X

パスワード管理ツール Part14

レス数が1000を超えています。これ以上書き込みはできません。
2023/03/31(金) 16:27:09.50ID:sCZ3L50+0
クリップボード経由は危ないです。パスワード管理アプリからの入力が安全と言われてます
2023/03/31(金) 19:04:37.58ID:OR2HRHCf0
>>454
もしその中に本当のパスワードがあって誰かにtxtファイルを知られた場合は辞書攻撃で突破されると思います
2023/03/31(金) 19:41:15.56ID:C+ih1dOk0
ぷららが今日流出したんだけど、こういう時に何か変更した方がいいものってあるかな?IDとパス?メールは元からフィッシングしか来ない
458454
垢版 |
2023/03/31(金) 19:43:23.38ID:n+2lw/uT0
お返事ありがとうございます
実は最近Bitwarden使い始めてマスターパスワード覚えてないんでこの方法で保存してるんですよね…
2023/03/31(金) 22:30:52.03ID:xrRyL19g0
>>458
コピペした後に、文字列の前か後ろに数文字足したりするだけで漏洩や辞書にも耐えられるやろ
2023/03/31(金) 23:07:01.75ID:o3m1uAGp0
今までBitwarden(オンライン専用)とKeepass(オフライン用)と使い分けていましたけど、言われてみればと思ってSafeInCloudを入れてみました。
Bitwardenはクラウドのみだけどカードの情報とかも管理できるのに対してKeepassはローカルにもオンラインにも使える上にセキュリティ的にも上だと思われる(キーファイルが設定できたりという意味で)がカードの情報とかは扱えないという認識でした。
SafeInCloudはオンラインもローカルのバックアップができる上にカードの情報とかも扱えると言う意味では価値があるのかな?と思いました。
但しBitwardenやKeepassは無料ですけどSafeInCloudは1750円を払える事に価値を見いだせるかという点では、一考する部分でもあります。
2023/03/31(金) 23:39:08.16ID:sCZ3L50+0
よく分からんが俺はkeepassでメモ欄にカード情報載せて使ってる
他のアプリのカード情報機能がどんなのか知らんけどカード情報なんて滅多に入力しないしコピペするのはカード番号だけならええやろ精神
2023/03/31(金) 23:46:32.61ID:o3m1uAGp0
書き忘れましたがAndroid 13での話です。
それと今試しにSafeInCloudをほんの一部使ってみましたがWebView系とGekko系のブラウザでは使えたえいんあんをいどう!っーっっl
2023/04/01(土) 01:21:56.86ID:3syDaKmX0
カードってクレカのこと?
keepassは新規項目の入力テンプレにクレカあるし
カード番号、月/年、CVVにPINまで入力欄あって登録できるけどそういうことじゃなくて?
2023/04/01(土) 06:13:00.49ID:E2XgLOzf0
確認しました。テンプレートの追加で確かにカードの入力ができますね。失礼しました。
2023/04/01(土) 13:50:22.18ID:ebQKx79V0
テンプレートってなんやって思ったけどAndroidとオリジナルkeepassにある機能なのね
XCにはないようだ
2023/04/01(土) 14:56:11.76ID:pb+laigh0
テンプレートはテンプレートでしかないので
XCにもコピーできるぞ
2023/04/02(日) 03:36:28.14ID:YW7cgx4K0
新規エントリーでは使えない
github見ると開発中っぽいが
468名無しさん@お腹いっぱい。
垢版 |
2023/04/02(日) 17:45:57.73ID:fYVSV4qC0
4月から会社のパスワードが文字種類4種類20文字以上、1ヶ月ごとに変更
とても覚えられないから
マクロマウスを使うことにした
469名無しさん@お腹いっぱい。
垢版 |
2023/04/02(日) 18:25:18.97ID:PoaurqjI0
18桁のややこしいやつの後ろに年月(2304とか)付けとけ、とりあえずしのげる
2023/04/02(日) 18:27:58.63ID:HREBbBVy0
ていうかパスワードの頻繁な更新はセキュリティ的に良くないってデータが有ったような
ソース漁って説明しといたら?
2023/04/02(日) 18:33:06.09ID:SZ4USDf60
>>468
作り話と思うけどトレンドに則した話にした方が良いと思うよ
2023/04/02(日) 18:38:48.53ID:mHbnkn3f0
極端な例になるが、ダイヤル錠を見ると000~100まで片っ端から試す愉快犯が居たとする。
あなたはランダム生成アプリで毎月番号を変えていた、928、386、707…今月も変えよう、086。
すると000~100の愉快犯に開錠されてしまいましたとさ。
2023/04/02(日) 19:32:52.45ID:5vEAQpFx0
なんのための管理ツールなの?
474名無しさん@お腹いっぱい。
垢版 |
2023/04/03(月) 07:57:00.73ID:g0YW+j160
>>472
極端な例にすらなってない

ダイヤル錠を見ると900~999まで片っ端から試す愉快犯が居たとする。
あなたは番号を928に固定していた。
すると900~999の愉快犯に開錠されてしまいましたとさ。

これと同じ
2023/04/03(月) 20:00:38.81ID:a2BpKnxs0
しょうもない議論はある程度のところで引き上げるのがこのスレの良いところ
476名無しさん@お腹いっぱい。
垢版 |
2023/04/03(月) 20:16:33.40ID:gJ0Va9BP0
>>468
殺したいやつの名前と殺し方で簡単に20文字超える
2023/04/04(火) 10:58:53.89ID:AvvK/RTRO
>>476
実行に移しノートにその記録を残せれば「逆引き的デスノート」の完成だなww
478名無しさん@お腹いっぱい。
垢版 |
2023/04/04(火) 16:35:56.82ID:V3BYaOpW0
パスワードを複数の手段を組み合わせて作ればよいのだと思う
(1)先頭xx文字は固定(頭で記憶、あるいは、自動入力させる)
(2)サイトごとに違う2文字
(3)定期変更に備えてシーケンス番号
(4)パスワードメモ帳に(2)(3)をメモしておく
2023/04/04(火) 23:09:38.17ID:VfFWC38V0
>>478
keepassxcお勧めおっさんだけど、何故パスワード管理ツールを使わずにそんな面倒なことするの?
パスワード管理ツールならサイトごとに完全に異なるパスワードをランダムに生成できるし、毎月パスワードを変更しろといわれたら毎月新しいパスワードを生成して保存しとくだけだよ。
マスターパスワードは誰かにパスワードを入力しているところを見られたとかマルウェアがインストールされているpcでパスワードを入力してしまったとかでなければ特に変更する必要はないし。
操作が難しいそうだからパスワード管理ツールを使いたくないの?
2023/04/05(水) 00:38:06.06ID:kIY315940
>468からの話なら会社のPCだしアプリ入れられないんじゃない?

あとパスワードも会社側で毎月変わる文字列を用意して押し付けられてる状況ぽいような
もし社員が自分で生成できるものでないなら>476,478のアドバイスも無意味っぽいけど
2023/04/05(水) 01:37:08.65ID:yUWWLySh0
作り話だろw
もしそんなルールになったら社員から非難囂々だわ
2023/04/05(水) 07:56:14.36ID:CvYdm4w70
bitlockerでOS起動前に要求されるからコピペできず手入力させられるわ
2023/04/06(木) 19:11:31.66ID:5eVcMOGq0
KeePassXCよりKeePass本家の方が多機能でプラグインも使えて開発も活発で良くない?
XCの長所を教えて下さい
484483
垢版 |
2023/04/06(木) 21:40:57.20ID:5eVcMOGq0
自決しました
2023/04/06(木) 22:09:16.52ID:jB6TrBx00
成仏しろよ
2023/04/06(木) 22:13:34.32ID:YSggEiPh0
介錯仕る
2023/04/07(金) 00:09:45.49ID:un7deiXb0
>>486
5chに居ると「介錯つかまつる」じゃなく「介錯しる」と読んでしまいそうw
2023/04/07(金) 00:12:12.37ID:A0TEKnHN0
うるせぇエビフライぶつけんぞ
2023/04/07(金) 00:25:39.76ID:9nwioj3YO
話は聞かせてもらった!


次のバイトテロのネタは、エビフライを粗末に扱うやつで来る!!
2023/04/07(金) 00:27:26.33ID:1Xuqrr9F0
俺を介護しろ
2023/04/07(金) 09:10:53.40ID:17Atqd4X0
うるせえ!エビフライ食うぞ!
2023/04/07(金) 13:11:34.14ID:1yFXn6aa0
自決して
493名無しさん@お腹いっぱい。
垢版 |
2023/04/07(金) 14:41:15.60ID:WoQAiVPn0
IDとパスワードでアメリカへのテロ予告をしておけば漏れたときにFBIが捜査してくれるライフハックあるよね
2023/04/07(金) 19:07:14.73ID:c51ji7KW0
KeePassDX便利だからWindowsでも使いたいんだけどKeePassって指紋センサー対応してないのね
2023/04/07(金) 19:35:00.39ID:7RTXo7p20
 >>494
KeePassXCなら指紋認証できますよ
2023/04/07(金) 19:40:29.26ID:c51ji7KW0
>>495
ありがとう調べてた
C++だから別途ランタイム不要なのもいいね
オフライン管理派だからXC使ってみる
2023/04/08(土) 10:10:09.92ID:1hd+rZA60
XCはプラグイン非対応だけど必要最低限のことはできるから楽でいいわ
プラグイン由来の脆弱性とかも気にする必要ないし
2023/04/10(月) 14:12:41.57ID:VK73ll7j0
1passwordのPC版Chromeでの挙動についてなんだけど、
ログイン画面が出てきたときにログインIDとパスワードのところが空白になってる
(→その入力部分にある1passwordの鍵マークを押してパスワードを挿入する)のはデフォルトですか?

これまでトレンドマイクロのを使ってたんだけど、トレンドマイクロのは画面を開いたらすでに自動でIDとパスワードが挿入されてたので、その点が気になりました
2023/04/12(水) 14:56:19.52ID:zTFf1qJf0
PassGANとか出てきたな
500名無しさん@お腹いっぱい。
垢版 |
2023/04/12(水) 15:25:54.30ID:BEWamKFH0
>>498
1Passwordのスレ Part14
https://egg.5ch.net/test/read.cgi/mac/1648193351/
2023/04/12(水) 16:10:43.13ID:btJ6veEf0
大多数の人は頭の中で考えた誰にも予測出来なさそうだけど覚えやすいパスワードを使っている。
なのでそれらのパスワードにはなんらかの規則だったり偏りができる。
(特定の単語が使われやすいとか、日付に関係した数字が使われやすいとか)
そういう規則か偏りをAIに学習させると効率良く大量に人間の頭の中で生み出されやすいパスワードを生成できる。
ということであってるかな?
パスワードマネージャーでランダムに生成したパスワードだったらパスワード生成方法に問題がなければAIで学習して短時間で特定することは不可能だろう。
2023/04/12(水) 16:58:49.70ID:nyotYIgq0
各種パスワードマネージャーのランダム生成の癖を学習くらいやってきそう
2023/04/12(水) 19:06:47.00ID:u5Vy25ao0
AIによる解読の記事あったな
メールアドレスの使いまわしは大多数がしていることだと思うから
他で流出したアドレスとパスでその人の癖が予測される
特徴のあるワードや奇偶数何桁・使用する記号の頻度やら
2023/04/12(水) 19:24:55.87ID:YkAsnvEe0
いまだにパスワードだけで管理しようって話題なのが痛々しいな
2023/04/12(水) 20:36:55.20ID:mIpduCbz0
そうだよな、みんな脳みそにチップ植え込むべきだよな
2023/04/12(水) 20:59:11.00ID:u5Vy25ao0
現実はあらゆるサービスでIDとパス必要とされるんだから仕方がないしこれが続くだろう
2023/04/12(水) 21:11:45.87ID:pL5i5Ml70
パスキーじゃなくても、これにしろとランダムなパスワード勝手に作ってどこかにメモさせるほうがマシじゃないか?
2023/04/12(水) 21:59:05.07ID:pRh95iXR0
>>506
多要素認証の導入が当たり前になってるのに何言ってんだ?
2023/04/12(水) 22:23:36.43ID:44zbuAkb0
でもサイト側が多要素認証に対応してないとこもまだ多いんだよな…
2023/04/12(水) 22:36:56.62ID:btJ6veEf0
>>507
バックアップコードを表示してログインできなくなったら使ってねっていうサイトはあるけどね。

海外のメジャーなサイトはwebauthnとかtotpに対応してるけど日本のサイトはidとパスワードだけなのがまだ多い。
JRのサイトが最近ログインするときにメールで数字を送るようになったけど、
totp使うことはできないっぽいし。
2023/04/12(水) 22:38:36.53ID:u5Vy25ao0
まぁ現実見ろってことだな
2023/04/12(水) 23:11:49.16ID:5yZbmHD50
この流れで誰かパスワード「だけ」で管理しようとしてたか?
513名無しさん@お腹いっぱい。
垢版 |
2023/04/14(金) 03:22:42.19ID:EQtAOCRg0
>>509
楽天市場は今もノーガード戦法だよなあ。
2023/04/14(金) 07:05:26.72ID:jqrTZYp60
パスワード管理ツールの話だし
サイト側に設定するパスワードをどうするかなんか他所でやれよ
道具を活用出来て無さそうなニオイがプンプンするわ
2023/04/14(金) 15:11:14.30ID:7QLlwygd0
大半のパスワードを1分以内にクラッキングできるAI「PassGAN」が登場- GIGAZINE
https://gigazine.net/news/20230412-ai-can-crack-in-1-minuites/

18文字は実質ツール推奨だよな
2023/04/14(金) 15:35:50.51ID:cpAftlvh0
>>515
この表を見る限り1分以内にクラッキングできる"大半のパスワード"を使う人はこのスレにいないでしょうね
https://i.gzn.jp/img/2023/04/12/ai-can-crack-in-1-minuites/04.png
2023/04/14(金) 19:23:49.13ID:N4n5kyUw0
未だに英数で10桁までのサイトも結構あるんだよね。大文字加えるぐらいしかできない。
518名無しさん@お腹いっぱい。
垢版 |
2023/04/14(金) 19:40:43.24ID:xGLq3ecF0
>>517
ジャップのサイトって、英数10桁までだったりとか、
使えない記号を勝手に決めたりとかで、
パスワードを自動生成で入力するだけなのに一苦労。
一番腹が立つのは手打ちさせるサイト。頭おかしい。

