パスワード管理ツール Part15
■ このスレッドは過去ログ倉庫に格納されています
君とはちょっと違うんだけどね、やっぱりパスワードツールはLastPassが最強だと思うんですよ ID Manager まだ使ってる俺みたいな奴いる? メインはkeepassに移したけど未だに おまかせ鍵助をSSDから消せてないわ >>9
KeepassとBitwardenが2強
好きな方選べ 長年1password使ってたけど、クラウド必須に改悪されたので
色々と試した結果Enpassを使うことにした。 >>7
メインで使ってるわ、なんで俺このスレにいるんだろうとは思ってる 使い回さないことが大きな第一歩だよな
俺もついこないだまでID Managerのエクセルを見てパスワード入れてた >>20
オープンソース
マルチプラットフォーム対応
OTP対応
ローカルでも使えるし複数端末で同期したい場合はdbをクラウドストレージにに置く
特に新しいソフトでもないけどマイナーかも 僕はちょっと君たちとは違うんだけどね
良い物もある、悪い物もある 分かってないなナー
僕なんてねパスワードを2千も管理してるわけ。
そうやってきてハッキリ言えるのは
良い物もある、悪い物もある proton psss はどんなもん?
今月いっぱい月1ドルのキャンペーンやってる chromeのパスワードマネージャーに大量のどうでもよさそうなパスワードが保存されてるけど
なかなか整理する気力が湧かない 1passwordのブラウザ用のアプリって意味あるの?
こっちは2fa出来ないじゃない firefoxに溜まり続けた1000個くらいのパスワードを
keepassXCでとりあえずkeepassXCでCSV化したが、
各ブラウザはバラバラ、パスワード管理ソフトも、
フォーマットがバラバラ
keepassXCは、CSVインポートの柔軟性が高かったから
firefoxから移せたが、その先が進まん 俺は基本敵に、PCは英語で使うから、日本語UIは無くても全然かまわんよ >>30
csvは純粋にバックアップって割り切って
要るのとか要求されたのから順に新しい管理ソフトに入れていけば数ヶ月で必要なIDは移し終わるんじゃない?
数年経ってもCSVにしか痕跡がないパスは消えても良いやって割り切るとか KeepassとBitwardenを両方入れて使用しても問題ない? >>34
どうもありがとう、そうなんですよね
firefoxQuantumに移行し、chromeも併用するようになったとき、
サイトが死んでるパスワードは全部削除し、CSV化し、Chromeにもインポートしたんです。
今csv見たら、600くらいに減ってました、 keepassとStrongboxで運用してる
keepassで作ったデータベースをiOSのFileExplorerから
Strongboxへ共有してやるとPCで作ったデータベースをiOSでも使える
逆もしかり プロトン、言語増やすとか言いながらまったくもう何ヶ月も経ってるのに1言語すら増えてないからな。
そういうやりもしないくせに増やしますとか言う
運営のソフトウェアは流行らない おそらくprotonは、運営経費が足りてないと思う
企業経営は、誠実なほど、苦しくなる 逆に言えば悪どくやらないと経営が苦しくなるってことだからねぇ
そこはある程度目を瞑ってしまうしかない Chromeに保存してたパスワードが削除した覚えもないのに全て消え失せて焦ったけど
ID Managerにも全部保存してあったから助かった Googleアカウント使わずにchrome使ってたんか Googleアカウントは使っててPCもAndroidも同期できてたんだけど何故か消えてしまった
CSVでバックアップ取れることを知ったのはパスワード消失してからだった(バックアップ取ってなかった自分も悪い) >>46
ブックマークとか、その他のChrome設定は無事?消えた? ブックマークは無事で、設定も特に変わったところはなかった
パスワードが消失する前に変更したところもないです
ググると似たような事例は出てきたもののハッキリとした消失の原因は分からず…
パスワードが復活する場合もあるようだけど >>49
ウェブとアプリのアクティビティかな?
