パスワード管理ツール(ソフトウェア)について語るスレです。
前スレ
パスワード管理ツール Part13
https://egg.5ch.net/test/read.cgi/software/1652093055/
探検
パスワード管理ツール Part14
レス数が900を超えています。1000を超えると表示できなくなるよ。
2022/08/05(金) 17:23:05.97ID:ZlD76Hsv0
2023/06/08(木) 01:03:17.22ID:J5Ui6dUT0
(*´゚Д゚)y━・~ プハァ
2023/06/08(木) 04:53:31.27ID:uz8YrDGE0
2023/06/08(木) 07:20:09.16ID:VQnjF/gX0
おまいらはマルウェアが動いているPCでもパスワードが漏洩せずに使える方法があると思っているの?
2023/06/08(木) 09:27:21.49ID:E2tqzRwt0
そんな事言いだしたら
新しいドライブに引っ越しする時マルウェア入ってるかもしれないからクリーンインストールしろよってことになるじゃん
新しいドライブに引っ越しする時マルウェア入ってるかもしれないからクリーンインストールしろよってことになるじゃん
2023/06/08(木) 10:10:54.67ID:r64CMH530
ならんやろ
2023/06/08(木) 21:28:27.37ID:6hjhWIah0
マルウェアが入ってないなら4桁の数字でいいや
2023/06/08(木) 21:39:38.13ID:r64CMH530
マルウェアが入ってたら何してもアウト
2023/06/08(木) 21:39:54.36ID:KvR1IdGS0
マルウェアの検出はみなさん何を使ってます?
2023/06/08(木) 22:28:05.58ID:OG0Sll6L0
>>852
ソースコード確認
ソースコード確認
2023/06/09(金) 07:55:18.75ID:Y76z/x+I0
マルウェアが堂々とOSSに含まれたまま配布って事件あったな
OSSは多くの目に晒されるから~って安全性の根拠、
実際は多くの節穴に晒されてるだけだった
OSSは多くの目に晒されるから~って安全性の根拠、
実際は多くの節穴に晒されてるだけだった
2023/06/09(金) 08:12:58.91ID:R38tvkBk0
ちゃんと発覚しとるがな
2023/06/09(金) 20:12:50.60ID:e2pwTO5K0
2023/06/09(金) 20:21:34.28ID:zfREdbWQ0
クローズドソースは信用する必要があるからオープンソースは必要ないけど
2023/06/09(金) 22:43:18.91ID:sKNzP9K10
>>857
オープンソースだからといって安心してる阿呆もいるんだな
オープンソースだからといって安心してる阿呆もいるんだな
2023/06/09(金) 23:47:44.26ID:ky8DRaYZ0
>>858
曲解しすぎ
曲解しすぎ
2023/06/09(金) 23:54:37.56ID:R38tvkBk0
悪意が無いと仮定すれば、どれだけレビューやテストにコストをかけられるかだから、
オープンソースだからというのは決定的な要件にはならない
どうやって作ってもバグる時はバグる
オープンソースだからというのは決定的な要件にはならない
どうやって作ってもバグる時はバグる
2023/06/13(火) 08:56:50.19ID:uBglZssL0
ブラウザからパスワードの入力画面がポップアップすることってよくあると思うけど、
keepassってポップアップを認識できない?
keepassってポップアップを認識できない?
2023/06/13(火) 09:13:34.01ID:EtabQATk0
ポップアップ以前にkeepass本家はブラウザ入力補助機能なんて付いてないぞ
拡張か派生の話だと思うけどどれのことだかちゃんと名称書いてくれ
拡張か派生の話だと思うけどどれのことだかちゃんと名称書いてくれ
2023/06/13(火) 09:24:40.73ID:uBglZssL0
厳密にはKeeだな
2023/06/13(火) 13:24:38.17ID:FFUF/L0T0
試してみたいけどどのサイトのログイン画面がポップアップなのか覚えていないので試せないw
2023/06/13(火) 13:52:00.18ID:uBglZssL0
Keeも以前はkeepassという名前だったような
2023/06/13(火) 16:40:57.19ID:EtabQATk0
keeってなんだと思ってググったが Kee Vaultのことか?
正式名称書けない呪いにでもかかってんの?
正式名称書けない呪いにでもかかってんの?