普通に記号付きのパスワードと二要素アプリに
すればいいのに。
2023/04/14(金) 22:31:24.37ID:r0zKRLnH0
ゆうちょの3つに別れた口座番号の入力欄もひどい
2023/04/15(土) 00:05:58.20ID:NtwsTi2R0
桁数制限が書いてあるだけマシだぞ
制限あるのに何桁までなのか書いてないサイトとか過去にあったからな
Amazonっていうんだけど
2023/04/15(土) 01:23:45.40ID:kIhpSX+G0
パスフレーズはAIにかかれば無力になるだろうね
2023/04/15(土) 12:41:40.36ID:YayVR5fy0
ならないでしょ
辞書攻撃と何が違うって話
2023/04/15(土) 13:11:01.72ID:tMas8GMj0
数ヶ月ごとにパスワード変えろってメールしてくるのもうざい
2023/04/15(土) 15:49:22.67ID:A/tzEnL5O
なら
番号順並びの4ケタ8ケタある時は末尾を1個ずら(戻)す、とか

〇 1234 → 12(4→)3

〇 12345678 → 123456(8→)7

他はアルファベッド込みでないとスパム対策で弾かれる、とかなら

〇 11I7(Iが入ってる)一見すると縦の棒線にしか見えない、とか

〇 999888SE(クククハハハ・効果音)

なんかを、今適当に思い付いた
2023/04/15(土) 17:30:01.29ID:mzj5J/4P0
下四桁をyymmにするとか。2304
2023/04/16(日) 03:12:49.39ID:EebBXTVm0
KeePassXC Audit Report - KeePassXC
https://keepassxc.org/blog/2023-04-15-audit-report/
2023/04/17(月) 12:55:31.39ID:A7oHfjCB0
>>518
これ
コピペできないのうざすぎ
コピペして忘れたとかいうアホが多いのかな
2023/04/17(月) 13:00:35.99ID:pxnUmTbY0
同じ数字でも40億桁まで入力できれば32bit程度の強度になるんじゃね
2023/04/17(月) 13:56:59.73ID:Cs/zk96o0
入力バッファどのくらい食うのソレw
2023/04/17(月) 17:30:33.04ID:UCQagMFB0
>>528
パスワードが違います!
最初からやり直してください!
2023/04/17(月) 17:55:07.09ID:DqZoq04P0
>>520
登録時は平気なのに、再ログインしようとすると実は桁数制限オーバーだか何かでパスワードが通らないサイトもある
パスワードマネージャーを使ってるから、入力ミスではないはずなのに
2023/04/17(月) 18:44:02.22ID:7O0V1wDa0
パスワードとはちょっと違うが、佐川急便の1年経ったらアカウント消去はパニクったな
533名無しさん@お腹いっぱい。
垢版 |
2023/04/17(月) 19:20:57.32ID:iKBAw7610
パスワードを頭で覚えようとする勢、何なの?
おまえらがあちこちで使い回しするから、
悪用が止まらないんだよ。

ブラウザやアプリに覚えさせる方が安全だ
と気付け。どのみち二要素認証するんだから。
2023/04/17(月) 21:32:26.38ID:BeTwuo1x0
結局lastpassのように漏洩したら最後の砦がマスターパスワードだけになるからな
記憶に残せないならどこかに記してそれを管理しなきゃならなくなる
535名無しさん@お腹いっぱい。
垢版 |
2023/04/18(火) 11:11:46.92ID:NqQwwpv+0
>>516
やはり日本語ローマ字読みは防御力高いな
2023/04/18(火) 11:28:48.74ID:PrmjX6qu0
アラビア語が最強
2023/04/18(火) 12:27:29.69ID:796NcrK80
自分でも判んなくなるなら正解を知ってる奴はこの世に居なくなるな、確かに最強だわw
2023/04/19(水) 09:32:44.70ID:R++Y6yjr0
俺は日本語と英語を韓国語発音で、さらに短縮してローマ字にしてる
2023/04/19(水) 13:27:15.67ID:Gpcq3k790
>>538
無意味な文字列でも桁数少ないのは
2023/04/19(水) 18:24:09.43ID:LjptaeEK0
「ボクの考えたぱすわーどじぇねれいたぇ」は時間の無駄
破られないパスワードなど無いと思って運用した方が楽だわな
2023/04/19(水) 18:42:20.57ID:ZLEGu1jn0
銀行が4桁の暗証番号ですむのはカードという鍵が必要だからだしね
2023/04/19(水) 19:16:20.02ID:MhVWbdeG0
キーファイル活用してるわ
マスターパスワードあれこれ考えるよりキーファイルを定期的に変更するほうがずっと楽
2023/04/19(水) 19:44:53.02ID:3VSqPRwF0
そいやFIDOなハードキー使ってる人いる? 使用感はどんな感じ?
2023/04/19(水) 22:26:40.37ID:He4W4u2q0
keepassxcで20文字のパスワードを生成してmy softbankのパスワードを変更。
その後にそのパスワードを使ってログインするとログインできない。
パスワードの後ろ4文字を削除して16文字のパスワードにするとログイン成功。
なんでパスワードを設定するときに16文字までのパスワードしか受け付けませんってエラーをだせないの?
2023/04/19(水) 22:51:12.03ID:tPz7Y3sA0
逆に良く通ってるのが16文字目までって把握できたな
2023/04/19(水) 23:07:10.22ID:2LO/uT750
>>544
ソフトバンク大丈夫かよそれ
2023/04/19(水) 23:29:16.93ID:He4W4u2q0
>>545
パスワードの最初の十数文字しか使われないことがあるとこのスレかどこかで見たことあるのと
パスワード変更前は16文字だったので後ろの文字を削りながらパスワードを試したところ
16文字まで減ったところでログインできた。
2023/04/20(木) 00:01:48.88ID:mxbAaece0
>>541
入力する人も録画してるし
数回失敗したらカードも回収しちゃうしね
2023/04/20(木) 00:21:30.74ID:N/zCxN+z0
スマホの指紋認証より4桁のPINの方が安全ってのが解せぬ
PINは端末固有番号と紐付けされてるからって理屈なんでしょ?
いや、端末ごと盗まれたとしたら4桁のPINより指紋の方が強固だと思うんだけど違うのかな?
2023/04/20(木) 00:40:34.54ID:EbnAS0yF0
どこから「スマホの指紋認証より4桁のPINの方が安全」って話が出たのか解せぬけど
PINは間違ってる番号は100%ブロックできるけど
生体認証は本人以外を100%はブロックできないって特徴はあるな

ttps://source.android.com/docs/security/biometric/measure?hl=ja
2023/04/20(木) 01:19:26.12ID:ByHiXbML0
>>547
お疲れ

回数制限有ったらと思うとゾッとするお話だね
ユーザーサポートに話だけでも投げといた方が親切かも
いやまあそんなサービスに優しくしてやる筋合いないかも知れんが
552名無しさん@お腹いっぱい。
垢版 |
2023/04/21(金) 15:26:57.78ID:mMdI+ozj0
暗号メールサービスのProtonがエンドツーエンド暗号化されたパスワードマネージャー「Proton Pass」を発表 - GIGAZINE
https://gigazine.net/news/20230421-proton-e2e-encrypted-password-manager-pass/
Protonは「悪意を持った攻撃者がハッキングなどによりパスワードを窃取した場合、基本的にすべてのProtonサービスの高度な暗号化をバイパスできてしまいます。そもそも、パスワードを適切に保護するには暗号化とセキュリティに関する高レベルの能力が必要になります。しかし、それを持ち合わせている組織はほとんどありません。我々はパスワードマネージャーの大規模な侵害によってもたらされるリスクについて常に心配してきましたが、残念なことに、最近のLastPassのハッキングにより危惧は現実のものとなっています」と語り、独自のパスワードマネージャーを立ち上げることに決めた理由を説明しています。
2023/04/22(土) 02:30:47.70ID:wxdg/Eph0
>>552
無料で制限なしで使えるならBitwardenのいい対抗になりそうだけど
セーフティーアドレス的な機能も加えるのかな?
基本機能(パスマネ機能)は無料でセーフティーアドレスは有料オプションとかなら自分的にはアリだな
2023/04/25(火) 09:10:20.80ID:Nuw/nbdb0
Google Authenticator now supports Google Account synchronization
https://security.googleblog.com/2023/04/google-authenticator-now-supports.html
2023/04/25(火) 10:11:52.48ID:AvWOI1450
>>554
gj
2023/04/25(火) 11:26:38.18ID:4peY2/8X0
Googleがアカウントと紐付け可能になったとITmediaの記事出てきたわ。
Googleアカウント突破されたらアウトでリスクじゃね?マスターパスワードあれば紐づけいらんと思うがどうなんだ。
紙に書いたセキュリティカードと暗号化したマスターパスワードを別々の場所に置いとけばかなり防御力高いと思うけど。
2023/04/25(火) 11:29:06.99ID:E3sXrtGU0
>>554
やった!
2023/04/25(火) 12:20:18.61ID:9D+D3nWP0
Googleのアカウントに関連づけたら、Google自体の2段階認証のコードを取り出せなくならないのか?
2023/04/25(火) 13:08:20.64ID:XYH1Zgfk0
アカウント無しでも使えるね
てか肛門みたいなマークになってしまった
2023/04/25(火) 13:14:04.26ID:5omPAPoo0
>>558
スマホ紛失するとGoogleの2段階認証のコードは取り出せなくなるから
バックアップコード保存か、2段階認証はSMSにする
2023/04/25(火) 13:25:40.93ID:2yrWDBIK0
>>560
そのへんの知識のないやつがデッドロック状態になって、クレーム連発しそう。
SMS認証とかより安全だから認証アプリを使ってるのに、本末転倒な使い方になるな。
2023/04/25(火) 21:04:49.55ID:NGg4Odqi0
twitterでyoutube gmail hacked等のキーワードで検索するとアカウントを悪い人に取られたっていうツイートがたくさんでてくる。
hacker newsでスマホが壊れた等の理由でgoogleにログイン出来なくなったていう記事を以前見たことがある。
googleアカウントをずっと使い続けることができる前提でサービスを使うのはまずいと思う。
2023/04/25(火) 21:43:18.52ID:Q4lYLCp60
3台の端末にGoogle Authenticatorを入れて自分で冗長化させてる。
アカウントに関連づけずに使えるからこそよいのに。
2023/04/25(火) 22:27:36.59ID:rZZ3yfXN0
>>562
んーそれは極論じゃないかなぁ。あるいは俺が楽観的すぎるのかな?
2023/04/25(火) 22:29:13.03ID:AvWOI1450
>>563
Googleアカウント紐づけなしで使えるってば。
2023/04/26(水) 00:03:48.63ID:qUYhYI4G0
同期しない使い方もできるから安心しろ
2023/04/27(木) 13:45:41.91ID:OPgtENS60
Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明
https://gigazine.net/news/20230427-google-authenticator-isnt-e2e-encrypted/
568名無しさん@お腹いっぱい。
垢版 |
2023/04/27(木) 15:34:52.83ID:DV+OkHR+0
>>567
何を使うのが正解なんだか
MSで良いのかな
2023/04/27(木) 16:17:11.26ID:b7Nmvc8O0
暗号化されてないと言ってもな
スマホからGoogleのサーバーまでの通信は暗号化されてるわけで
Googleのセキュリティが信頼できないというならクラウド同期なんて最初から使うべきではないよ
2023/04/27(木) 16:26:50.16ID:H6sk8yqY0
>>567

>2要素認証のQRコードには、ワンタイムパスワード生成用の鍵やシードが含まれていて、もしこの鍵やシードを誰かが入手した場合、同じワンタイムパスワードを生成して2要素認証を突破することができてしまいます。