サブ設定にある「Chromeの履歴~」にチェックを入れてなかったので
Chromeの履歴は残ってなかったです…
https://i.imgur.com/Ko3v3Oi.png
最低限のサイトだけChromeのパスワードマネージャーに保存しておくことにします パスキーがよく分からないので質問いいですか。
ぐぐってみたらパスワードレスの代わりに生体認証を用いてるとのことですが、サイトほにゃららがパスキーを導入している場合、どうやってそのサイトと私の生体認証が合致するのですか? 事前に「私の指紋や顔はこれですよ」と登録証にもパスワードなしでどうやって「私」を識別してもらえるのでしょうか? サイトは生体認証してない
パスワードマネージャーを起動する時にマスターパスワードを求められても
サイトがマスターパスワードを知ってるわけじゃないのと同じ >>54
ありがとうございます!すぐには理解できなかったのでお気に入り登録して週末に読み解いてみます LastPass、暗号化されたパスワードのカタマリを持ってかれてオフラインでブルートフォースかけられて暗号通貨盗まれる被害拡大中 クラウドに上げてるのはやっぱり怖いんだな
ハッカーに盗まれる LastPassはマスターパスワードがバレそうな人にどうして保存パスワードの更新支援を提供しないのか理解できない >>58
バレそうな人の括りはないけど定期的に更新白メッセージは出せるよ >>54
52です。読んでみました。なんだか仕事でやらされてる仕組みに似てるなと感じました。ファイルサーバに入るのに専用アプリが必要で、アクセスすると鍵ファイルの場所を聞かれ、次にそのファイルのパスワードを聞かれ、それが済むとようやくファイルに到達できるっていう。名前はうろ覚えだけどSFPTとかSSSKEYとかそんな感じです。 >>62
一瞬、何を言っているのかわからんかったけど、SFTPとSSH Keyの事を言ってるんだろうね。
鍵を使う為に、鍵を使うという意味では、確かに同じかもしれんね。
技術的には全く別だけども。 全く違うというと、どの部分を見るかによっては、同じ部分と違う部分があるので、全く別という表現は取り下げとく。 公開鍵暗号技術自体を見るか、入れ物のX509証明書を見るか、はたまた通信路に何が流れるかを見るか PasswordPocketを使ってみたら複数アカウントに対応して
おらず使いにくい。 もう面倒なのでChromeでパスワード管理しようと思ってるんですが、クロームのパスワードマネージャーの一覧をURLじゃなくサイト名(日本語)を表示することは出来ないでしょうか? てかあれパスワードの管理ばかりGoogle依存では?
自分のアカウントの管理ページ行けばありそう >>57
ローカルに置いていたって、盗まれるときは盗まれるし、
盗まれたことにも気づけないだろうけどな >>71
リモートから不特定多数の情報を盗むより
物理的に接触して個人のPCとかフラッシュメモリとかを盗むほうが難易度が高くないか? >>72
インターネットにつながってないPCでパスワード管理してるということ? Sticky Password使ってる人いますか?