2023/06/13(火) 16:58:19.11ID:uBglZssL0
いや、違うけど
どう見ても詳しくなさそうだから、無理して答えなくていいよ
どう見ても詳しくなさそうだから、無理して答えなくていいよ
2023/06/13(火) 21:40:46.84ID:Ao2hfv410
KeeはもともとKeeFoxって名前だったはず
Keeになってからググラビリティ落ちたよね
昔は使ってたが、今はKeePassXC使ってるから使ってない
XCに乗り換えられない理由はあるの?
同じデータベースで本家とXCの併用もできるよ
あと、どのサイトかわからないと検証しようがないよ
Keeになってからググラビリティ落ちたよね
昔は使ってたが、今はKeePassXC使ってるから使ってない
XCに乗り換えられない理由はあるの?
同じデータベースで本家とXCの併用もできるよ
あと、どのサイトかわからないと検証しようがないよ
2023/06/14(水) 09:06:29.11ID:EK1bwPfz0
そう言えばKeeFoxってあったなfoxって言うからにはFirefoxのfoxか?
そう考えるとkeepass、keeを使ってる人はFirefoxを使ってるって事かな
Firefoxもかつてはシェア凄かったのにエンジンも含めてChromeに駆逐されそうだよな……
そう考えるとkeepass、keeを使ってる人はFirefoxを使ってるって事かな
Firefoxもかつてはシェア凄かったのにエンジンも含めてChromeに駆逐されそうだよな……
2023/06/14(水) 09:38:52.06ID:aeuCSFxJ0
firefoxでkeeを使ってて、今はedgeでkeeを使ってる
chromeにもある筈
chromeにもある筈
2023/06/14(水) 10:11:51.22ID:bWOjtBsJ0
Firefox Chrome 両方あるね
Kee Vaultは同じベンダーのアプリ名で 会社名でもある
Kee Vaultは同じベンダーのアプリ名で 会社名でもある
2023/06/21(水) 01:52:22.16ID:A5i3+/2a0
CVE-2023–35866
2023/06/21(水) 03:40:29.22ID:8KUPSjau0
2023/06/22(木) 21:39:54.87ID:yqT9PFmD0
しょーもないことで揉めるな
2023/06/24(土) 16:25:42.28ID:fdMoGABZ0
Bitwardenだけど、ブラウザ上から編集した場合
スマホなどの端末と同期されるのに時間かかります?
スマホなどの端末と同期されるのに時間かかります?
2023/06/24(土) 17:57:46.27ID:yNObCZJK0
>>875
かからない。ブラウザのページを更新をすればすぐに同期してるよ。
かからない。ブラウザのページを更新をすればすぐに同期してるよ。
2023/06/26(月) 20:50:38.64ID:F5x70Dfb0
なんか毎回マスターパスワード入れるのが面倒になってきた
2023/06/26(月) 22:43:10.07ID:k6eusQMj0
指紋認証しようや
2023/06/27(火) 10:17:48.07ID:CY2TcYXX0
ペリアの指紋認証壊れててマジうざい
新機種来月届くからこのまま行くけど
新機種来月届くからこのまま行くけど
2023/06/29(木) 19:27:41.56ID:PIAcMG3A0
パスワードづくりゲーム『The Password Game』無料公開され“難しすぎる”と注目浴びる。
次々と継ぎ足されていくトンデモ条件 - AUTOMATON
https://automaton-media.com/articles/newsjp/20230629-253898/
次々と継ぎ足されていくトンデモ条件 - AUTOMATON
https://automaton-media.com/articles/newsjp/20230629-253898/
2023/06/29(木) 22:37:08.20ID:Fg18ThD40
2023/06/30(金) 07:51:16.86ID:iPPpeKIB0
Proton、無料のE2EEパスワードマネジャー「Proton Pass」リリース
https://www.itmedia.co.jp/news/spv/2306/29/news108.html
https://www.itmedia.co.jp/news/spv/2306/29/news108.html
2023/06/30(金) 09:04:14.64ID:pURVGFuh0
BitwardenよりもProtonの方が信頼出来そうだから使ってみたいけど有料プランの内容が良く分からんな
特に追加のボールトって何?
> Proton Passは無料だが、ログインを整理するための追加のボールト、無制限の電子メールエイリアス(無料版は10件)、無制限の2FAログインなどの追加機能を利用できる有料サブスクリプション版もある。料金は月額4.99ドルからだ。
特に追加のボールトって何?