鍵やシードとやらを第三者が入手できるとしたら具体的にどんなケースなんでしょうか?
2023/04/27(木) 16:41:59.68ID:MSrU+/4u0
具体的には
ネットやゲームばかりしているニートに腹を立てた親や兄弟による犯行
2023/04/27(木) 20:16:25.90ID:EIjxpLKe0
つまりアカウント紐づけは使うな。今まで通り使えで解決と理解した。いらん機能
2023/04/27(木) 20:46:34.37ID:vOX0ejWg0
アカウント紐付けでTwitter使ってた人達悲惨なことになってるもんな
2023/04/27(木) 21:34:42.78ID:1wqnV/oz0
>>570
例えば2fasのエクスポートしたjsonにはそれがあるよ
まあ言いたいのはgoogle社員とか警察やハッキングで入手されてしまうってことだね
2023/04/27(木) 22:26:47.76ID:hFNs6vhw0
totpシードよりアカウント乗っ取りしやすいメールをGoogleに任せている人がほとんどじゃないの。気にするほどではないな。
2023/04/27(木) 23:33:03.37ID:gj04ZrV30
chromeのパスワードマネージャーを使ってる人が大量にいるからな
577名無しさん@お腹いっぱい。
垢版 |
2023/04/27(木) 23:55:53.96ID:fKDF3Cpe0
>>569
クリティカルな上方扱う場合は中間者攻撃対策もしとけって話だろ
多重対策は必須
2023/04/28(金) 02:16:36.34ID:20CvPT0e0
やっぱり物理トークンとか物理セキリティキーが一番いいのかね
2023/04/28(金) 06:10:34.35ID:i2YYzryj0
>>578
興味あるけど専用スレってないんかな
2023/04/28(金) 07:59:53.19ID:eOc1e8Y80
なんで、Google自体の2要素認証をSMS認証に下げてまで、
認証アプリをアカウントに紐づけたい奴が多いんだ?
2023/04/28(金) 08:29:38.71ID:5da8p8dW0
SMS認証って少し前に無断乗っ取りのニュース無かったっけ?
どこにリスク感じるかはひとによるって事じゃないかな
アカウント紐付けはリスクもあるけど利便性は高いしね
スマホ毎年変える人とかもいるし
たいした手間では無いけど認証アプリの移行だけ流れ違うから手順的に纏めたいって人もいるでしょ
2023/04/28(金) 09:23:57.34ID:2VkxDf2R0
TwitterだっけSMS認証を廃止したのは
2023/04/28(金) 09:29:44.67ID:wPsAGN6W0
廃止じゃなくて有料化
2023/04/28(金) 09:34:29.59ID:2VkxDf2R0
ああ思い出した
業者がSMS通信費をBOTアカウントを使って稼いでいてイーロンがぶちぎれたやつか
2023/04/28(金) 19:22:46.90ID:58Fs7ESb0
無料は怖くて使わない。
2023/04/28(金) 23:05:53.63ID:O0PZyzMj0
多くの人にとってセキュリティより利便性のほうが重要だから
587名無しさん@お腹いっぱい。
垢版 |
2023/05/02(火) 17:41:07.27ID:9ltSv5GJ0
chromeの拡張機能に入れた1passwordってパスワードも2FAも設定できないんですか?
588名無しさん@お腹いっぱい。
垢版 |
2023/05/04(木) 01:20:34.03ID:BdwJKhUO0
あ、パスワードはかかる
信頼されたデバイスやブラウザー拡張機能からログインするときは2FAにできないんですか?
2023/05/05(金) 12:39:01.07ID:WTPqVZpa0
Keeを使ってて、openrecのサイトで自動入力させたいけどURLが判らない
どうやったら調べられる?
そもそもポップアップは対応できない?
2023/05/05(金) 15:15:11.71ID:STknNMug0
firefox使え
2023/05/05(金) 22:16:30.47ID:+1IWOAf40
結局Authyとビットワーデンが最強だよ。確実に完璧への階段を上っている
2023/05/05(金) 22:34:52.82ID:27KJnuJW0
Authyとビットワーデンはあのやりすぎセキュリティさんのオススメですからね
2023/05/06(土) 05:46:55.82ID:XRiCODGQ0
嫌な性格してるね
2023/05/06(土) 10:51:19.79ID:JG/G2XVs0
まぁ身の丈に合ったセキュリティサービスと運用をしてれば問題無いんだけどね
ココの人は身の丈に合ってないのが殆どだろ
2023/05/06(土) 10:57:27.86ID:E4JOH7Px0
物理セキュリティキーを扱ったスレってどこかにあるかな。
2023/05/06(土) 13:01:03.54ID:0K/9vQ9O0
物理セキュリティキーってなんですか?
2023/05/06(土) 13:40:11.82ID:E4JOH7Px0
こういうやつー
https://k-tai.watch.impress.co.jp/docs/column/todays_goods/1158600.html
2023/05/06(土) 13:56:47.96ID:0K/9vQ9O0
こんなのあるんだ
盗難と紛失が怖いから自分は絶対使わないだろうな
2023/05/06(土) 16:28:40.09ID:JG/G2XVs0
盗難紛失があったら無効にすれば済む話だろ
ホンマヤバいな
2023/05/06(土) 18:37:18.42ID:ct+u8QFE0
セキュリティキーなしでログインできて無効化できたら意味ないやん
2023/05/06(土) 19:02:34.91ID:E4JOH7Px0
Apple IDはマジで詰むらしいね。その備えなのか作成時には物理セキュリティキーが2つ要求される
2023/05/06(土) 19:40:52.27ID:lRHKYN4/0
他は知らんけど、yubicoはもしもに備えてスペアキーの用意を推奨してるね
2023/05/08(月) 12:58:46.12ID:rls0rDET0
キーファイルの入ったUSBメモリでいいんじゃないの
2023/05/08(月) 19:38:31.48ID:StXYV1cc0
>>603
何事も身の丈にあった(仕組みが知解できる範囲で)管理をするのが最適だ
2023/05/08(月) 20:10:32.54ID:mtX2Fo730
いつ落とすか判らないスマホと同列で考えちゃうんだよな
2023/05/10(水) 14:25:03.05ID:6eI9F4W+0
スマホは常に持ち歩くし紛失リスクとか機種変での移行失敗リスクとか考えると
物理のセキリティーキーの方がいいかもな
ただ少し値段が高いのとパスキーにしろ二段階認証にしろスマホ前提でスマホ認証がメジャーだから
いつまでサポートされるのかってのもあるのと
物理のセキリティキーはスマホでログインする時が面倒かなってもあるな…
2023/05/10(水) 17:50:42.73ID:8kCjBnNl0
スマホのほうが紛失リスク低いと思うんだが
落としても場所わかるし
2023/05/10(水) 18:18:15.59ID:FSNxvOdw0
パソコンはそもそも落とさない
2023/05/10(水) 18:18:22.89ID:5CWpJbUK0
引きこもり最強
2023/05/11(木) 19:19:33.81ID:7CXrAD2K0
デスクトップパソコンは家の外に落とさないだろ
2023/05/12(金) 00:20:35.96ID:hheD/o6o0
ノートPCなら外で紛失する奴いるじゃん
2023/05/12(金) 01:04:57.94ID:jfbzC+hq0
その糞PCを窓から投げ捨てろ
この言葉でよくPCが落ちてるよ
2023/05/12(金) 09:32:09.94ID:3oap0kay0
物理キーをチェーンでつないで末端を体に埋め込めばよし
2023/05/12(金) 20:08:42.33ID:fFUfLS2C0
てかNFCかなんかにして手に埋め込んだチップ使わせて欲しいよね
2023/05/12(金) 20:16:59.19ID:i+oWZAfV0
そうしたらWhat you areとWhat you areになるわけで多要素の意味なくなるだろ
2023/05/13(土) 10:14:35.00ID:CsQ0lpcs0
虹彩認証はよ
2023/05/13(土) 10:50:46.47ID:X/bE/1jQ0
目を怪我して詰む
2023/05/13(土) 11:07:31.67ID:M/MOPN/60
おまえはいつもそうだ
指紋認証で五指を切り落とされたり顔認証で首を切り落とされた後を考えるのは心配性が過ぎる
2023/05/13(土) 11:31:48.91ID:1C8TmglX0
言えてる。何でもいいからいちゃもんつけたいだけのやつっているよなぁ。あまねく可能性を満たす必要なんてないのにね
2023/05/13(土) 11:42:22.84ID:X/bE/1jQ0
虹彩でしか認証できなくて、それに全てを託すのはリスクがありすぎる
だから別の手段も用意しておく
で、そっちのセキュリティが低いと全体のセキュリティも低くなる

結局、虹彩は攻撃の困難さではなく手軽さで採用されているに過ぎない
2023/05/13(土) 11:48:01.36ID:wHf2tlOx0
「結局」の前後で意味が繋がらないのですが。
2023/05/13(土) 11:52:33.18ID:LjN9/G7J0
最終的には日本だとマイナンバーカードのID認証になりそうw
2023/05/13(土) 11:53:01.26ID:+f66KK+50
ICか
2023/05/13(土) 12:10:38.85ID:X/bE/1jQ0
家の鍵は落としてもどのドアが開くのか判らないので困るだけだけど、
マイナンバーカードは個人情報が全部書いてある
2023/05/13(土) 12:11:23.24ID:WLziggha0
>>620
他人がいるところでPIN打つ機会を減らせるのでセキュリティはUP
2023/05/13(土) 12:16:31.33ID:WLziggha0
>>624
考えがおかしいなあ
鍵は知ってる人が拾う可能性があるし状況によっては家の前で落とす

マイナンバーカードの数字は職場にも提出するような大した秘密ではない情報
本当の秘密の情報は暗証番号を入れないと呼び出せない
しかも数回失敗するとロックされてしまう
マイナンバーカード使ったことないのかな?
2023/05/13(土) 12:35:51.89ID:fuvK02nR0
>>624
俺のマイナンバーカード見ても父親が誰とかわからないけどどの辺が全部?
2023/05/13(土) 15:13:04.52ID:I/Fb9lvk0
>>620
結局別の手段も考慮するなら
>>617
これの詰むって話は言い掛かりって事だね
2023/05/13(土) 15:25:25.69ID:bcCxcyNr0
>>628
たしかにロジックがおかしいな
結局、マイナンバーカードも虹彩も逆張りしてるだけか
2023/05/13(土) 15:59:38.64ID:X/bE/1jQ0
他の手段を用意しなければ詰むし、
用意すればセキュリティは下がる
好きな方を選べ
2023/05/13(土) 16:16:43.61ID:Re88RTM50
>>630
他の手段を用意しないで使える虹彩認証は無い
2023/05/13(土) 17:35:16.22ID:0Q89/LJ30
最強の代替オプションは携帯電話番号みたいに実店舗で本人確認だろうな
2023/05/13(土) 17:44:20.00ID:2MfwBRU/0
GW前だけどアパートに警察官がやってきて
「GW中の予定を聞かせてもらってもよろしいですか」と
正直に帰省すると答えたんだが後から怖くなってきた

あれは本当に警察官だったのか、空き巣のコスプレじゃなかったのか
警察官を証明するものってなんだろう
2023/05/13(土) 19:02:19.10ID:n1tUqREa0
>>633
警察手帳の写真と名前、階級かな
2023/05/13(土) 19:53:27.95ID:X/bE/1jQ0
偽警官はそのくらい用意してるだろ
その場で電話でもして確認しないと何も判らない
636名無しさん@お腹いっぱい。
垢版 |
2023/05/14(日) 20:28:15.74ID:TwmSCzsh0
最近は会社で使っているパスワードは
数字英大文字小文字記号4種類混合で最低14文字、20文字以上推奨、1~3ヶ月おきに変更
これを5つ覚える必要あり
パスワード管理ソフトなどは禁止でとてもきつい
メモも禁止だけどスマホにメモしている
30秒手を止めたらスクリーンロックでパスワード再入力だし
2023/05/14(日) 21:08:21.70ID:YN7YMGXN0
>>635
その分罪も重くなるけどそこまでするってどういう人なんだろう
2023/05/14(日) 21:41:42.14ID:EfPTtp760
パスワード管理ソフトが禁止というより、フリーソフトは全部禁止だな
2023/05/14(日) 21:42:18.90ID:WEB2G5WW0
>>636
どうしてパスワード管理ソフトが禁止されいるんですか?
頻繁にネットに繋げていろんなアプリを動かしているスマホに暗号化せずにメモするより、パスワード管理ソフトを使うほうが安全な気がするけど。
2023/05/14(日) 21:49:59.16ID:EfPTtp760
PCにログインしないと見れないテキストファイルに書いとけばいいんだよ
ログイン用のだけは暗記してどこにも書かない
2023/05/14(日) 23:45:01.15ID:jsqbKCmS0
>>636
今時パスワードを定期変更させる会社なんかないだろ
ぼくのかんがえたしゃないるぅるだろうな
2023/05/15(月) 00:20:28.93ID:Ou5mufOs0
会社として決めてなくても、パスワードが3ヶ月で無効になって、
過去5回分のパスワードは記憶しているから同じものは設定できない
2023/05/15(月) 00:42:32.89ID:fZaJZ65k0
パスワードを変えるか、会社を変えるか
2023/05/15(月) 00:55:26.77ID:Ou5mufOs0
まあ、わざとダミーのパスワード変更を5回やって、同じパスワードを設定し続けてるけどなー
2023/05/15(月) 18:10:57.15ID:YJEJuQLJ0
KeePassXC 2.7.5 released
2023/05/15(月) 21:24:28.93ID:ID7u4Ef20
会社の上の人間は複雑なルールを決めてセキュリティが万全になったと思っているが
現場の人間はパスワードを覚えてられないのでどこかでズルしてしまい
結局セキュリティが低下してしまうというよくあるパターンだね。
パスワード管理ソフトやセキュリティキーなどをうまく使って
簡単だけどセキュリティがバッチリな方法を探すほうがいいんでない?
2023/05/15(月) 21:40:08.81ID:Ou5mufOs0
ネット銀行とかもな
あなたは3ヶ月パスワードを変更していませんパスワードを変更しますか?
と頻繁に聞いてくる

あんな乱数みたいなパスワードが突破される訳ないんだよ
定期的に変更するメリットなんか何もない
2023/05/16(火) 00:38:15.59ID:RKHH/K+U0
>>647
それとパスワード管理ツールとなんにも関係が無いから他所でやれよ
いい加減しょうも無いことで荒らすなよ
2023/05/16(火) 13:45:30.27ID:48CjNXN00
パスワードレス認証技術「パスキー」は速い、安全、便利 ~Googleが新データでアピール
https://forest.watch.impress.co.jp/docs/news/1500861.html
2023/05/16(火) 13:57:21.80ID:YilJYuCh0
そして全てが破られる最悪の事態に
2023/05/16(火) 18:18:22.92ID:kB7aNMnG0
>>649
>パスワードによる認証成功率は平均13.8%だったが、

みんな7回に6回はパスワード打ち間違ってたんだ・・・
652名無しさん@お腹いっぱい。
垢版 |
2023/05/17(水) 21:42:08.38ID:6MxwQVVc0
>>651
フォントが悪い
1,l,I,| ←これ誰も見分けつけられない
2023/05/17(水) 21:50:45.48ID:YD7mI7/T0
お札のアルファベットはIとOを使っていない

別にこんなもん間違っても誰も困らないけど
2023/05/18(木) 07:17:05.54ID:Lsn8WBwa0
>>652
パスワードを見て手で打ち込むという行動がすごい
2023/05/18(木) 07:45:13.99ID:vLTfgmuk0
このスレのクオリティの低さを物語ってる
2023/05/18(木) 07:47:41.19ID:THCPqICi0
>>652
数字のイチ、小文字のエル、大文字のアイ、記号は名前がわからん

源暎モノコード最高
2023/05/18(木) 09:28:36.38ID:rw+0YSkP0
>>656
記号の読み方
https://www602.math.ryukoku.ac.jp/Prog1/charnames.html