どんな感じですか? 気になってます。 このスレ的にはkeepass推しが多いようで移行などの話もみますが
UIとかアプリなどはBitwardenの方が使いやすいような記事をみます
Bitwarden使おうと思ってましたが、このスレみてて揺らいできました
Bitwardenとの決定的な差はなんでしょうか? >>76
併用してるよ。
Windowsユーザなら、Windowsアプリへの自動入力はKeepassしかできない。
ブラウザやスマホアプリの入力はBitwarden任せてる。 keepassはUI気に入らなければアプリ変えれるのも強み
そういうの探すの面倒な人にはデメリットかもしれんが ホンマでっかな先生は紙ベースが一番
リクスはネットワーク不正アクセス>物理的盗難とおっしゃってました 今Amazonの二段階認証が突破されて
不正利用されたって話題だけど本当に二段階認証が突破されたのか
あまりググってもあまり詳細情報が出てこないんだよな メールの偽アドレスに引っかかって自分で二段認証を承認しちゃってるじゃないかな api使っててリダイレクトで本物のサイトでログインしてるらしい 色々見てみたが二段階認証を突破されるほどヤバイのに被害報告がほとんど無いように見える >>86
id,passもろとも2SAがやられる一例がリバプロ型のフィッシングサイトってだけで、それが今回の事例の手段として確定的かはまだわからんでしょ。 あまり知識がない人がSNSで話しているのを見ても何が起きたか特定するのは無理だな
オケゲムには期待してるが 特定は無理だとしてもその割には被害報告が少なすぎる
少なとも見た範囲では報告してる人がいない
もっともメールを不用意に開くような人は何使っても防げないのだろうけどね テレビで特集される偽サイトとか伝説の島と思ってる
行きついた経路だけ事細かに聞きたい いや、今グーグルで商品名で検索したら偽サイトばっかりじゃんじゃんでてくるじゃん
普通のサイトより偽サイトの方が多いとかザラだし
どうなってんだよグーグル 突破されたと言ってる人に二要素認証と言ってる人がいないところからお察し 被害にあっているのは認証アプリを使っていない人かな 俺がXで見た人はsms認証がどうの言ってたな
認証アプリのことも言ってた気がする >>93
これの影響なのかAmazon Payを利用できないネットショップが出てきた 一般ユーザーはメモ帳とかワードとかエクセルが基本なのかな 一般人って、紙に書いておくくせに「名前+数字」とかアホみたいなものにするよな
紙に書くくらいなら、もっと難しいものにしておけばいいのに まあでもどこもかしこも登録登録登録だよね
アカウント断捨離捗る 「今ですと、アプリを登録していただくと10%オフになるんですけどぉ」
でアプリをインストールすると、「起動して頂いて、お名前と住所と電話番号を入力して頂いて、次へをタッチしていただいて」
「メールアドレスと、パスワードを入力していただいて」
でどんどん増える
だいたい、その場でパスワードを入力して憶えておけってムチャ 記録してるパスワードで一番短いのが銀行WEBという
老若男女問わず使うからなんだろうなあ >>103
まあ紙に書くって表現が
本当に紙に手書きなら、一文字、一文字、手書きは面倒だから簡単な物になりやすい
管理ツールを使って長くて面倒な物を紙に印刷なら複雑でも気にしない
要するに、手書きや手入力や頻繁にパスワードを変えろ、変えろってサイトは
面倒だから簡単な物になりやすい
要するにさ、複雑で長いパスワードにしても
サイト側がコピペを禁止したら毎回、毎回それ入力するのって事になって簡単な物になるよな
だから最近じゃ頻繁パスワード変えろって言うのは逆効果って言われているのに
一部のサイトは頻繁にまだパスワード変更しろとか言ってくるよな マスターパスワードの代わりに生体認証を導入してるのってどこですか? そういえば例のアマゾンの二段階認証の件はどうなった? >>111
続報無いからフィッシングに気づかなかったで確定だと思う Amazonこっそりパスキー対応してるな
IDとパスワード両方の入力が必要なログイン画面ではパスキー使えないっぽいから不完全だけど 丁度この間Amazonで不正アクセスされかけたんだが
アプリで事前にログインしていいかの連絡がきたぞ
ちなみに2段階認証もかけてないガバガバの状態のアカウントだったから
フィッシングに気付かず自分でログインしたので確定だろ アマゾンがパスキーに対応したなら黙ってても
ネットニュースなるのに
何処も報道してないのはなんでだ?
試験段階で発表前だからなのか
まあどっちにしろAmazonでパスキーでログインか
まだ他もパスキー作ってないし暫くは様子見かな >>118
x見ると、段階的にロールアウトしてるっぽい。 iPhoneで試したけど、今のところはPC版サイトからログイン画面に移動し、メールアドレス入力後にパスワード入力画面に移動してはじめてパスキーが使える
おまけにパスキー認証しても2段階認証不可避な残念仕様 LastPassのマスターパスワードが12文字以上必須に
……えっ12文字未満が許されている中で暗号化済みVaultが漏洩したの? >>121
8文字のユーザーが多いのでリスク低減のために12文字以上が必須になっただけでは
えっと驚くような人は使わないほうが良いかもね~全部頭の中で覚えて運用してください >>123
えっもしかして漏洩事件をご存知でない?