> Proton Passは無料だが、ログインを整理するための追加のボールト、無制限の電子メールエイリアス(無料版は10件)、無制限の2FAログインなどの追加機能を利用できる有料サブスクリプション版もある。料金は月額4.99ドルからだ。
2023/06/30(金) 09:29:38.43ID:Eg/eXLBz0
ProtonPassとりあえず無料版で試してみてるけど、悪くはなさそう
jsonインポートするとき間違えて同じものを2回インポートしてしまって重複エントリを消すのが面倒くさかったが
できればインポート時点で重複を警告するか、リストから重複エントリを一括削除できる機能があると嬉しい
Bitwardenとの違いとしては、フォルダ分けがないのとブラウザ拡張を指紋認証で解除できないってことかな
特にフォルダ分け機能がないのは地味に不便
あとはまあ慣れの問題かな?
まだまだ使いはじめたばっかりなんで完全移行するかはしばらく様子見
jsonインポートするとき間違えて同じものを2回インポートしてしまって重複エントリを消すのが面倒くさかったが
できればインポート時点で重複を警告するか、リストから重複エントリを一括削除できる機能があると嬉しい
Bitwardenとの違いとしては、フォルダ分けがないのとブラウザ拡張を指紋認証で解除できないってことかな
特にフォルダ分け機能がないのは地味に不便
あとはまあ慣れの問題かな?
まだまだ使いはじめたばっかりなんで完全移行するかはしばらく様子見
2023/06/30(金) 09:34:00.69ID:Eg/eXLBz0
あ、あとブラウザ拡張とAndroidアプリは日本語非対応
まあ別に困りはしないけど
まあ別に困りはしないけど
886名無しさん@お腹いっぱい。
2023/06/30(金) 10:12:52.34ID:0xVeUnBp02023/06/30(金) 12:47:47.57ID:C3uWhebC0
昨日から多くのgiveawayサイトでstickypassword1年無料コード記載されてる
888名無しさん@お腹いっぱい。
2023/07/02(日) 01:38:51.05ID:HQ16VIPe0 PCのEnpassで完全に正しいマスターパスを入力してるのに全然うけつけてくれなくて
一回アプリ完全に終了させてからまた起動したら通った
こういうのは焦るわ
一回アプリ完全に終了させてからまた起動したら通った
こういうのは焦るわ
2023/07/02(日) 11:39:38.37ID:WAJOWZNC0
caps
2023/07/03(月) 00:33:17.81ID:7U9cloy20
Win10のバグでパスワード認証が通らなくて再起動するしかないというのを先程経験した
何にでもパスワードかけるのも考えものだな
自分しか使ってないからパス無しで運用するわ
何にでもパスワードかけるのも考えものだな
自分しか使ってないからパス無しで運用するわ
2023/07/04(火) 08:51:54.51ID:3DKrwB9e0
ブラウザの拡張機能の機能で、
このサイトはわざわざマスターパスワード入れなくても自動入力する、
もしくはこのサイトはブラウザ自身の自動入力に任せる、
みたいな設定のできるものってありますか?
このサイトはわざわざマスターパスワード入れなくても自動入力する、
もしくはこのサイトはブラウザ自身の自動入力に任せる、
みたいな設定のできるものってありますか?
2023/07/04(火) 09:17:07.77ID:d79d9BIq0
今時使うたびにマスターパスワード要求するようなアプリあんの?
pinコードとか指紋認証で解除できるだろ?
pinコードとか指紋認証で解除できるだろ?
2023/07/04(火) 09:50:00.93ID:9DvjLczT0
ブラウザのパスワード管理って元々サイト毎に聞かれると思うけど
何使う予定なん?
何使う予定なん?
2023/07/04(火) 10:21:08.85ID:jNYfokUX0
>>891
ブラウザのパスワード自動入力の設定で、このサイトのパスワードは記憶しない、に設定しておけば良いんでない?
ブラウザのパスワード自動入力の設定で、このサイトのパスワードは記憶しない、に設定しておけば良いんでない?