記号/符号の種類・名称・読み方 ー 約物など
https://www.benricho.org/symbol/kigou_01.html
2023/05/18(木) 09:40:46.78ID:8bKKgS4h0
記号の縦棒、パイプと読んでたけど日本語でも英語でも違ってたっぽい。はずかしい、、、むかーし誰かに教わったんだが騙されたかなw
2023/05/18(木) 10:14:42.65ID:4A0DGSw00
シェルに使う記号の意味としてはパイプだから間違いではないんじゃない
2023/05/18(木) 10:17:17.06ID:1i5JpkgR0
or
2023/05/18(木) 10:26:09.93ID:ueBiHjbk0
UDデジタル教科書体好きなんだけど 1Il 0Oあたりの見分け全くつかなくて困る
2023/05/18(木) 10:39:35.75ID:1i5JpkgR0
見分ける必要がある時はconsolas
普段は文脈で判断できるのでMeiryoKe
2023/05/18(木) 12:24:38.82ID:061Cqvqu0
>>654
データ漏洩を防ぐには紙に印刷しておくのが最強だからな
2023/05/18(木) 12:33:44.80ID:1i5JpkgR0
紙は取られたり盗み見られたりするだろ
管理ツールの中だけ入れて、見るには脳内にしか無いパスワードを使うのが最強
2023/05/18(木) 12:46:34.96ID:DUpNi3p20
脳内最強はよっぽど記憶力が優れてるんじゃなければ
桁数が少なくなったり使い回し(ベース+前後に数文字パターンも含む)になって
結局ツールや紙を使うよりよっぽど脆弱になるだけだと思うなー
2023/05/18(木) 13:06:26.22ID:1i5JpkgR0
覚えるのは1つだから使いまわしとか関係ない
ネット上に置く訳でもないから家族や同僚に総当りされてもたかが知れてる
数字や記号も含めたランダムの8文字程度で十分
この一つだけを根性で覚えて絶対に誰にも明かさないしどこにも記録しない
2023/05/18(木) 14:01:11.44ID:dEVXlsT80
>>659-660

たしかにシステムやってる人に教わったわ。AまたはBみたいな話の流れで。ありがとー
2023/05/19(金) 15:37:11.69ID:T9owVfki0
B8 GC( q9 QOo0 I1l ir mn Ss Uuv Ww Xx Zz
並べると見分けつくけど小さい画面でランダム英数字表示されると見分けるのが難しくなる
2023/05/19(金) 15:41:24.75ID:wk8LOQGR0
ランダム生成したパスワードをプリントアウトして現場に持っていって、
全然通らないから諦める、という目に実際に遭遇した

別に文字の種類を混ぜる必要は無いんだよな
長ささえ長くすれば十分なので、英小文字のみ20文字とかでもいい
入力しやすく間違いにくく強度もある
2023/05/19(金) 15:50:00.90ID:aPcRdIIk0
セキュリティが落ちるものの、パスワード自動生成でよく似た文字は除外というオプション設定はあるね
2023/05/19(金) 17:56:58.81ID:uwtJDCmg0
数字も混ぜなきゃいかんとか糞ルール押し付けてくるサービスもあるしな
2023/05/19(金) 18:08:44.13ID:wk8LOQGR0
3種類全部混ぜてないと通らないんだよな

あれは、お前らアルファベットはどうせ何かの単語だろという前提がある
単語だけの組み合わせは恐ろしくセキュリティが下がるので、その対策に過ぎない
2023/05/19(金) 19:18:35.47ID:SeD/2Rbi0
フリーのパスワード管理ツール「KeePass」に脆弱性、マスターパスワードを復元される
https://forest.watch.impress.co.jp/docs/news/1501981.html

>この問題は、6月初旬にリリース予定の「KeePass 2.54」で修正される見込み。
2023/05/19(金) 19:28:01.89ID:YgA/liGr0
>>673
これも忘れないで下さい

>  概念実証ツールの作者によると、本脆弱性は少なくとも以下のアプリには影響しない。

KeePassXC
Strongbox
KeePass 1.X
2023/05/19(金) 20:44:43.89
>>673
キーファイル貫通するんか・・・・・
2023/05/19(金) 21:05:03.80ID:wk8LOQGR0
キーファイルなんか何に使うんだろと思ったけど、こういう時には強いな
2023/05/19(金) 21:30:31.25ID:RneDqxTu0
テキストボックス由来なのか
アプリのコントロール依存で起こってしまうものまで拾われると厳しいな
2023/05/19(金) 22:18:55.23ID:wk8LOQGR0
パスワード解除済のPCを使える状態なんだから、
ハッキングするまでもなく侵入し放題だけどな
2023/05/20(土) 09:50:33.94ID:C773mXWs0
本家一筋で使ってきたが一時的に他の使ってみたほうが良いのか
2023/05/20(土) 10:03:03.36ID:h6cLw2NE0
本家kwsk
2023/05/20(土) 12:07:31.84ID:V/6HwRvg0
本家wvwv
2023/05/20(土) 13:51:57.62ID:prqcEpLG0
6月まで誰もオレのPCのメモリを解析できないように対策するぞー
まずは家のキーからかなw
2023/05/20(土) 15:26:48.39ID:GPy3BE/B0
https://jetstream.bz/archives/171463
2023/05/20(土) 19:40:08.23ID:jZ4nPGvh0
最近、やたらとパスキー、パスキーって言ってる割に全然普及してないし
GoogleやMSなどのOSメーカーがパスキーを云々って言ってるけど
少ないパスキーの記事ってほとんどがGoogleでMSのパスキーについてふれてるの皆無だし
パスキーもようわからんな
2023/05/20(土) 20:07:44.11ID:h6cLw2NE0
利便性とセキュリティは背反する

便利だよと宣伝してたら危ないよと言ってるのと同じ
2023/05/20(土) 20:19:49.94ID:AKwLG6BI0
グーグルアカウントさえパスキー対応したらOAuthでログインできるサイトばかりだし良いのでは
2023/05/20(土) 23:49:32.31ID:0/Up3o0x0
>>685
あなたは紙に書いて保管して手で入力してるの?
2023/05/21(日) 00:10:35.58ID:P6Gsx3dI0
そうだね
紙に書くのが恐らく最強
それは面倒だし間違うので、管理ソフトに頼る
そうやって楽になった分だけセキュリティは失われていく
2023/05/21(日) 01:28:01.67ID:JFx3NoMi0
紙は警察に押収されたらアウトやぞ
2023/05/21(日) 01:36:46.62ID:eeeATnJ30
とりあえず
KeePassXCPortableに逃げた
本家が塞いだらまた考えよう
2023/05/21(日) 05:42:49.18ID:eAJBB28l0
>>689
バカ
2023/05/21(日) 09:41:04.91ID:CET1Jc2d0
>>673
PCのメモリを覗ける状態なら、キーロガーでも入れた方が早そうだが
2023/05/21(日) 10:04:05.26ID:aDl/BAKh0
元々キーロガーに対して脆弱で、さらに脆弱性が見つかった
キーロガーなんか絶対仕掛けられません、という前提でのセキュリティなので、
あんまり意味がない
2023/05/21(日) 10:24:22.36ID:OjorX/6D0
悪い奴がキーロガーをインストールすることができたってことは
そいつは悪いことをするどんなプログラムでもインストールできるってことだ。
クリップボード、デスクトップ画面、ストレージの中身、ネットで通信している内容、usbケーブルでやりとりしているデータ、ノートpcについているwebカメラの映像などなども盗み見られる可能性が高い。
なのでキーロガーやマルウェアを仕掛けられてもセキュリティを保つことは不可能だと思う。
2023/05/21(日) 10:38:25.23ID:aDl/BAKh0
?
2023/05/21(日) 10:55:16.59ID:KDzTtNXo0
キーロガーは物理的に仕込むことも可能だから単純な比較はできない
2023/05/21(日) 11:09:28.80ID:aDl/BAKh0
部屋に侵入するとか、最初から部屋にいる人に対するセキュリティが必要なら、
通常の管理ツールでは役に立たない
だから、そんな特殊例は除外して考える
>>673の脆弱性はそういう特殊例に含まれるので、問題にする意味がない
2023/05/21(日) 16:52:44.00ID:Hk6ZeOV90
ぶっちゃけそこまで気にするのならパスワード管理ツールに頼るなって事だわな

どんだけツール側が配慮してもPC本体やOS側、置き場所のセキュリティが物理的にザルならどうしようもないわけで
2023/05/21(日) 17:41:11.82ID:MJApxleh0
パスキーって利便性と堅牢性を両立して理想的と言われてるけど、PCからアクセスするときは結局スマホが必要なんだね。手間は二要素認証と変わらん。
2023/05/21(日) 17:59:15.26ID:eAJBB28l0
スマホが必要かどうかは提供もと次第じゃないん?
2023/05/21(日) 18:10:51.99ID:l8ht32hY0
Windows Helloもパスキーじゃないの?
2023/05/21(日) 19:59:48.68ID:HnZc/gQn0
パスキー
https://pbs.twimg.com/profile_images/1565865934233153537/Rr_kQSSA_400x400.jpg
2023/05/21(日) 20:04:18.63ID:fQXfpLL40
それはハスキーや
704名無しさん@お腹いっぱい。
垢版 |
2023/05/22(月) 11:19:38.45ID:4KfO6+ou0
スマホはいきなり壊れるのが怖い
だったら作りが単純な物理キーのほうがまだ安心できる
2023/05/22(月) 11:59:30.13ID:ejQhtrY70
10台以上使ってきたけど1つも壊れたことないなスマホ
どうしたら壊れるんだろう
2023/05/22(月) 12:32:52.26ID:CUopwXWn0
紛失した人も落下で壊した人も知ってる
2023/05/22(月) 13:59:28.25ID:1Y8elEuy0
パスワード管理ツールだろうがスマホだろうが破損紛失等の
トラブルが発生しないよう予防し、それでも発生した時の対策を
講じておくのが大事
2023/05/22(月) 14:05:09.99ID:QxGhbHRy0
一度避難訓練しとくといいよ

Google認証システムで2要素認証にしていて、
それを失った時に、また2要素認証を復旧できるか、とか
実は潜在的に詰んでる人が多い
2023/05/22(月) 16:51:01.33ID:tIpF+2tv0
一度だけスマホが文鎮化したことあるけど、問題になったのはTwitterの2要素認証だけだったわ
他にも2要素認証設定してるサービスはあるけどTwitter以外は特に手間もなく復旧できた
710名無しさん@お腹いっぱい。
垢版 |
2023/05/22(月) 19:59:48.61ID:IvjoQANz0
一応火事になってすべてを失っても記憶してるパスワードと電話番号で重要データは復旧できるようにしてある
動画とかはハードディスクとともに失われるけど
2023/05/22(月) 20:06:20.10ID:ljShwiHu0
パスワードはEvernoteに、たぬき言葉でメモしてるわ。気休めに暗号化してるけどあんまし気にしてない。
2023/05/23(火) 02:24:24.67ID:RxHjkZUP0
HDDはpCloudにe2e暗号化してバックアップしてるわ
生涯プランの2TBで400ドル位だったからバックアップ用HDDの保守とか考えたら安いはず
2023/05/23(火) 09:00:00.24ID:EmKVDSvN0
>>710
火事の時に記憶を失わないといいな
2023/05/23(火) 09:02:09.02ID:tkq+FaCC0
「消防車 呼び方」
2023/05/23(火) 09:13:59.40ID:Kkbfi12v0
これ無くなったら嫌だな、というデータをクラウドに置いてるけど、
200GB置いてて月に$1.25かかってる
2023/05/23(火) 15:23:34.20ID:Tjs9bvP00
俺も200GBくらいに厳選してM365サブスクについてくるOneDriveの1TBに暗号化してアップロードしてる
何かあってもスマホと記憶さえ無事であれば復旧できる
2023/05/23(火) 15:26:27.88ID:Kkbfi12v0
災害時を想定して、PCもスマホも携帯も全て失っても復旧できないと
2023/05/23(火) 20:39:30.80ID:uPUw/QZM0
>>716
どうやって暗号化してる?
2023/05/24(水) 00:02:26.28ID:sNWpcfoH0
あんごう化
https://pbs.twimg.com/media/B-DHWRlCMAAVL6f.jpg
2023/05/24(水) 00:04:03.44ID:WNg0P+uD0
ネイティブw
2023/05/24(水) 00:04:58.30ID:/YxXzycz0
うばんぷ何
2023/05/24(水) 06:05:40.01ID:pe6YOV2B0
>>718
rcloneとか
2023/05/24(水) 15:49:11.41ID:9WID4x0+0
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.zukan-bouz.com%2Fsyu%2F%25E3%2582%25A2%25E3%2583%25B3%25E3%2582%25B3%25E3%2582%25A6&psig=AOvVaw1OqHttMf8ZxrI4vbE0dgVC&ust=1684997299620000&source=images&cd=vfe&ved=0CBEQjRxqFwoTCKDw5Zyujf8CFQAAAAAdAAAAABAG
2023/05/24(水) 20:00:33.88ID:a2nRwxyO0
銀行カードの暗証番号をどこに控えておけばよいやら
スマホが壊れてしまった
2023/05/24(水) 20:15:39.52ID:TfU4DpDU0
スマホが壊れると、LINEしか知らない相手を簡単に見失う