私は12文字以上にしていますが、8文字なんかオフライン攻撃にやられてしまうのでびっくりしちゃいました
前から12文字以上しか設定できなかったけれど今回は昔から変えていないユーザーにも強制するようですね >>121
前スレの
大半のパスワードを1分以内にクラッキングできるAI「PassGAN」が登場- GIGAZINE
https://gigazine.net/news/20230412-ai-can-crack-in-1-minuites/
この辺踏まえるとパスワードの文字数大事だから
注意促そって感じでは? やはりマスターパスワードを保存するパスワード管理ツールのマスターパスワードを保存するパスワード管理ツールが必要だ >>121
いまさらそんな対策してたんだ
知らんかった
20文字以上にしてるからか 大文字・小文字・数字・記号を使っても8文字じゃ7時間
もはや法律で規制がいる文字数だな LasrpassAuthenticatorに代わるオススメある? 設定できるパスワードの文字数上限がやたら短いサービスとか稀にあるよな
ユーザー情報管理に割く容量を、ユーザー当たり1バイトでも減らしたいのかな?
もっとも、ハッシュ化して保存してるなら容量も変わらんと思うが 短いのはまあ良いけど(良くはないが)
自分の所の設定文字数過ぎたら何も言わずにカットして設定するくせに
認証の時は余分な文字入ってるからって通らなくなるサイトはほぼ罠 パス文字数少ないとこはハッシュ照合負荷を少なくしたい
たぶん鯖弱い
SHA256使ってないだろうな 賢い>>134は24桁にしてすべて暗記したら良いでしょう
大丈夫!あなたなら出来る ETCの認証が初めの頃は短すぎたな
英数8文字までだったかな マスターパスワード長くししろって長くしたらしたで
間違えずに入力するの面倒だから
なんかにメモってそれをコピペって感じなるけど
それはセキリティ的にはいいのか? keepassならキーファイルと併用
他のパスマネでも生体認証とかあるし 最近話題のパスキーって生体認証と何が違うんですか?
あとwindowsへのログインで指紋・顔認証を利用してる方は突然壊れたらバックアップってあるんですか? パスキーは生体認証を利用した認証方式
パスキーが出る前の生体認証はたとえばWindowsのログオンしか使えずサイトへのログインには対応していない 生体認証機器壊れてもwin11にはPINがあるので、PWは盗まれない。 てことはPINやパスワードの入力が必要なパスキーはないってこと? 秘密鍵を開くのに生体認証を用いるのがパスキーって事かしら >>54にも書かれてるので読んだほうが良いが必ずしも生体認証は必要ない
あくまでも本人確認ができればいいのでPINでも大丈夫 >>147
>>54読んだ?
ユーザー識別子を含んだ情報を回答するのがパスキーだって書いてあるよ
ただまあサーバーとのやり取りの話なので認証アプリを使うユーザーにとっては関係ない
生体認証はパスキーとは全く別の端末内だけの役割
例えば認証アプリの起動に使われる てことは141の1行目は言葉足らずなのかな? イマイチちゃんと理解できないわ。おおざっぱには分かるものの パスキーは仕組みの名前なのかモノの名前なのかすら理解できてないっす。前者かな?とは感じてる >>150
>141の1行目は言葉足らずなのかな?