2023/07/04(火) 10:51:05.23ID:0xafS/gD0
マスターパスワードってのは、pinコードなども含んだものです。
毎日使うLAN内のWebページなんかは、ブラウザ自身の自動入力で十分なんだけど、
インターネット上の個人のアカウントなどは、ちゃんとマスターパスワードやpinコードを通したいです。
毎日使うLAN内のWebページなんかは、ブラウザ自身の自動入力で十分なんだけど、
インターネット上の個人のアカウントなどは、ちゃんとマスターパスワードやpinコードを通したいです。
2023/07/04(火) 12:30:47.27ID:ykwyJPFr0
1.必要な情報は最初に全て書く
2.後出しで勝手なルールを作らない
3.拡張機能の話は各緒機能スレでやる
2.後出しで勝手なルールを作らない
3.拡張機能の話は各緒機能スレでやる
2023/07/04(火) 12:47:29.45ID:LQzabDYt0
てかサイトごとに設定できるのも知らないあたり
試すどころか調べもせず思い付いたことをつらつら聞いてるだけぽいな
試すどころか調べもせず思い付いたことをつらつら聞いてるだけぽいな
2023/07/06(木) 19:12:16.60ID:ClRkD+BO0
ProtonPassアカウント作ろうとしたらPass Plusが永遠に月1ユーロで使えるみたいな広告出てきたんだけどその価値あるかな?
正直2FAは別のアプリ使ってるしメールのエイリアス付けれるのが嬉しいくらいかな
正直2FAは別のアプリ使ってるしメールのエイリアス付けれるのが嬉しいくらいかな
2023/07/07(金) 06:30:45.78ID:V3Ore5cW0
今後良い機能が追加されたりするかもという淡い期待を抱いてproton pass plus契約したわ
今んとこただUIがキレイなパスワードマネージャー
Bitwardenに比べて自動入力の精度が微妙で、ユーザー名やらパスワードコピペする羽目になる
今んとこただUIがキレイなパスワードマネージャー
Bitwardenに比べて自動入力の精度が微妙で、ユーザー名やらパスワードコピペする羽目になる
2023/07/07(金) 15:47:48.44ID:IACnrQIN0
現状Proton PassはBitwardenから乗り換えるほどではないと思う
細かい部分の完成度はやはりBitwardenに一日の長がある
Protonの有料プランに入っててサービスを一本化したいって人にはいいかもしれない
細かい部分の完成度はやはりBitwardenに一日の長がある
Protonの有料プランに入っててサービスを一本化したいって人にはいいかもしれない
2023/07/08(土) 00:26:52.17ID:ZpDDik7g0
正直拍子抜けだったな
せめてwardenとほぼ同等以上の機能は持ってるだろうと思ってたらオートフィルすらまともに機能しないとか
せめてwardenとほぼ同等以上の機能は持ってるだろうと思ってたらオートフィルすらまともに機能しないとか
2023/07/08(土) 09:15:39.01ID:Vqh/hXtb0
お漏らしの実績がない分LastPassよりは全然いいw
903名無しさん@お腹いっぱい。
2023/07/08(土) 12:34:27.47ID:0JNkbNFh0 LastPass Security Notification: Login attempt blocked
という題名のメールが来てたからフィッシングかと思って念のためheaderを調べたら本物だった
じゃあアクセス元はどこかと見てみたらうちのIPアドレスだった
メインはBitwardenを使っててLastpassは放置(未ログイン状態)してる。ログインしようとした覚えはないんだが…時間は午前3時。まだ起きてたけど覚えがない
面倒くさいけど2段階認証設定しておいた(google authenticatorを使用)
という題名のメールが来てたからフィッシングかと思って念のためheaderを調べたら本物だった
じゃあアクセス元はどこかと見てみたらうちのIPアドレスだった
メインはBitwardenを使っててLastpassは放置(未ログイン状態)してる。ログインしようとした覚えはないんだが…時間は午前3時。まだ起きてたけど覚えがない
面倒くさいけど2段階認証設定しておいた(google authenticatorを使用)
2023/07/08(土) 20:37:58.10ID:P6vwuRkT0
ハッキングされてそう
2023/07/09(日) 20:53:35.07ID:shjTbHuK0
2FAしてないとか杜撰すぎる
906名無しさん@お腹いっぱい。
2023/07/09(日) 21:38:03.61ID:8ynAphA30 多くの人がそんなものでは?