以前は携帯が壊れて電話番号が携帯にしか入ってない、が定番だったけど、
今はもう電話番号なんか知らない人しかいない
2023/05/24(水) 20:32:32.60ID:oTzAn5W40
4桁くらい覚えろとかバックアップしないのかよとか
2023/05/24(水) 20:38:39.43ID:BOjDFR5l0
>>724
>>24
2023/05/24(水) 23:46:11.94ID:WSeOUoJd0
しかし何年経っても同じ話題であんたら全然進歩しないなぁ
2023/05/25(木) 01:00:31.46ID:7COUuc5D0
そうかなあ?
言ってる事は同じでも前提が変わってて
意味合いが違ってるとおもうけどな

https://gigazine.net/news/20230523-expose-smartphone-fingerprint-bruteprint/
指紋認証も前提が変わってくるかも
まだ全然使えない技術ぽいけど
2023/05/25(木) 01:05:50.70ID:dlG8ZdYS0
手軽な方法は絶対落とし穴があるんだって
強いセキュリティは必ずめんどくさい
逆は必ずしも成り立たないけど
2023/05/25(木) 10:04:41.51ID:qAogRa+40
>>728
お前は退化してるぞ?
732名無しさん@お腹いっぱい。
垢版 |
2023/05/27(土) 13:46:32.87ID:xWLwFcdS0
>>717
オンラインストレージ1に重要ファイルと各種サービスへのアクセスパスを保存したパスワードファイル、オンラインストレージ2にKeepassのパスワードファイル、パスファイルの内容は1へアクセスするためのIDとパスだけ
覚えておくのは2にログインするためのIDとパス、Keepassのマスターパス
災害でゼロになったら端末用意してKeepassポータブルをダウンロード、2にログインして、1からファイル取り出し復旧
2にログインするためのIDとパスは、有名ドラマと出演者の名前を組み合わせたものにすると覚えやすい
2にアクセスされてもKeepassのマスターパスがわからないならアタックできない、マスターパスが割れても1のIDとパスを変えてしまえばログインできない
733名無しさん@お腹いっぱい。
垢版 |
2023/05/27(土) 13:50:21.68ID:xWLwFcdS0
スマホ認証形式だと災害で端末失うとなにもできなくなるが
銀行ですらスマホ認証を強要してくる時代になったからな
せめてYubikeyとかの携帯しやすいデバイスも許可してくれよ
2023/05/27(土) 14:17:20.41ID:w3p/v+PQ0
災害時は特例で代替手段が提供されるんちゃう?
2023/05/27(土) 14:39:41.40ID:bGSDgxW00
>>733
仮に紛失したとしてもインフラさえ生きてたら
新たに買えば復旧できるな
インフラが死んでるような状況で認証が必要な事柄が何か洗い出せよ

何にも出来ないと言うことを前提にしたらそりゃなんにもできないわ
2023/05/27(土) 14:45:41.80ID:1ZVaGsUY0
アタックへの強さと災害への対策を同時にやるのは難しいかもしれない
何なら復旧の為に最初にアクセスする場所のパスワードは財布に入れてある
普段使わないパスワードは忘れる
だからといって普段のパスワードと共通にすると使い回しになる
2023/05/27(土) 16:53:54.15ID:Y5DPGZhs0
「辞書に載っている単語を含めてはいけない」「120日ごとに新しくパスワードを設定すること」などバカげたパスワードのルールを持つサイトを集めた「Dumb Password Rules」
https://gigazine.net/news/20230527-dumb-password-rules/

日本のサイトって割と条件に当て嵌まりそうではある
2023/05/27(土) 17:02:30.05ID:1ZVaGsUY0
長すぎるという理由で蹴ってくるところは意味判らんな
2023/05/27(土) 22:20:25.96ID:voZCapHJ0
文字数が書いてなくて生成文字列突っ込んだら自動で末尾切ってくるサイトとか有るんだっけ
せめて説明してくれと
2023/05/27(土) 22:26:08.53ID:fWhJ6E9D0
昔のAmazonがそれやってたな
2023/05/27(土) 22:33:27.64ID:1ZVaGsUY0
登録の時だけ切って、照合の時は活かすんだよな
だから何文字だったのか推測しないといけない
2023/05/28(日) 12:25:51.55ID:5sgFtGni0
>>739
昨日My Y!mobileで新規アカウントを作成する際にパスワード長が書いてなかったので24文字のパスワードを登録し完了
ログインしようとしたらできなかったのでヘルプを見たところ8~16文字だったため後ろをカットして再試行したらログインできた
2023/05/28(日) 12:53:07.47ID:rtBAnxmu0
この人のパスワードはこれ、という風にサーバーのHDDにしまっとくんだよ
そのHDDの領域の割り振りを設計する時に、パスワードは最大16文字とか決めないといけないので、
それ以上の長さを寄越されても記録しとく場所がない
2023/05/28(日) 14:05:20.36ID:0/O4XvEL0
>>743
何十年前の実装だよ
生パスワードの保管方法じゃんそれ
2023/05/28(日) 14:10:22.98ID:rtBAnxmu0
1セクターは256バイトで構成されていて、それを何バイトずつどういう用途に割り振るかを最初に設計する
レコード長は一旦決めるともう変えられない
2023/05/28(日) 14:10:26.85ID:d/DTbMVd0
BASICで組んでた時は
フロッピーのランダムアクセスレコード長設定でフィールドのバイト数で区切ってたよね
2023/05/28(日) 14:14:12.96ID:rtBAnxmu0
名前もカタカナのみで、濁点はそれで1マス使う
そういうコードで設計すると、それをずっと使うしかない

多分、Yahooのシステムはそんな古い設計のままなんだよ
2023/05/28(日) 14:35:55.66ID:H1hRrYW+0
>>745
そうじゃなくて、今は(というかずっと以前から)パスワード自体はシステムに保存しないものさ
パスワードはハッシュに変換して(文字数は一定)それを保存する

ログインのときも同じようにハッシュに変換して保存されてるハッシュ値と比較する
2023/05/28(日) 14:44:43.49ID:aO0keAFf0
UNIX・Linuxですら当時はDESで暗号化かMD5ハッシュが当たり前だったな
2023/05/28(日) 14:45:58.02ID:O31aUhs30
HDDの領域とか何の冗談だ
2023/05/28(日) 15:00:44.87ID:rtBAnxmu0
もしYahooが本当にそういうシステムを採用してるなら、パスワードの長さの上限を決める理由が何もない
やっぱやってるんだよ
2023/05/28(日) 15:56:21.24ID:O9CxpYkl0
Yahooは一応パスワードレス推進派だからまだ許せる
指紋認証でログインきるし
2023/05/28(日) 16:02:38.79ID:ItGCp3AB0
>>751
yahooに登録されてる個人情報(クレカ番号、住所等)の量に比べたらパスワードの文字数なんて問題にならないよ

大昔にあまり考えず文字数制限無しで受け付けて、先頭16文字までをハッシュするルーチンを使っていたのだろう
それがシステムの中心部に残っているのではないかな
2023/05/28(日) 16:28:28.99ID:bQxlklu90
文字数制限はよいとしても、頭だけ大文字固定とか同じ文字3連はだめとかって制限はやめてほしい
2023/05/28(日) 16:33:53.53ID:rtBAnxmu0
ついさっきも新しくパスワード作って、
大文字小文字数字記号を混ぜるルールで、
記号なしで自動生成してたのではねられた
'+'を追加したけど、それは記号とはみなされなかった
2023/05/28(日) 18:46:07.24ID:EGvJGW4H0
パスワードで記号とかローマ字の大文字を入れとかあるけど
大文字とか記号とか入れるのが面倒なんだよな

基本パスワードの欄ってローマ字の小文字か数字しか入れるように設計してない癖に
2023/05/28(日) 18:50:56.15ID:rtBAnxmu0
あとコピペ禁止にしてある入力フォームは何考えてるのか理解に苦しむ
パスワードを別のテキストに保管することを禁止したいんだろうけど、余計なお世話すぎる
2023/05/28(日) 19:01:12.79ID:xfE1PQir0
コピペ禁止と3ミスロックの組合せとか
殆ど嫌がらせだと思うの
2023/05/28(日) 19:21:26.66ID:h97JF/Cq0
パスワード入力欄がコピペ禁止になっているサイトってパスワードマネージャの存在を知らないセキュリティの知識が乏しい人達によって作られているんじゃないの?
パスワードを適切なハッシュ関数にかけてから保存してないとかいろんな脆弱性をもってそう。
2023/05/28(日) 19:49:59.02ID:rtBAnxmu0
ハッキングを受けて大量のIDとパスワードが流出とか頻繁にニュースになってるし
ハッシュ後のパスワードなら流出したところで平気だけど、
そうなってないから使い回し禁止のルールができてる訳で
思ってる以上に各企業のweb担当は素人
2023/05/28(日) 20:33:33.60ID:O31aUhs30
PW平文保存は違法にしたらええのにね
2023/05/28(日) 20:39:19.55ID:rtBAnxmu0
クレカのセキュリティコードは保存禁止なのに、
何故か最初だけ入力してその後は入力を求められない謎
2023/05/28(日) 20:45:16.66ID:xfE1PQir0
コード自体は保存しなくても
コードチェックを通過したIDって記録は残せるからかな
2023/05/28(日) 21:21:21.23ID:wBYf/H//0
マジでID:rtBAnxmu0って物知らないし頭も悪いな
ハッシュだって漏れたらマズいから使い回しすんなって言われてるんだよ
2023/05/28(日) 21:48:08.51ID:aO0keAFf0
普通ハッシュはランダムなsaltやストレッチ使ってるからまず被んないし耐性上げてるんだけどな
そんでも最近はPassGANが現われたから短かいパスワードはレンボーテーブルで突破される
2023/05/28(日) 21:57:27.87ID:rtBAnxmu0
トリップ破るのにも使える?
2023/05/28(日) 23:29:28.72ID:RnnTAvhQ0
>>762
この前のソースネクストの流出事件だと保存禁止のはずのセキュリティコードも流出してんだよな…
2023/05/28(日) 23:36:02.54ID:bQxlklu90
アキバの大手有名どころの大規模お漏らしで不正利用されたっけな。PC1s(親会社のお漏らし)
幸い、カード会社から利用確認の電話きてすぐ発覚した。登録してなくても保存してたりする会社もあるんだってな
カード一新して登録し直しがすごいめんどくさかったっけ
2023/05/29(月) 07:38:06.28ID:qBVuFHoL0
>>765
ID:rtBAnxmu0みたいな奴がいる世の中だもん
どんな馬鹿な実装されてたっておかしくない

>>766
無知で馬鹿なだけでなく想像力までないのかよ救えねーな
2023/05/29(月) 10:13:43.28ID:TRCNl5bB0
てかいい加減どこも登録時にパスワード最大値と使える文字を書いてほしいよな
書いてなくても実際に入れてボックスに10文字までしか入らなかったとかならまだしも勝手に切るのやめてほしい
大体63文字とか127文字でやってるけどショボいサイトだと8-16しか入らなったりするし
2023/05/29(月) 10:20:40.98ID:TRCNl5bB0
MSとかgoogleとか真っ先にログインする奴は長いとやってられんから短くして2段階にしてるけど

MSとかGoogleアカウントってパスワードレスにしても初期設定で使えるんだっけ?

以前試して通知届かなかったかなんかで詰んでパスワードありに戻してるけど最近は大丈夫?
2023/05/29(月) 11:57:12.03ID:AzqVAGq80
>>767
最近は入力画面が改竄されてセキュリティコードを盗み取るようになってる
2023/05/29(月) 19:52:50.07ID:F5cC92Xy0
最大16桁多いよな
せめて最大32桁にしてほしいわ
2023/05/29(月) 20:31:29.43ID:NqEvoC4S0
長くしてもそんなに覚えられる訳ないと思ってるんだろうな
2023/05/29(月) 20:57:03.47ID:axSf8EqG0
短かろうが長かろうがどのみち覚えないしな
2023/05/29(月) 21:19:05.52ID:q7uNHu150
暗記前提という発想がもう時代遅れだしね
2023/05/29(月) 21:34:59.83ID:NqEvoC4S0
基本的には手間とセキュリティはトレードオフだけど、
パスワードを覚える手間はセキュリティも下げるだけの徒労
2023/05/30(火) 15:20:04.33ID:qU/uTOYw0
ツールの引っ越しってどうやるのが一番いい?
Bitwarden使ってるんだけど、もしサービスが終了しちゃったら他のアプリにしなきゃじゃない?
一個ずつ手作業なの?
2023/05/30(火) 16:23:13.40ID:OXF+7ODL0
有名なツールルならエクスポート/インポートに対応してる
2023/05/30(火) 16:25:00.70ID:Qyb9qTIL0
対応してない所は素直に手動だな。多くてもメモ含め100件程度だからこそコピペで頑張れるが・・・
2023/05/30(火) 16:27:43.26ID:qiEnciP30
form解析とかして正しく入力されるように設定したものがエクスポートできる訳もなく
2023/05/30(火) 16:52:41.86ID:qU/uTOYw0
Bitwarden,安すぎてこの先のサービス継続に不安なんだが。。。
2023/05/30(火) 17:00:21.49ID:qiEnciP30
ウイルス対策ソフトがOS標準になってわざわざ買わなくなったみたいに、
パスワード管理も最初からあって当たり前になると思うな
2023/05/30(火) 17:35:22.53ID:RYgcaNob0
パスワードに対する危機管理より
M$の殿様商売に危険を感じたほうがいいよ
2023/05/30(火) 17:52:31.38ID:qiEnciP30
あんまり群雄割拠されてもな
素人も使うOSはwindowsとmac、プロが使うのはlinuxでいいやん
2023/05/30(火) 18:01:16.84ID:zttnMH040
>>779
ツールル♪ツルルツールル♪
徹子「今日のお客さまは不正にログインされてしまった長澤○○○さんです」
2023/05/30(火) 19:00:37.06ID:Fz/DBUTz0
>>785
素人もlinux使いまくりじゃん
家のルータにいちいちWindows積むの?
2023/05/30(火) 19:03:11.45ID:m6xKJ1jW0
MicrosoftはEdgeとAuthenticator、AppleならiCloudキーチェーン、GoogleならChromeが標準のパスマネってことになるんかな
もちろん使う使わないは個人の自由として
2023/05/31(水) 06:05:28.41ID:FqL4zGA70
Googleのは他アプリからのインポートに対応してる?
それらしい設定が見当たらなかったんだが
2023/05/31(水) 07:16:31.88ID:73nf4Q7D0
実際はどうか知らんが、イメージ的にGoogleのはエクスポートがなさそう
2023/05/31(水) 09:19:47.29ID:fEeeTHjK0
>>790
ここは専門板
イメージで書き込むのはいかがなものか
https://passwords.google.com/options?ep=1&pli=1
2023/05/31(水) 09:34:13.23ID:ENpWUxgK0
>>791
横からスマンけどここからエクスポートできるの? それらしい項目ないっぽいけど人によるのかな
2023/05/31(水) 09:52:11.34ID:fEeeTHjK0
>>792のURLをWindowsPC上のFirefoxやChromeで表示
https://i.imgur.com/tXAFqtQ.png