そだね
認証アプリを使ってるのが本人かの確認に使ってるだけと言える
PINでも良い
端末がロック解除されてるということだけでOKの認証アプリもあったと思う >>151
パスワードと同じで
秘密の文字列データを指すときもあるし仕組みを指すときもある
特に違いを強調したい時は〇〇方式ととか言えばいい PINでもいいってことはパスキーはFIDOではない? >>154
FIDOでスマホはロック解除状態なら本人確認済み状態だそうだ だから>>54を読めって
全部書いてあるから読まずに質問すんな あ、ごめん書いてなかったよね。54は読んだけど理解できなかったです なんか生体認証がFICO認証の役割を持ってると誤解してる人が多そうだな
FICO認証方式は生体認証とは別に考える必要がある。生体認証を使うのになんで?と疑問に思うかもしれないが理由はサーバー側が生体認証の情報を持たないから。デバイス側が生体認証の情報を渡すわけでもない
デバイス側が「本人確認したので公開鍵をサーバーへ送る処理をする」ために生体認証によって本人確認を行うので別にPINやパスワードでも構わない。手軽な方法として生体認証が用いられてるだけ
従ってパスキー=生体認証ではないとも言える。先述したようにPINでも良いから https://www.nttcoms.com/service/ciam/column/20220214/
>>54のサイトより比較的わかりやすく解説してると思う
これでもまだわからないなら各自で用語をGoogle検索して調べてくださいな そうそう上のサイトで触れてるけどFICO認証方式にはいくつか種類がある
専用のデバイスが必要なものもある 1passwordに登録してあるamazon.comに「このアイテムでパスキーが使用できるようになりました」って表示されたからこれをポチッって押したけどこれでいいの? FIDO2の秘密鍵を指紋認証でロックするから
パスキーは指紋認証か?と言われたらNoだけど
SSLの共通鍵を公開鍵で暗号化するから
SSLは公開鍵暗号か?と言われたらYesなんだよね
いい加減なもんだよね >>165
指紋認証はオプションだけど
SSLの公開鍵暗号はマストでしょ
クリアじゃん ふーん
つまり外部からデバイス偽装しても秘密鍵がなければ駄目
デバイス盗まれても画面ロック解除出来なきゃ駄目ということでいいのか 秘密鍵が入ったデバイスと指紋がべったりついていそうなもの(コップやマウスなど)を盗めば指紋認証を突破して秘密鍵をゲットできるんじゃないの?
あと秘密鍵が入ったデバイスが壊れたら二度と認証できなくなるのでは?
これを防ぐには予備のデバイスにも秘密鍵を入れて認証できるようにしておくかバックアップコードでも保存しておくしかないのかな。 >>168
>秘密鍵が入ったデバイスと指紋(以下略)
そう、就寝中や死体の指で認証されたりもある
ただしそうなっても秘密鍵そのものは普通には入手できないはず
>秘密鍵が入ったデバイスが壊れたら
最初にパスキーを発行するときの手順をもう一度やることになる
電話や郵便を使う2要素認証等とか 何年前になるかな指紋認証や顔認証が流行りだした頃に
集合写真で指紋を向けてピース写真をするのはやめましょう
最近のデジカメやスマホは高解像度なのでそのピースから指紋解析されて
指紋認証を突破されるリスクがあるとか
顔認証は顔と言うパスワードを常に公に晒してるような物で
顔を密かに盗撮されると顔認証を突破されるリスク云々って指紋認証と同じ結論みたいな
のを見たけど実際、ピースサインの写真から指紋認証、顔写真から顔認証って突破できるもんなのか?