2023/07/09(日) 21:54:59.31ID:6dGUTwts0
>>906
他でも無いLastPassでというところがポイントなのでは
他でも無いLastPassでというところがポイントなのでは
2023/07/09(日) 22:47:24.64ID:t+Y2gyE80
2FAいちいち設定するの面倒だから対応していても設定してないサービス多いけど、パスワードマネージャーだけは怖いから設定してあるわ
2023/07/13(木) 20:54:12.76ID:Pvrylzp20
安全性を確保しつつPCはPC、スマホはスマホで操作が完結するのが理想
2023/07/13(木) 23:01:44.84ID:KdnNDOHT0
スマホなんて補助的にしか使わないしな
それでいて紛失のリスクが桁違いに高い
スマホでパスワードが必要なことはやらない、というのが正解
それでいて紛失のリスクが桁違いに高い
スマホでパスワードが必要なことはやらない、というのが正解
2023/07/13(木) 23:13:48.20ID:jcXFY3Os0
ストアアプリのインストールもできないな
2023/07/13(木) 23:30:38.67ID:20h66Sp80
>>909
同意な点を生かして補い合うのが良いと思うわ
同意な点を生かして補い合うのが良いと思うわ
2023/07/13(木) 23:32:47.10ID:20h66Sp80
>>910
盗難にあっても問題ないのがスマホだよ
盗難にあっても問題ないのがスマホだよ
2023/07/14(金) 00:23:34.57ID:ZX5JcItl0
パスキーがさっさと普及してくれることを願うわ
2023/07/14(金) 03:40:33.30ID:oeY7u2vA0
githubがpasskeyに対応したみたい
2023/07/14(金) 09:57:15.08ID:WGSMo7YO0
パスキーが普及しても、ユーザーIDやアカウント名の管理は必要だよね?
すべてのサービスがメールアドレスをユーザーIDやログイン時のIDとして使えるなら不要になるけど
個人的には登録時のメールアドレスはサービスごとにエイリアスで登録したいから、それをどうするかも悩ましい
実際に何度か、アドレスが漏れたのか、迷惑メールがサイト別に登録しているアドレス宛に来て、
漏れてることに気付いてアカウントの削除と、もうそのサービスを利用しないようにすることができた
すべてのサービスがメールアドレスをユーザーIDやログイン時のIDとして使えるなら不要になるけど
個人的には登録時のメールアドレスはサービスごとにエイリアスで登録したいから、それをどうするかも悩ましい
実際に何度か、アドレスが漏れたのか、迷惑メールがサイト別に登録しているアドレス宛に来て、
漏れてることに気付いてアカウントの削除と、もうそのサービスを利用しないようにすることができた
2023/07/14(金) 11:30:14.78ID:wiMNkiZs0
そもそもパスキーが何か分かってない
物理キーか何か?
物理キーか何か?
2023/07/14(金) 11:33:47.84ID:0YKeFwpc0
passkeyはsshみたいに公開鍵を使って認証するやつだよ。
ttps://fy.blackhats.net.au/blog/2023-02-02-how-hype-will-turn-your-security-key-into-junk/
ここに大まかな仕組みが書いてある。
ttps://fy.blackhats.net.au/blog/2023-02-02-how-hype-will-turn-your-security-key-into-junk/
ここに大まかな仕組みが書いてある。
2023/07/14(金) 13:36:39.49ID:mGfNjpVV0
MicrosoftのサイトはパスキーだけでログインできるんだがGoogleはうまくいかんなぁ
パスキー登録していてもIDとパスワードを求められる
パスキー登録していてもIDとパスワードを求められる
2023/07/14(金) 15:37:48.35ID:ZIWn3VqI0
>>917
自分が知っている情報は以下です。
間違っているところがあれば、修正お願いします。
サイトに登録する時、自分のデバイスが、適当な秘密鍵と公開鍵を作成する
秘密鍵は、自分のデバイスのセキュリティの高いところに保存され、
公開鍵はサイトに送られ、サイトはそれをサーバーに保管する。
◆登録したサイトで認証するとき
認証の要求があったデバイスに対して、サイト側は
1.適当な値か文を作り、それを登録時に送られてきた公開鍵で、暗号化する
2.その暗号文を、認証要求があったデバイスに送る
自分のデバイスは、
1.その送られてきた暗号文を、自分のデバイスの中にある秘密鍵で復号する
(この時、指紋認証や顔認証、PINやパターン認証が要求される)。
2.その復号した値をサイトに送る
サイトは復号された値(平文)が、サイト側が最初に作った値(文)と一致すれば、正規ユーザーと判断する
★公開鍵で暗号化された文は、秘密鍵でしか復号できない
