹いっぱい。** · 2023/02/20(月) 08:26:43.87

>>312
>>302の後半にAuthyPC版のエクスポート方法書いてる

**名無しさん＠お腹いっぱい。** · 2023/02/20(月) 08:33:31.15

>>313
スマン
ちゃんと読んでなかったわ
ありがとう

**名無しさん＠お腹いっぱい。** · 2023/02/20(月) 23:18:49.51

Authyから乗り換える理由が運営に不安があるってことなら
トークン再発行したほうが安心だ思うけど

**名無しさん＠お腹いっぱい。** · 2023/02/21(火) 09:45:41.99

TOTPの元ネタを取り出せる時点でアカンような気がするのは俺だけか

**名無しさん＠お腹いっぱい。** · 2023/02/21(火) 14:08:49.24

>>316
TOTPの秘密鍵をパスワードで暗号化するとセキュリティ的にいいと思うけど世の中の大多数の人はセキュリティに無関心でとにかく面倒なことはしたくないから
パスワード入力無しですぐTOTPを入力できるように平文で保存してあるのでは。

**名無しさん＠お腹いっぱい。** · 2023/02/22(水) 08:54:37.74

個人でセキリティを強くしすぎると
どうしても締め出されるじゃないかって方が気になってしょうがない…

**名無しさん＠お腹いっぱい。** · 2023/02/22(水) 10:16:41.27

2FASってgoogleドライブとしか同期できないけどgoogleの2FAに2FAS使ってもいいのか?

**名無しさん＠お腹いっぱい。** · 2023/02/22(水) 14:53:49.01

言われてみれば確かに

**名無しさん＠お腹いっぱい。** · 2023/02/22(水) 15:51:41.22

まあエクスポートしとけばええか!

**名無しさん＠お腹いっぱい。** · 2023/02/22(水) 22:11:33.92

替えの候補に挙がってるのスマホOSばっかりなんだがWindows対応のは無いの

**名無しさん＠お腹いっぱい。** · 2023/02/23(木) 02:18:39.98

>>322
KeepassXCはwindowsでも動くしTOTPにも対応している。
しかしkeepassXCでパスワードとTOTPの両方を管理したら2 factorsじゃなくて1 factorになる気がする。

**名無しさん＠お腹いっぱい。** · 2023/02/25(土) 10:31:18.46

PCでTOTPってめんどくさそう

**名無しさん＠お腹いっぱい。** · 2023/02/25(土) 14:20:26.53

二段階認証自体が面倒くさいことだからな…

**名無しさん＠お腹いっぱい。** · 2023/02/25(土) 15:29:45.32

keepassXCの場合はまずパスワードを入力してデータベースを開く。
目的のパスワードを選んでctrl+cを押してパスワードをコピーして目的の場所にペーストする。
その後にkeepassXCのウィンドウに戻ってctrl+tを押すとtotpの番号がコピーされるのでこれを目的の場所にペーストする。
Alt+tab,ctrl+c,ctrl+p,ctrl+tのショートカットキーを覚えればスマホより楽だと思うけど。

**名無しさん＠お腹いっぱい。** · 2023/02/25(土) 16:24:17.46

スマホはパスワードのところが指紋認証で済むし
アプリにも入力支援が効くからコピペする必要すらないしな