突破できたら指紋は常に隠して顔もマスク等で常に隠す必要があるって事なのか
生体認証は自分しか持ってないから一見安全に見えてそんなに簡単に
認証を突破できるなら本当に安全か?って話になるな 3Dプリンター 顔認証 でググると突破できたという記事が出てきた スマホの指紋認証や顔認証って、実機を持っている上での本人確認なのでは >>170
端末の指紋認証、顔認証は自分で使えるように設定するものだから
危険だ、嫌だと思う人は使わなければ良いよ
公共の場所で使われる顔認識は嫌がる人が多いみたいだな
たしかに問題だと思う
ただ「顔認証」で見つかるスレ見ると非常に香ばしい 世の中顔認識と顔認証の違いが分からない人のほうが多いからな いやまさに障壁になるって話をしてるのに・・・
秋の味覚の話だと思ってるのか 知り合いにそんなことまでして突破しようとするやつおるん? パスワード方式で充分なんだよ
単純なパスを使い回す人がまだまだいる
滅多に更新しない人が多数いる
そんな人達の為に色々考えてんだろうけど
顔データなんか監視カメラから拾うことが可能と考えれば
そんなものに頼ってはいけないと思わなければいけない 鍵だの認証方式だのよくわかりませんがパスワードマネージャーソフトにはお世話になっております。 ちんこ認証も有っていいと思う
万個に合わないと入れません 複アカとセキュリティ対策だろうけど
YahooIDとLINEアカウント連携でSMS認証になるのが面倒
連携後にYahooワンタイムパスワードをメールにすると連携解除 docomoも電話番号登録すると強制的にSMS認証になるね あなたの精子認証に失敗しました
もう一度やり直してください センスがいるって突っ込まれてるのに続けてるのよっぽど自信のあるレスだったんだろうな センスがいるって突っ込まれてるのに続けてるのよっぽど自信のあるレスだったんだろうな 最後のはオレじゃァない
遺伝子は亀裂に異常が有ります
子孫繁栄モードに異常が発生しました
お前はもう心でいる そのうちAIセクサロイドの開発頼まれる予定なので今のうちエラーコード作っておこうと思った あなたの精子認証に失敗しました
親子関係は確認できませんでした
とかのほうが怖いよね 精子認証のでかいデメリットを発見した
エロ動画見ようとしてパソコン立ち上げ認証するのにオナニーしちゃう点 精子認証とか Winアプデとかドライバインストールで再起動したら2回目行かなきゃいけなくて辛くね
そんな絶倫じゃない
2連で中出しされたことならあるけど 精子認証とか
繁殖期の健康な牡にしか適用できない技術だな
更にイカ臭くなるし 精子認証とか
繁殖期の健康な牡にしか適用できない技術だな
更にイカ臭くなるし 精子認証とか
繁殖期の健康な牡にしか適用できない技術だな
更にイカ臭くなるし パスキーってGoogleアカウントかマイクロソフトアカウントのどっちかで作成するのか? それは鍵の保存先であり、Microsoftアカウントへの保存は未対応
現状異なるOS間でパスキー使い回せるのは1password一択だから1password使ってない人はOS毎(Windowsは端末毎)に作成する必要があるのが残念なところだが 異OS対応、KDDIでトライアル?してなかったっけ >顔や指紋で簡単ログイン
パスワードよりパスキーの方がブルートフォース耐性が高いから安全ログインっていうなら分かるが
複数デバイスの同期の大変さとか
カメラか指紋センサーをわざわざ使わないといけないのを簡単ログインって言われるとちょっとな パスワード管理アプリ「KeePass」の偽サイトがGoogle広告によって検索結果のトップに表示される事態が発生 パスワード管理アプリ「KeePass」の偽サイトがGoogle広告によって検索結果のトップに表示される事態が発生 >>227
絶対に騙されそうだな
で、具体的にどんな悪影響があるんだろ >>228
>この偽サイトからKeePassをダウンロードしようとすると、デジタル署名されたマルウェアのインストーラーをダウンロードしてしまいます。
だそうだ >>230
なるほど
・このスレなどでKeePassの存在を知る
・ググってみると(ニセサイトが)ヒットする
・ダウンロードすると無事マルウェアがインストールされる
ということか
既存ユーザはソフトからサイトに行くことが多そうだけど
新参は気を付けた方が良さそうだね
新参なら気を付けようが無いかw ぐぐると危険な偽サイトに引っかかる可能性があるわけか。
それじゃお前らが真のkeepassサイトのURLを張って初心者達を正しい道へと導かなきゃいけないな。
https://github.com/keepassxreboot/keepassxc KeePass Password Safe
https://keepass.info/ 匿名掲示板に貼られたURLを何の疑いもなくホイホイクリックするのもネットリテラシー低過ぎだから注意な ほんとGoogleってクソだよな
なんで堂々と詐欺サイト拡散してお咎めなしなんだよ
EUに潰されろ これやべーな
Googleの検索トップに来てたら自分も騙されそう 今開いてみたけどトップはkeepass.infoだったな
通報されて消えたか? パスワード管理アプリスレの住民が検索結果のスポンサー欄をクリックするとは思えないんだが。 まあ何事も最初はググってページに飛ぶから
その偽ウィルスサイトが上位に来ている以上
間違うリスクってのは低くないよな 正 keepass.info
偽 ķeepass.info
ぱっと見騙される人がいるだろうね ブラウザやOSのセキリュティでちゃんと防げるといいんだが ひええ…、これはわからんわ
かまされたら確実に騙される自信あるで ダウンロードしたアプリはVirusTotalのスキャニングくらいかけようか。
完璧とはいわんけど、しないよりはまし。 >>241の偽の方にアクセスしようとしたら
ブラウザに「この先のサイトには有害なプログラムがあります」とブロックされた 今の世の中何処でウィルス系に誘導されるかわかったもんじゃないしな
過去にはBUFFALOのルーターのファームウェアファイルが偽物にすり替えられたんだっけ?