★公開鍵から秘密鍵を見つけ出すのは、今のところかなり困難とされている
★したがって、サイトに保管されている公開鍵がハッキングされても、そのハッカーが認証されることはない
★秘密鍵は、OS提供会社(例えばAppleの場合)の他のデバイス(iPhone/iPad/Mac)でも使えるように、
クラウド(iCloud)に保管することができる。
また、Bluetoothで他の会社のデバイス(AndroidやWindows)に送ることもできる
★OSベンダーでない1Passwordならば、クロスプラットフォームなので「あらゆるデバイスと主要ブラウザでパスキーを使える」が、まだβ版
自分が知っている情報は以下です。
間違っているところがあれば、修正お願いします。
サイトに登録する時、自分のデバイスが、適当な秘密鍵と公開鍵を作成する
秘密鍵は、自分のデバイスのセキュリティの高いところに保存され、
公開鍵はサイトに送られ、サイトはそれをサーバーに保管する。
◆登録したサイトで認証するとき
認証の要求があったデバイスに対して、サイト側は
1.適当な値か文を作り、それを登録時に送られてきた公開鍵で、暗号化する
2.その暗号文を、認証要求があったデバイスに送る
自分のデバイスは、
1.その送られてきた暗号文を、自分のデバイスの中にある秘密鍵で復号する
(この時、指紋認証や顔認証、PINやパターン認証が要求される)。
2.その復号した値をサイトに送る
サイトは復号された値(平文)が、サイト側が最初に作った値(文)と一致すれば、正規ユーザーと判断する
★公開鍵で暗号化された文は、秘密鍵でしか復号できない
★公開鍵から秘密鍵を見つけ出すのは、今のところかなり困難とされている
★したがって、サイトに保管されている公開鍵がハッキングされても、そのハッカーが認証されることはない
★秘密鍵は、OS提供会社(例えばAppleの場合)の他のデバイス(iPhone/iPad/Mac)でも使えるように、
クラウド(iCloud)に保管することができる。
また、Bluetoothで他の会社のデバイス(AndroidやWindows)に送ることもできる
★OSベンダーでない1Passwordならば、クロスプラットフォームなので「あらゆるデバイスと主要ブラウザでパスキーを使える」が、まだβ版
921名無しさん@お腹いっぱい。
2023/07/14(金) 17:51:13.34ID:Q1i8shER0 公開鍵がどうとかはメールサーバのやり取りと同じだね
SSL/TLS自体がネットワークの暗号技術なのでメールだけに限った話ではない
SSL/TLS自体がネットワークの暗号技術なのでメールだけに限った話ではない
2023/07/14(金) 19:17:20.13ID:0YKeFwpc0
2023/07/14(金) 21:03:43.83ID:SJgTWHpZ0
とりあえず各社パスマネがpasskey対応してくれるとだいぶ捗る
2023/07/15(土) 00:34:28.06ID:rAQ/Nxfq0
マイナンバーもパスキー対応でお願いします
2023/07/15(土) 01:04:59.83ID:lfDiOEQf0
Bitwardenがマスターパスワードだけでもパスキー対応してくれるとありがたい
2023/07/15(土) 09:38:47.92ID:bd5JJJNQ0
ちょっと違うけどアプリ認証なら対応したんじゃね
927名無しさん@お腹いっぱい。
2023/07/15(土) 15:53:08.87ID:/Q+4Q4Gw0 >>922
ご指摘の通りだと思います。
以下に修正します。
◆登録したサイトで認証するとき
認証の要求があったデバイスに対して、サイト側は
1.適当な値か文を作る
2.その文を、認証要求があったデバイスに送る
自分のデバイスは、
3.その送られてきた文を、自分のデバイスの中にある秘密鍵で暗号化する
(この時、指紋認証や顔認証、PINやパターン認証が要求される)。
4.その暗号文をサイトに送る
サイト側は
5.送られてきた暗号文を公開鍵で復号し、サイト側が最初に作った値(文)と一致すれば、正規ユーザーと判断する
★実際は、ハッシュ化したりもう少し複雑な処理が行われていると思います。
ご指摘の通りだと思います。
以下に修正します。
◆登録したサイトで認証するとき
認証の要求があったデバイスに対して、サイト側は
1.適当な値か文を作る
2.その文を、認証要求があったデバイスに送る
自分のデバイスは、
3.その送られてきた文を、自分のデバイスの中にある秘密鍵で暗号化する
(この時、指紋認証や顔認証、PINやパターン認証が要求される)。
4.その暗号文をサイトに送る
サイト側は
5.送られてきた暗号文を公開鍵で復号し、サイト側が最初に作った値(文)と一致すれば、正規ユーザーと判断する
★実際は、ハッシュ化したりもう少し複雑な処理が行われていると思います。
2023/07/15(土) 20:39:44.55ID:W+hlVZv30
KeePassXCで追加したカスタムアイコンってどうやって削除すればいいですか?