AndroidのGoogleアプリからだと例えば
自分のアイコン→Googleアカウントを管理→セキュリティタブ→(他サイトへのログインの)パスワードマネージャー→歯車アイコン
2023/05/31(水) 10:08:05.37ID:/dG8aK520
1日1度何かのバックアップを走らせた時に、Chromeもバックアップできる?
2023/05/31(水) 14:22:40.88ID:ZrKkjshL0
>>793
なるほど! スクショありがとうございました。お手間取らせました
2023/05/31(水) 15:00:27.07ID:E6WbEIph0
chrome自動入力から簡単に引っ越せる軽いやつのオススメ教えてください
2023/06/01(木) 07:29:37.25ID:+yCWoO720
んでGoogleのはインポート機能は無いの?
今2fasだけどアプリに掲載されていないアイコンは英字でしか表示されない
aegisみたいに汎用アイコンがあればいいんだけど
aegisはそもそものアイコンがイマイチだからなぁ
2023/06/01(木) 08:11:31.39ID:54FCJ+dl0
>>797
>>793
あるじゃん
2023/06/01(木) 09:36:53.30ID:bPNXfRD50
これパスワード全般だろ?
しかもcsvファイルのみだし
2fasからtotpだけを引き継ぎたいんだ
ポチポチするしかない?
2023/06/01(木) 09:47:41.50ID:3GcyirPG0
どれだけgoogleが親切に作っても不可能じゃないか?
2023/06/01(木) 10:07:23.93ID:bPNXfRD50
スマン
aegisにgoogle向けのエクスポート機能があったわ
けどこれ(google)はアイコン無しなんだな
authyは色んなサイトのアイコンに対応してたからそれに慣れちゃったんだ
大人しく2fas使います(Zaifに対応してくれ…)
2023/06/01(木) 17:57:56.20ID:UD7e8/080
>>797
2FASはAegisと同様に起動時にすぐ検索できるようになったからアイコンあんまり気にしてないな
Discordでリクエストできるみたいよ
https://i.imgur.com/8xNQ5WK.png
2023/06/01(木) 17:59:45.70ID:UD7e8/080
2FASは
Android→Googleドライブにバックアップ
iPhone→iCloudにバックアップ
って仕様がイケてない
AndroidとiPhone使ってると手動でしか同期できないじゃん
ブラウザ拡張機能はいい感じ
804名無しさん@お腹いっぱい。
垢版 |
2023/06/03(土) 19:48:39.43ID:xMmxYo2h0
スマホ認証がこれだけ流行ると端末買うときも信頼性を重視しないといけなくなるな
突然壊れたりしない端末というとGalaxy、Pixel、iPhoneくらいか?
2023/06/03(土) 19:59:16.01ID:ppIJb0LN0
サブ機体持っとけって流れに成るかもね
認証だけなら世代前のスマホでも問題ないだろうし
2023/06/03(土) 20:08:29.21ID:YEyCTK8l0
root化してアプリのデータごと暗号化自動バックアップして端末失っても違う端末で復元できるようにしてるな
2023/06/03(土) 20:22:19.55ID:kc+TQG9b0
>>804
Pixelは5aで突然死が発生してGoogleが無償交換対応してるけど、パスキー代わりのスマホがそんなったらしんどいよなぁ
2023/06/03(土) 20:41:46.86ID:aUs+euiA0
PCがメインでスマホはサブだから、スマホが全て失われてもPCでカバーできるけど、
スマホだけが全ての人は何か落とし穴ありそうだな
2023/06/03(土) 21:11:02.08ID:YoxGEYiI0
パスキーの仕組みってよくわかんないな
Googleにシークレットモードでログインしようとしたら、登録したはずのパスキー求められなかった
2023/06/04(日) 02:02:14.93ID:ifmko/rM0
PCって生体認証のデバイスを別途買わないと生体認証がほぼ標準装備されてないから
ログインする時PCでアクセスして別途スマホで生体認証しないとログインできないじゃないの?パスキー?
つまりPCでも生体認証用のスマホは故障も紛失もできなさそうだけど
2023/06/04(日) 02:58:43.14ID:hmjkHeZU0
KeePass 2.54 released
https://keepass.info/news/n230603_2.54.html
2023/06/04(日) 07:55:46.90ID:jqFVzyWk0
>>673
の修正かな
2023/06/04(日) 08:51:11.00ID:7UfhYDo20
生体認証は高いセキュリティを実現する為のものではなくて、ものぐさが目的
毎回面倒な認証をしなくてももっと楽な方法は無いかと考えた結果の代物
あれば楽ができるけど、あったからといって安心できるようなものではない
2023/06/04(日) 09:02:20.37ID:1ZsNiyQY0
生体認証は基本変更不可だからパスワード側ではなくID側で使うべきという意見も聞く
まあ一理ある
2023/06/04(日) 10:15:55.54ID:Yzaaj8hR0
>>813
雑なパスワードを組んだり、使い回しをしているような人が対象ならそれなりに有用って感じか
世の中そういう人の方が多いのだろうし
2023/06/04(日) 10:21:30.50ID:nmNfsES+0
バズワード数250を超えてるけど全て違うし、年2回は変えてる
コレができるようになったのは管理ツールと生体認証のおかげ
2023/06/04(日) 16:07:30.93ID:p1elVhom0
250ぐらい覚えとけよ
2023/06/04(日) 21:29:53.65ID:nBGWSrYC0
まじでkeepass流出したら終わるわ・・・
メモ欄とかにすべてが書いてあるしマスターパスワード4桁だから一瞬で解読される

なかなかに恐ろしい
2023/06/04(日) 22:07:34.40ID:1ZsNiyQY0
4桁なら無くても同じじゃ…
2023/06/04(日) 22:08:42.10ID:gxWRKUa60
キーファイル使えばいいじゃん
2023/06/04(日) 23:12:16.02ID:Ik1SS5xD0
masuta-pasuwa-donannte ikurademo nagakusureba iijann
2023/06/05(月) 00:32:01.88ID:RpmlJPv70
4桁はガバガバ過ぎて草
今すぐ変えろよ
2023/06/05(月) 02:07:39.86ID:2gHP7RLL0
5keta ni simasita
2023/06/05(月) 08:01:02.88ID:32i5mWEH0
数字なら8桁でもすぐ破れる
2023/06/05(月) 08:11:11.86ID:8cF+o7IE0
よぅ分からんけど何十回もトライアンドエラーしたらアカウント側が一時凍結されないのかしら
2023/06/05(月) 08:24:12.63ID:Le64oQb90
keepassって試行回数でロックとかあったっけ?
2023/06/05(月) 08:38:47.52ID:8cF+o7IE0
それしてないならマヌケすぎちゃう? アタックされ放題やん
2023/06/05(月) 08:47:15.33ID:mQ7C0SlR0
変換回数があるので1つ試すのに1秒ぐらい掛かるから時間は掛かる
2023/06/05(月) 08:59:15.55ID:bm0Oc6Mz0
>>826
その機能はないし意味ないよ
仮にあったとしてもkeepass互換のロック機能のないアプリで
データファイルを総当りでアタックすればいいから
2023/06/05(月) 09:30:56.24ID:lZU6ot7U0
keepassは鯖型じゃないからね
アカウントって概念がまず無いし
2023/06/05(月) 09:36:04.56ID:nNcsjJR30
え、なら818さんの数字4桁も別に問題なくね?
2023/06/05(月) 10:15:50.93ID:bm0Oc6Mz0
>>831
強力に暗号化すればファイルが他人の手に渡っても無問題というのがKeepassの考え方の肝なのよ
2023/06/05(月) 10:39:50.74ID:1xxilwmn0
鯖とかではなく、この手の暗号・管理ファイルの方で開発者側が特殊な事やって( adminパスなど)
実は中身こっそりdeveloper側が見られるようなバイパス挙動できてていたみたいな事件ってあります?
2023/06/05(月) 12:03:47.07ID:UBeYNwTF0
ファイル型に試行回数でロック設定しても
事前にそのファイル複製しておけば意味がなくなるので…
2023/06/05(月) 12:09:04.71ID:wZQUDO6e0
>>831
サイト側で流出しなくても、PCにマルウェアが入ってきたら簡単に盗まれるぞ
2023/06/05(月) 12:25:33.46ID:8/ALM3S30
keepassやkeepassXCはオープンソースプロジェクトだからソースコードを読めばファイルフォーマットが分かるけど
それでもマスターパスワードがわからない限り解読されないように暗号化されるようになってるはず。
それに不特定多数の人からソースコードを読まれるから不備があればすぐに指摘されるよ。
2023/06/05(月) 12:54:08.29ID:2rKeKAXa0
オープンソースはHeartbleedのように2年放置された例もあったから過信はできないけどね
2023/06/05(月) 13:11:37.64ID:Ddb49Hma0
お前そんなこといったらクローズドは余計に悲惨だろが
839名無しさん@お腹いっぱい。
垢版 |
2023/06/05(月) 14:18:57.68ID:Nx+4cQYm0
殺したい相手の名前と殺し方はどれだけ長くても誰でも覚えられるのでマスターパスワードにおすすめ
あるいはアメリカに対する具体的なテロ予告をパスワードにする
流出したらテロ予告になるのでFBIが犯人を捕まえてくれる
840名無しさん@お腹いっぱい。
垢版 |
2023/06/05(月) 14:20:23.71ID:Nx+4cQYm0
キーファイル形式だとネットに公開されてるハッシュが変わらないものにしないとファイルぶっ壊れた時点で詰む
2023/06/05(月) 17:52:30.21ID:mQ7C0SlR0
キーファイルってソフトで前回の記憶してるんだったらマルウェアからしたら分かるもんじゃないの
2023/06/05(月) 18:38:57.36ID:Rrc+k08v0
それ以外もわかるよ
2023/06/05(月) 18:41:03.00ID:QeaBjXua0
前回の記憶なんてしないけどな
2023/06/05(月) 22:52:30.75ID:Mj4vYRU/0
keepassが必要としてるのは起動する時の認証だから
起動するショートカットファイル作って
ショートカットファイルの暗号化をどうするか考えたらいいんじゃ
2023/06/08(木) 01:03:17.22ID:J5Ui6dUT0
(*´゚Д゚)y━・~ プハァ
2023/06/08(木) 04:53:31.27ID:uz8YrDGE0
>>844
>起動するショートカットファイル作って

マルウェアが入ってるならそのファイルを作るときの作業も監視してるので
意味ないと思う
2023/06/08(木) 07:20:09.16ID:VQnjF/gX0
おまいらはマルウェアが動いているPCでもパスワードが漏洩せずに使える方法があると思っているの?
2023/06/08(木) 09:27:21.49ID:E2tqzRwt0
そんな事言いだしたら
新しいドライブに引っ越しする時マルウェア入ってるかもしれないからクリーンインストールしろよってことになるじゃん
2023/06/08(木) 10:10:54.67ID:r64CMH530
ならんやろ
2023/06/08(木) 21:28:27.37ID:6hjhWIah0
マルウェアが入ってないなら4桁の数字でいいや
2023/06/08(木) 21:39:38.13ID:r64CMH530
マルウェアが入ってたら何してもアウト
2023/06/08(木) 21:39:54.36ID:KvR1IdGS0
マルウェアの検出はみなさん何を使ってます?
2023/06/08(木) 22:28:05.58ID:OG0Sll6L0
>>852
ソースコード確認
2023/06/09(金) 07:55:18.75ID:Y76z/x+I0
マルウェアが堂々とOSSに含まれたまま配布って事件あったな
OSSは多くの目に晒されるから~って安全性の根拠、
実際は多くの節穴に晒されてるだけだった
2023/06/09(金) 08:12:58.91ID:R38tvkBk0
ちゃんと発覚しとるがな
2023/06/09(金) 20:12:50.60ID:e2pwTO5K0
>>838
クローズドソースはリバースエンジニアリングしないと脆弱性を見つけられないというデカいメリットがあるからなあ。
オープンソースは良くも悪くも手の内を全て明かしているようなものなので……
2023/06/09(金) 20:21:34.28ID:zfREdbWQ0
クローズドソースは信用する必要があるからオープンソースは必要ないけど
2023/06/09(金) 22:43:18.91ID:sKNzP9K10
>>857
オープンソースだからといって安心してる阿呆もいるんだな
2023/06/09(金) 23:47:44.26ID:ky8DRaYZ0
>>858
曲解しすぎ
2023/06/09(金) 23:54:37.56ID:R38tvkBk0
悪意が無いと仮定すれば、どれだけレビューやテストにコストをかけられるかだから、
オープンソースだからというのは決定的な要件にはならない
どうやって作ってもバグる時はバグる
2023/06/13(火) 08:56:50.19ID:uBglZssL0
ブラウザからパスワードの入力画面がポップアップすることってよくあると思うけど、
keepassってポップアップを認識できない?
2023/06/13(火) 09:13:34.01ID:EtabQATk0
ポップアップ以前にkeepass本家はブラウザ入力補助機能なんて付いてないぞ
拡張か派生の話だと思うけどどれのことだかちゃんと名称書いてくれ
2023/06/13(火) 09:24:40.73ID:uBglZssL0
厳密にはKeeだな
2023/06/13(火) 13:24:38.17ID:FFUF/L0T0
試してみたいけどどのサイトのログイン画面がポップアップなのか覚えていないので試せないw
2023/06/13(火) 13:52:00.18ID:uBglZssL0
Keeも以前はkeepassという名前だったような
2023/06/13(火) 16:40:57.19ID:EtabQATk0
keeってなんだと思ってググったが Kee Vaultのことか?
正式名称書けない呪いにでもかかってんの?
2023/06/13(火) 16:58:19.11ID:uBglZssL0
いや、違うけど
どう見ても詳しくなさそうだから、無理して答えなくていいよ
2023/06/13(火) 21:40:46.84ID:Ao2hfv410
KeeはもともとKeeFoxって名前だったはず
Keeになってからググラビリティ落ちたよね
昔は使ってたが、今はKeePassXC使ってるから使ってない
XCに乗り換えられない理由はあるの?
同じデータベースで本家とXCの併用もできるよ
あと、どのサイトかわからないと検証しようがないよ
2023/06/14(水) 09:06:29.11ID:EK1bwPfz0
そう言えばKeeFoxってあったなfoxって言うからにはFirefoxのfoxか?
そう考えるとkeepass、keeを使ってる人はFirefoxを使ってるって事かな
Firefoxもかつてはシェア凄かったのにエンジンも含めてChromeに駆逐されそうだよな……
2023/06/14(水) 09:38:52.06ID:aeuCSFxJ0
firefoxでkeeを使ってて、今はedgeでkeeを使ってる
chromeにもある筈
2023/06/14(水) 10:11:51.22ID:bWOjtBsJ0
Firefox Chrome 両方あるね
Kee Vaultは同じベンダーのアプリ名で 会社名でもある
2023/06/21(水) 01:52:22.16ID:A5i3+/2a0
CVE-2023–35866
2023/06/21(水) 03:40:29.22ID:8KUPSjau0
https://keepassxc.org/blog/2023-06-20-cve-202335866/
2023/06/22(木) 21:39:54.87ID:yqT9PFmD0
しょーもないことで揉めるな
2023/06/24(土) 16:25:42.28ID:fdMoGABZ0
Bitwardenだけど、ブラウザ上から編集した場合
スマホなどの端末と同期されるのに時間かかります?
2023/06/24(土) 17:57:46.27ID:yNObCZJK0
>>875
かからない。ブラウザのページを更新をすればすぐに同期してるよ。
2023/06/26(月) 20:50:38.64ID:F5x70Dfb0
なんか毎回マスターパスワード入れるのが面倒になってきた
2023/06/26(月) 22:43:10.07ID:k6eusQMj0
指紋認証しようや
2023/06/27(火) 10:17:48.07ID:CY2TcYXX0
ペリアの指紋認証壊れててマジうざい
新機種来月届くからこのまま行くけど
2023/06/29(木) 19:27:41.56ID:PIAcMG3A0
パスワードづくりゲーム『The Password Game』無料公開され“難しすぎる”と注目浴びる。
次々と継ぎ足されていくトンデモ条件 - AUTOMATON
https://automaton-media.com/articles/newsjp/20230629-253898/
2023/06/29(木) 22:37:08.20ID:Fg18ThD40
https://proton.me/pass
2023/06/30(金) 07:51:16.86ID:iPPpeKIB0
Proton、無料のE2EEパスワードマネジャー「Proton Pass」リリース
https://www.itmedia.co.jp/news/spv/2306/29/news108.html
2023/06/30(金) 09:04:14.64ID:pURVGFuh0
BitwardenよりもProtonの方が信頼出来そうだから使ってみたいけど有料プランの内容が良く分からんな
特に追加のボールトって何?