エントリーを編集 > アイコン > 「カスタムアイコンから選択」の欄にあるアイコンです。
間違えて追加したものを削除したり、不要なものを削除して整理したい場合です。
エントリーを編集 > アイコン > 「カスタムアイコンから選択」の欄にあるアイコンです。
間違えて追加したものを削除したり、不要なものを削除して整理したい場合です。
2023/07/22(土) 17:29:56.23ID:3YeaVc4a0
t
2023/07/23(日) 13:54:57.34ID:B+M1dgvb0
>>916
ユーザーIDやアカウント名はパスキー作成時にセットで自動保存されるよ
ただしログイン時に入力が必要かどうかはサイトによりけり
私が利用している例ではPayPalやeoは入力不要
あとマルチデバイス対応でないからパスキーとは違うけど、個人向けMicrosoftアカウントもWindows Helloでサインイン時はアカウント名入力不要(複数アカウント持っているせいか、アカウントの選択肢が出る)
ちなみにここで体験できる↓
www.passkeys.io/
パスキーは安全って言われているけど、例えばサイト側にXSSの脆弱性があったとして、パスキー作成時にサーバーに公開鍵を登録するプロセスに攻撃者が準備した公開鍵を割り込ませることができればアカウント乗っ取りができそう
そこはサイト側が対策しておく必要があるのかな
この場合パスキーそのものの脆弱性とは言えないか
ユーザーIDやアカウント名はパスキー作成時にセットで自動保存されるよ
ただしログイン時に入力が必要かどうかはサイトによりけり
私が利用している例ではPayPalやeoは入力不要
あとマルチデバイス対応でないからパスキーとは違うけど、個人向けMicrosoftアカウントもWindows Helloでサインイン時はアカウント名入力不要(複数アカウント持っているせいか、アカウントの選択肢が出る)
ちなみにここで体験できる↓
www.passkeys.io/
パスキーは安全って言われているけど、例えばサイト側にXSSの脆弱性があったとして、パスキー作成時にサーバーに公開鍵を登録するプロセスに攻撃者が準備した公開鍵を割り込ませることができればアカウント乗っ取りができそう
そこはサイト側が対策しておく必要があるのかな
この場合パスキーそのものの脆弱性とは言えないか
2023/07/23(日) 14:08:26.45ID:FroW1dbV0
パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意
ttps://gigazine.net/news/20230721-passkey-resident/
ttps://gigazine.net/news/20230721-passkey-resident/
2023/07/23(日) 14:32:36.81ID:G9oVqCUv0
https://camp-fire.jp/projects/view/674339
こういうサービス増えるのかな
こういうサービス増えるのかな
2023/07/23(日) 16:25:55.77ID:VUeIPkBc0
>>932
物理鍵自体を無くしそうだ
物理鍵自体を無くしそうだ
2023/07/24(月) 08:48:27.14ID:o7O7Hnqr0
2023/07/24(月) 08:48:32.32ID:o7O7Hnqr0
936名無しさん@お腹いっぱい。
2023/07/24(月) 10:26:05.90ID:3qFHjr1m0 >>935
商品の説明を読んだらわかるよ
要するに端末にパスワード管理ツール(この商品の場合はPasswordPocket)をインストールしておいて
このデバイスが起動キーになってるから何もインストールしてない端末にペアリングできても使えないよ
だから盗まれたり紛失してもPasswordPocketのマスターパスワードさえ覚えていればアクセスできる
まあ結局アプリをインストールする時点でlastpassなどとは大差ないけどねぇ。このデバイスにログイン情報が入ってるわけないよ。ただの鍵なんだから盗んでも使えない
商品の説明を読んだらわかるよ
要するに端末にパスワード管理ツール(この商品の場合はPasswordPocket)をインストールしておいて
このデバイスが起動キーになってるから何もインストールしてない端末にペアリングできても使えないよ
だから盗まれたり紛失してもPasswordPocketのマスターパスワードさえ覚えていればアクセスできる
まあ結局アプリをインストールする時点でlastpassなどとは大差ないけどねぇ。このデバイスにログイン情報が入ってるわけないよ。ただの鍵なんだから盗んでも使えない
937名無しさん@お腹いっぱい。
2023/07/24(月) 10:28:18.33ID:3qFHjr1m0 つまり犯人がやるべきことは
PasswordPocketのアカウントとパスワードを入手する必要がある
ねっ、lastpassなどとあまり変わらんのがわかるでしょ
PasswordPocketのアカウントとパスワードを入手する必要がある
ねっ、lastpassなどとあまり変わらんのがわかるでしょ
938名無しさん@お腹いっぱい。
2023/07/24(月) 15:55:57.35ID:3poftw6F0 これの最大のメリットはノートパソコンやスマホを紛失したり盗まれてしまっても鍵さえ手元にあれば
拾った人や盗んだ人はサイトへログインできないところかな?
セキュリティ的に微妙なので
鍵を近づけるという作業が手間だと感じない人向けなのかなぁ
拾った人や盗んだ人はサイトへログインできないところかな?
セキュリティ的に微妙なので
鍵を近づけるという作業が手間だと感じない人向けなのかなぁ
2023/07/24(月) 16:13:34.99ID:WzUQdrbS0
この鍵だけが手元に残るような紛失の仕方をどんだけするかが鍵だな
2023/07/24(月) 17:56:01.46ID:6hWKeB970
母ちゃんが間違って捨てた場合とか?
941名無しさん@お腹いっぱい。
2023/07/24(月) 18:47:49.82ID:zAAK6eBi0 同じ鞄にしまうのは通帳と判子を一緒に入れるのと同じようなもので迂闊としかいえないけど
2023/07/24(月) 21:17:10.53ID:xy7T/N7T0
会社で貸与PCスマホとセットで運用とか
自宅に置いておく前提でとか
使い道はありそうではある
自宅に置いておく前提でとか
使い道はありそうではある
2023/07/24(月) 23:50:20.89ID:LgsqF3bL0
パスキーって数ヶ月前少しだけ話題になったけど
結局全く話題にもならなくなったな
パスワードのない社会を目指すじゃなかったのか
完全に空気
結局全く話題にもならなくなったな
パスワードのない社会を目指すじゃなかったのか
完全に空気
2023/07/25(火) 01:12:10.57ID:TDAsuvBF0
パスキーだと知らないで使ってそう
レス数が900を超えています。1000を超えると表示できなくなるよ。
ニュース
- 中国側が首相答弁の撤回要求、日本側拒否 [夜のけいちゃん★]
- 中国の局長は「両手をポケット」で対峙 宣伝戦で国民に示す ★3 [蚤の市★]
- 日本行き空路49万件キャンセル 中国自粛呼びかけ 日本行きチケット予約の約32%に相当 ★4 [ぐれ★]
- 債券・円・株「トリプル安」に…長期金利1.755%まで上昇、円は対ユーロで史上最安値 [蚤の市★]
- 映画「鬼滅の刃」の興行収入急減、日本行き航空券大量キャンセル…中国メディア報道 [蚤の市★]
- 【音楽】Perfume・あ~ちゃんの結婚相手「一般男性」は吉田カバンの社長・吉田幸裕氏(41) 高身長で山本耕史似 [Ailuropoda melanoleuca★]
- 日本政府、ネトウヨに媚びるために韓国との関係も悪化させてしまう [603416639]
- 【悲報】SP500今日も暴落で完全に世界恐慌。高市恐慌として全世界で語り継がれそう [686538148]
- 【悲報】高市効果で「1ドル=160円」が相場へwwwwwwwwwwwwwwwwwwwwwwwwwwwww 止まらぬ高市円安💥💥 [871926377]
- 【悲報】日本人錯乱「集団的自衛権行使に賛成。けど自衛隊を戦わせるのは反対」 [237216734]
- 自閉症が「んなっしょい」と連呼するお🏡
- FGOで好きなサーヴァントがアビゲイル、北斎、楊貴妃なんだが