> Proton Passは無料だが、ログインを整理するための追加のボールト、無制限の電子メールエイリアス(無料版は10件)、無制限の2FAログインなどの追加機能を利用できる有料サブスクリプション版もある。料金は月額4.99ドルからだ。
2023/06/30(金) 09:29:38.43ID:Eg/eXLBz0
ProtonPassとりあえず無料版で試してみてるけど、悪くはなさそう
jsonインポートするとき間違えて同じものを2回インポートしてしまって重複エントリを消すのが面倒くさかったが
できればインポート時点で重複を警告するか、リストから重複エントリを一括削除できる機能があると嬉しい
Bitwardenとの違いとしては、フォルダ分けがないのとブラウザ拡張を指紋認証で解除できないってことかな
特にフォルダ分け機能がないのは地味に不便
あとはまあ慣れの問題かな?
まだまだ使いはじめたばっかりなんで完全移行するかはしばらく様子見
2023/06/30(金) 09:34:00.69ID:Eg/eXLBz0
あ、あとブラウザ拡張とAndroidアプリは日本語非対応
まあ別に困りはしないけど
886名無しさん@お腹いっぱい。
垢版 |
2023/06/30(金) 10:12:52.34ID:0xVeUnBp0
>>883
保管庫のことみたいよ

>Organize items with multiple vaults
https://account.proton.me/pass/signup
2023/06/30(金) 12:47:47.57ID:C3uWhebC0
昨日から多くのgiveawayサイトでstickypassword1年無料コード記載されてる
888名無しさん@お腹いっぱい。
垢版 |
2023/07/02(日) 01:38:51.05ID:HQ16VIPe0
PCのEnpassで完全に正しいマスターパスを入力してるのに全然うけつけてくれなくて
一回アプリ完全に終了させてからまた起動したら通った
こういうのは焦るわ
2023/07/02(日) 11:39:38.37ID:WAJOWZNC0
caps
2023/07/03(月) 00:33:17.81ID:7U9cloy20
Win10のバグでパスワード認証が通らなくて再起動するしかないというのを先程経験した
何にでもパスワードかけるのも考えものだな
自分しか使ってないからパス無しで運用するわ
2023/07/04(火) 08:51:54.51ID:3DKrwB9e0
ブラウザの拡張機能の機能で、
このサイトはわざわざマスターパスワード入れなくても自動入力する、
もしくはこのサイトはブラウザ自身の自動入力に任せる、
みたいな設定のできるものってありますか?
2023/07/04(火) 09:17:07.77ID:d79d9BIq0
今時使うたびにマスターパスワード要求するようなアプリあんの?
pinコードとか指紋認証で解除できるだろ?
2023/07/04(火) 09:50:00.93ID:9DvjLczT0
ブラウザのパスワード管理って元々サイト毎に聞かれると思うけど
何使う予定なん?
2023/07/04(火) 10:21:08.85ID:jNYfokUX0
>>891
ブラウザのパスワード自動入力の設定で、このサイトのパスワードは記憶しない、に設定しておけば良いんでない?
2023/07/04(火) 10:51:05.23ID:0xafS/gD0
マスターパスワードってのは、pinコードなども含んだものです。
毎日使うLAN内のWebページなんかは、ブラウザ自身の自動入力で十分なんだけど、
インターネット上の個人のアカウントなどは、ちゃんとマスターパスワードやpinコードを通したいです。
2023/07/04(火) 12:30:47.27ID:ykwyJPFr0
1.必要な情報は最初に全て書く
2.後出しで勝手なルールを作らない
3.拡張機能の話は各緒機能スレでやる
2023/07/04(火) 12:47:29.45ID:LQzabDYt0
てかサイトごとに設定できるのも知らないあたり
試すどころか調べもせず思い付いたことをつらつら聞いてるだけぽいな
2023/07/06(木) 19:12:16.60ID:ClRkD+BO0
ProtonPassアカウント作ろうとしたらPass Plusが永遠に月1ユーロで使えるみたいな広告出てきたんだけどその価値あるかな?
正直2FAは別のアプリ使ってるしメールのエイリアス付けれるのが嬉しいくらいかな
2023/07/07(金) 06:30:45.78ID:V3Ore5cW0
今後良い機能が追加されたりするかもという淡い期待を抱いてproton pass plus契約したわ
今んとこただUIがキレイなパスワードマネージャー
Bitwardenに比べて自動入力の精度が微妙で、ユーザー名やらパスワードコピペする羽目になる
2023/07/07(金) 15:47:48.44ID:IACnrQIN0
現状Proton PassはBitwardenから乗り換えるほどではないと思う
細かい部分の完成度はやはりBitwardenに一日の長がある
Protonの有料プランに入っててサービスを一本化したいって人にはいいかもしれない
2023/07/08(土) 00:26:52.17ID:ZpDDik7g0
正直拍子抜けだったな
せめてwardenとほぼ同等以上の機能は持ってるだろうと思ってたらオートフィルすらまともに機能しないとか
2023/07/08(土) 09:15:39.01ID:Vqh/hXtb0
お漏らしの実績がない分LastPassよりは全然いいw
903名無しさん@お腹いっぱい。
垢版 |
2023/07/08(土) 12:34:27.47ID:0JNkbNFh0
LastPass Security Notification: Login attempt blocked
という題名のメールが来てたからフィッシングかと思って念のためheaderを調べたら本物だった
じゃあアクセス元はどこかと見てみたらうちのIPアドレスだった
メインはBitwardenを使っててLastpassは放置(未ログイン状態)してる。ログインしようとした覚えはないんだが…時間は午前3時。まだ起きてたけど覚えがない
面倒くさいけど2段階認証設定しておいた(google authenticatorを使用)
2023/07/08(土) 20:37:58.10ID:P6vwuRkT0
ハッキングされてそう
2023/07/09(日) 20:53:35.07ID:shjTbHuK0
2FAしてないとか杜撰すぎる
906名無しさん@お腹いっぱい。
垢版 |
2023/07/09(日) 21:38:03.61ID:8ynAphA30
多くの人がそんなものでは?
2023/07/09(日) 21:54:59.31ID:6dGUTwts0
>>906
他でも無いLastPassでというところがポイントなのでは
2023/07/09(日) 22:47:24.64ID:t+Y2gyE80
2FAいちいち設定するの面倒だから対応していても設定してないサービス多いけど、パスワードマネージャーだけは怖いから設定してあるわ
2023/07/13(木) 20:54:12.76ID:Pvrylzp20
安全性を確保しつつPCはPC、スマホはスマホで操作が完結するのが理想
2023/07/13(木) 23:01:44.84ID:KdnNDOHT0
スマホなんて補助的にしか使わないしな
それでいて紛失のリスクが桁違いに高い
スマホでパスワードが必要なことはやらない、というのが正解
2023/07/13(木) 23:13:48.20ID:jcXFY3Os0
ストアアプリのインストールもできないな
2023/07/13(木) 23:30:38.67ID:20h66Sp80
>>909
同意な点を生かして補い合うのが良いと思うわ
2023/07/13(木) 23:32:47.10ID:20h66Sp80
>>910
盗難にあっても問題ないのがスマホだよ
2023/07/14(金) 00:23:34.57ID:ZX5JcItl0
パスキーがさっさと普及してくれることを願うわ
2023/07/14(金) 03:40:33.30ID:oeY7u2vA0
githubがpasskeyに対応したみたい
2023/07/14(金) 09:57:15.08ID:WGSMo7YO0
パスキーが普及しても、ユーザーIDやアカウント名の管理は必要だよね?
すべてのサービスがメールアドレスをユーザーIDやログイン時のIDとして使えるなら不要になるけど

個人的には登録時のメールアドレスはサービスごとにエイリアスで登録したいから、それをどうするかも悩ましい
実際に何度か、アドレスが漏れたのか、迷惑メールがサイト別に登録しているアドレス宛に来て、
漏れてることに気付いてアカウントの削除と、もうそのサービスを利用しないようにすることができた
2023/07/14(金) 11:30:14.78ID:wiMNkiZs0
そもそもパスキーが何か分かってない
物理キーか何か?
2023/07/14(金) 11:33:47.84ID:0YKeFwpc0
passkeyはsshみたいに公開鍵を使って認証するやつだよ。
ttps://fy.blackhats.net.au/blog/2023-02-02-how-hype-will-turn-your-security-key-into-junk/
ここに大まかな仕組みが書いてある。
2023/07/14(金) 13:36:39.49ID:mGfNjpVV0
MicrosoftのサイトはパスキーだけでログインできるんだがGoogleはうまくいかんなぁ
パスキー登録していてもIDとパスワードを求められる
2023/07/14(金) 15:37:48.35ID:ZIWn3VqI0
>>917
自分が知っている情報は以下です。
間違っているところがあれば、修正お願いします。

サイトに登録する時、自分のデバイスが、適当な秘密鍵と公開鍵を作成する
秘密鍵は、自分のデバイスのセキュリティの高いところに保存され、
公開鍵はサイトに送られ、サイトはそれをサーバーに保管する。

◆登録したサイトで認証するとき

認証の要求があったデバイスに対して、サイト側は

1.適当な値か文を作り、それを登録時に送られてきた公開鍵で、暗号化する
2.その暗号文を、認証要求があったデバイスに送る

自分のデバイスは、

1.その送られてきた暗号文を、自分のデバイスの中にある秘密鍵で復号する
  (この時、指紋認証や顔認証、PINやパターン認証が要求される)。
2.その復号した値をサイトに送る

サイトは復号された値(平文)が、サイト側が最初に作った値(文)と一致すれば、正規ユーザーと判断する

★公開鍵で暗号化された文は、秘密鍵でしか復号できない
★公開鍵から秘密鍵を見つけ出すのは、今のところかなり困難とされている
★したがって、サイトに保管されている公開鍵がハッキングされても、そのハッカーが認証されることはない
★秘密鍵は、OS提供会社(例えばAppleの場合)の他のデバイス(iPhone/iPad/Mac)でも使えるように、
クラウド(iCloud)に保管することができる。
また、Bluetoothで他の会社のデバイス(AndroidやWindows)に送ることもできる
★OSベンダーでない1Passwordならば、クロスプラットフォームなので「あらゆるデバイスと主要ブラウザでパスキーを使える」が、まだβ版
921名無しさん@お腹いっぱい。
垢版 |
2023/07/14(金) 17:51:13.34ID:Q1i8shER0
公開鍵がどうとかはメールサーバのやり取りと同じだね
SSL/TLS自体がネットワークの暗号技術なのでメールだけに限った話ではない
2023/07/14(金) 19:17:20.13ID:0YKeFwpc0
>>920
サーバーから来た暗号文を解読して送り返しているの?
サーバーから来たデータを秘密鍵で署名して送り返してるんじゃないの?
2023/07/14(金) 21:03:43.83ID:SJgTWHpZ0
とりあえず各社パスマネがpasskey対応してくれるとだいぶ捗る
2023/07/15(土) 00:34:28.06ID:rAQ/Nxfq0
マイナンバーもパスキー対応でお願いします
2023/07/15(土) 01:04:59.83ID:lfDiOEQf0
Bitwardenがマスターパスワードだけでもパスキー対応してくれるとありがたい
2023/07/15(土) 09:38:47.92ID:bd5JJJNQ0
ちょっと違うけどアプリ認証なら対応したんじゃね
927名無しさん@お腹いっぱい。
垢版 |
2023/07/15(土) 15:53:08.87ID:/Q+4Q4Gw0
>>922
ご指摘の通りだと思います。
以下に修正します。

◆登録したサイトで認証するとき

認証の要求があったデバイスに対して、サイト側は

1.適当な値か文を作る
2.その文を、認証要求があったデバイスに送る

自分のデバイスは、

3.その送られてきた文を、自分のデバイスの中にある秘密鍵で暗号化する
  (この時、指紋認証や顔認証、PINやパターン認証が要求される)。
4.その暗号文をサイトに送る

サイト側は

5.送られてきた暗号文を公開鍵で復号し、サイト側が最初に作った値(文)と一致すれば、正規ユーザーと判断する

★実際は、ハッシュ化したりもう少し複雑な処理が行われていると思います。
2023/07/15(土) 20:39:44.55ID:W+hlVZv30
KeePassXCで追加したカスタムアイコンってどうやって削除すればいいですか?

エントリーを編集 > アイコン > 「カスタムアイコンから選択」の欄にあるアイコンです。

間違えて追加したものを削除したり、不要なものを削除して整理したい場合です。
2023/07/22(土) 17:29:56.23ID:3YeaVc4a0
t
2023/07/23(日) 13:54:57.34ID:B+M1dgvb0
>>916
ユーザーIDやアカウント名はパスキー作成時にセットで自動保存されるよ
ただしログイン時に入力が必要かどうかはサイトによりけり
私が利用している例ではPayPalやeoは入力不要
あとマルチデバイス対応でないからパスキーとは違うけど、個人向けMicrosoftアカウントもWindows Helloでサインイン時はアカウント名入力不要(複数アカウント持っているせいか、アカウントの選択肢が出る)
ちなみにここで体験できる↓
www.passkeys.io/

パスキーは安全って言われているけど、例えばサイト側にXSSの脆弱性があったとして、パスキー作成時にサーバーに公開鍵を登録するプロセスに攻撃者が準備した公開鍵を割り込ませることができればアカウント乗っ取りができそう
そこはサイト側が対策しておく必要があるのかな
この場合パスキーそのものの脆弱性とは言えないか
2023/07/23(日) 14:08:26.45ID:FroW1dbV0
パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意
ttps://gigazine.net/news/20230721-passkey-resident/
2023/07/23(日) 14:32:36.81ID:G9oVqCUv0
https://camp-fire.jp/projects/view/674339
こういうサービス増えるのかな
2023/07/23(日) 16:25:55.77ID:VUeIPkBc0
>>932
物理鍵自体を無くしそうだ
2023/07/24(月) 08:48:27.14ID:o7O7Hnqr0
>>932
動画で「第三者が覗いても安全」みたいなアピールしてるけど、
これそのまま悪者が持ち帰っても、本人はちゃんとパスワードにアクセスできるのか?
2023/07/24(月) 08:48:32.32ID:o7O7Hnqr0
>>932
動画で「第三者が覗いても安全」みたいなアピールしてるけど、
これそのまま悪者が持ち帰っても、本人はちゃんとパスワードにアクセスできるのか?
936名無しさん@お腹いっぱい。
垢版 |
2023/07/24(月) 10:26:05.90ID:3qFHjr1m0
>>935
商品の説明を読んだらわかるよ
要するに端末にパスワード管理ツール(この商品の場合はPasswordPocket)をインストールしておいて
このデバイスが起動キーになってるから何もインストールしてない端末にペアリングできても使えないよ
だから盗まれたり紛失してもPasswordPocketのマスターパスワードさえ覚えていればアクセスできる
まあ結局アプリをインストールする時点でlastpassなどとは大差ないけどねぇ。このデバイスにログイン情報が入ってるわけないよ。ただの鍵なんだから盗んでも使えない
937名無しさん@お腹いっぱい。
垢版 |
2023/07/24(月) 10:28:18.33ID:3qFHjr1m0
つまり犯人がやるべきことは
PasswordPocketのアカウントとパスワードを入手する必要がある
ねっ、lastpassなどとあまり変わらんのがわかるでしょ
938名無しさん@お腹いっぱい。
垢版 |
2023/07/24(月) 15:55:57.35ID:3poftw6F0
これの最大のメリットはノートパソコンやスマホを紛失したり盗まれてしまっても鍵さえ手元にあれば
拾った人や盗んだ人はサイトへログインできないところかな?
セキュリティ的に微妙なので
鍵を近づけるという作業が手間だと感じない人向けなのかなぁ
2023/07/24(月) 16:13:34.99ID:WzUQdrbS0
この鍵だけが手元に残るような紛失の仕方をどんだけするかが鍵だな
2023/07/24(月) 17:56:01.46ID:6hWKeB970
母ちゃんが間違って捨てた場合とか?
941名無しさん@お腹いっぱい。
垢版 |
2023/07/24(月) 18:47:49.82ID:zAAK6eBi0
同じ鞄にしまうのは通帳と判子を一緒に入れるのと同じようなもので迂闊としかいえないけど
2023/07/24(月) 21:17:10.53ID:xy7T/N7T0
会社で貸与PCスマホとセットで運用とか
自宅に置いておく前提でとか
使い道はありそうではある
2023/07/24(月) 23:50:20.89ID:LgsqF3bL0
パスキーって数ヶ月前少しだけ話題になったけど
結局全く話題にもならなくなったな

パスワードのない社会を目指すじゃなかったのか

完全に空気
2023/07/25(火) 01:12:10.57ID:TDAsuvBF0
パスキーだと知らないで使ってそう
2023/07/25(火) 13:04:18.35ID:9jxI9x2n0
手間かからないのが売りの技術なんでね
2023/07/25(火) 21:15:35.81ID:CZ/0S5pf0
手間と安全性は反比例する
2023/07/25(火) 21:44:21.98ID:JLVnTVwW0
手間が小さいほど安全性が高いのか
ええやん
2023/07/25(火) 21:53:18.02ID:axdzzbU60
>>946
パスキーは比較的安全ではないと言いたいのか知らんが、反比例と表現するのはおかしいだろ
学校で教わったと思うが、反比例は双曲線だぞ?
2023/07/25(火) 21:55:19.12ID:O5/rXCnB0
パスキー最強
2023/07/26(水) 00:28:55.58ID:JtqQrx6X0
手間が大きいと利用者が危険な使い方するからな
2023/07/26(水) 13:43:20.50ID:CQN+4V800
俺の場合パスキーはauのログインにしか使ってない、とうかそれしか使えているものがない
2023/07/26(水) 19:13:38.56ID:djQ5O6N60
特にいじっていて不満ないけどちょいとWi-Fiの接続が安定しない
おま環?
953名無しさん@お腹いっぱい。
垢版 |
2023/07/29(土) 11:58:58.13ID:g0E98I3Q0
SafeInCloudをLinuxで使ってるやついる?
NASからのWebDAV同期で使いたいのだが。
954名無しさん@お腹いっぱい。
垢版 |
2023/08/01(火) 14:32:35.56ID:dYKqEAfp0
なんかパスキーってややこしいな。
2023/08/02(水) 05:15:54.33ID:bOLm2Mri0
>>954
なんで?
2023/08/02(水) 08:35:55.31ID:D+TE63Oy0
パスワードじゃないから
2023/08/02(水) 09:42:55.95ID:lVEJGPSY0
https://img.wanqol.com/2020/12/20c3eff2-siberian_husky_02_p01.jpg
2023/08/02(水) 23:01:03.38ID:Tw1GXZgu0
チョビ?
2023/08/03(木) 00:03:15.16ID:abc9NUF/0
おれはやるぜ!
2023/08/03(木) 08:10:40.94ID:0yyLKelP0
よんだ?
961名無しさん@お腹いっぱい。
垢版 |
2023/08/03(木) 10:07:29.29ID:MWAFVeqv0
>>955
iOSでやれば、pc連携とか
外pcからログインってどうなるとか。
すまん。
2023/08/03(木) 12:36:53.13ID:QLvkfufD0
>>957
それはハスキー
2023/08/03(木) 13:50:07.34ID:1xDudFhB0
素で誤爆だと思ってたわw
964名無しさん@お腹いっぱい。
垢版 |
2023/08/07(月) 07:21:54.08ID:9myoK2e90
1passwordでホムペからパスワードを変えるとCHROMEの拡張機能アプリとパスワードがかわっちゃうんですか?
逆もまた然り
2023/08/07(月) 09:31:33.28ID:Paq2O2LL0
しっかりしろ
966名無しさん@お腹いっぱい。
垢版 |
2023/08/07(月) 09:58:11.68ID:q49axban0
そりゃ変わるよ当然
2023/08/08(火) 07:03:57.09ID:ccF0jqBQ0
しっかりしな
そして俺のお腹はぽっこり
それみた嫁はほっこり
2023/08/08(火) 07:04:10.91ID:ccF0jqBQ0
嫁いないけど
2023/08/08(火) 07:35:24.24ID:fZUdwlQQ0
泣けるな
2023/08/08(火) 07:50:16.71ID:ccF0jqBQ0
>>961
iOSは独自すぎて使いづらいから使ってない
パスキー無い外からログイン時は普通に今まで通りの使い方
或いはパスキー持ち歩くかWindowsGoにするか
2023/08/09(水) 17:08:39.62ID:aIXBE6Bb0
最新のkeepassXCをMACで使っています
終了時に毎回予期せぬエラーが出るようになりました
無視で普通に閉じることは出来るのですが解決方法ご存知の方いらっしゃいますか?
再インストールしてみても変わりません
972名無しさん@お腹いっぱい。
垢版 |
2023/08/09(水) 18:44:44.41ID:2Pc9MD7z0
bitwardenブラウザアドオン版で、ブラウザを立ち上げた際、ビットウォーデンのサイドバーが出ないようにしたい。
誰か、やり方、ご存知ないか?
2023/08/10(木) 05:10:39.14ID:kWG9DB9g0
サイドバー??
逆にどうやったらそんなものが出るのか知りたい
うちはChromeだけどアドレスバー右に拡張機能のアイコンがあるだけで何も起こらない
974名無しさん@お腹いっぱい。
垢版 |
2023/08/10(木) 09:25:43.22ID:ynCvyw5t0
>>973

ありがとう。
入れ直したら出るようになってしまって・・・
邪魔で困る!
975名無しさん@お腹いっぱい。
垢版 |
2023/08/10(木) 14:09:52.67ID:/NtrAUKb0
>>974
んー
試してみたが出てこないですね
出てこないのでどんなものかわかりませんけど
まあ頑張ってください。こっちは問題ないので!
976名無しさん@お腹いっぱい。
垢版 |
2023/08/10(木) 17:49:36.33ID:3Hi6/Px00
どんな風になるのかスクショ見てみたい
2023/08/16(水) 12:19:14.60ID:ENoc6vex0
KeePassXC 2.7.6 released - KeePassXC
https://keepassxc.org/blog/2023-08-15-2.7.6-released/
2023/08/18(金) 08:27:48.93ID:cGeX3HrB0
XCって指紋認証つかえるけど、結局マスターパスワードも入力するから無意味
2023/08/18(金) 08:28:05.50ID:cGeX3HrB0
XCって指紋認証つかえるけど、結局マスターパスワードも入力するから無意味
2023/08/19(土) 16:50:49.66ID:uR1cfZIa0
テンプレのないシンプルなスレなのでサクッと次スレ立てようと思うけどまだ早い?
2023/08/19(土) 17:16:54.40ID:EtLr2jqO0
スレ消費に1年か ソフ板にしては早いほうか
2023/08/19(土) 17:55:54.14ID:aYtwx1BP0
>>980
980レス目で早いってことは無いと思うのでお願いします
2023/08/19(土) 18:05:42.30ID:uR1cfZIa0
次スレ立てましたー

パスワード管理ツール Part15
https://egg.5ch.net/test/read.cgi/software/1692435902/
2023/08/19(土) 18:17:19.43ID:9cfgyueX0
うめ
985名無しさん@お腹いっぱい。
垢版 |
2023/08/19(土) 18:24:03.07ID:2kj7DdPA0
keepass!
2023/08/19(土) 18:58:23.24ID:cuI+xfFC0
KeePass+Dropboxで10年近く使ってるが
KeePassと組み合わせるクラウドストレージは最近はどれがおすすめ?
2023/08/19(土) 19:03:56.81ID:ZiSBKHdV0
>>986
Syncthing
2023/08/19(土) 19:15:05.78ID:KslrXQoC0
>>983
おつ
989名無しさん@お腹いっぱい。
垢版 |
2023/08/23(水) 15:40:34.16ID:xEQ7hhO40
>>986
keepassとgoogleドライブで使ってる
2023/08/23(水) 17:52:43.70ID:CyfwzxEE0
>>986
Dropboxで10年は使ってる
不具合ないしオススメ
2023/08/23(水) 23:18:15.49ID:+Pkloo7m0
スマホからフォルダとしてアクセスできるクラウドストレージって何かある?
2023/08/23(水) 23:39:08.43ID:5nja9Gwg0
>>991
環境など情報が少なすぎるしスレチだし
2023/08/24(木) 08:06:41.08ID:gvnQwvFc0
最適解を教えて欲しい
管理ツールの
2023/08/24(木) 08:12:49.19ID:Vl3m/cAf0
>>993
まずは有料と無料で別れるので決められないっしょ
2023/08/24(木) 08:16:32.98ID:Vl3m/cAf0
Win, Mac, Android, iOSのどれで使うか?それでも別れるし
2023/08/24(木) 08:19:24.89ID:SqBDxN8M0
>>993
自分の頭を使わず丸投げするならセキュリティ会社と契約しろ
2023/08/24(木) 08:38:25.06ID:GdSec8JZ0
使う人間がセキュリティホールじゃどんなに優れた管理ツールも無意味だからね
2023/08/24(木) 08:41:05.26ID:Ic8erAIU0
>>993
ノートと鉛筆
2023/08/24(木) 09:54:26.84ID:WbJOl2d90
999 wqwq
2023/08/24(木) 09:59:25.16ID:Ic8erAIU0
↓星野
10011001
垢版 |
Over 1000Thread
このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 383日 16時間 36分 20秒
10021002
垢版 |
Over 1000Thread
5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。


───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────

会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。

▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/

▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
レス数が1000を超えています。これ以上書き込みはできません。
5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。
ニューススポーツなんでも実況