あっちはやらしかしが公式な分タチが悪いな・・・ 一番の問題はGoogle側の広告に対する考査がザルだったことよね YouTubeも、広告ブロックを禁止して違法動画を垂れ流してるし やっぱりLastPass一択だな
LastPassAuthenticatorも使いやすいし LastPassAuthenticatorの代わりになる奴あるん? KeePassでいいじゃん
デカモニター爺さんくらいでしょ不満なの >>256
ブルートフォースに突破されるような文字数のマスターパスワード使ってるからだろ
オレは20桁以上3ヶ月で更新してる
覚えてないけど 頻繁な更新は~って話があって逆効果かも知れないけど
パスワード管理は好き好きだと思う ブルートフォースなんて実際にできるもんなんですかね?
雑なサイトもあるのかもしれないが
総当たりで試行できる回数なんてたかがしれているような >>263
20桁以上でも時間が経てば突破されるリスクはあるからな >>264
更新時の操作をハッキングする手口は高度な技術レベルが必要
それを使ってまでしても盗み出したいものがしまってなければやらないよね 学生時代、クラックツールを作ってその中にトロイ忍ばせて遊んでた懐かしい思い出 >>265
Web画面でやるわけじゃなくて
たいていはサーバーにあるパスワードのデータ(全員分のハッシュされたパスワードのリスト)が盗まれて
そのリストに対してブルートフォースアタックするのさ >>269
総当たりで試行し生成されたパターンがそのハッシュと一致するまでやるということかな?
なるほど
リストが盗まれやすいかどうかという点ではユーザ側で気を付ける話じゃないね >>266
総当たり攻撃なら、途中でパスワードを変えても確率は変わらないと思うのだけど 一周まわって神頼みでバレない・漏れないことを祈るに落ち着きそうw >>271
>>269みたいな流出したパスワードファイルは永久にアングラで流通し続ける
流出当初は十分に長くて安全なパスワードでもコンピュータが高性能になれば解けるようになる
定期的に変えてれば、そうなった頃には違うパスワードを使ってるので安全 変えたほうがいいの変えなくてもいいのどっちなんだいっ!?
変ーえー
ないッ!ヤー!!! >>277
>>276
みたいな考え方もあるし
総務省の見解だと
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_staff_01.html
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
てのもある
米国の国立標準技術研究所だかの研究結果受けての見解だけど
パスワード管理ソフト使ってると変更に伴うデメリットは無視できそうな話だから変更しまくるのもありっちゃあり
好き好き ハッシュされたパスワードファイルの流出をどこまで視野に入れるかどうかだね
管理がずさんそうな所だけパスワード変更運用をするというのもありかもしれないが
それを適確に絞り込めるのかどうかでまた悩むことになりそうw まぁサイト側から●●日以上変更されてません!と警告出されたら
うっせぇわと思いつつ変えてます 半年前の記事
AIによるパスワードの解析時間をセキュリティ会社が公開。8桁なら7時間以内に解析完了
https://pc.watch.impress.co.jp/docs/news/1492292.html
15文字以上なら有意な時間での解析は不可能で数年前にハッシュが流出してても問題無さげ
パスワードの変更もお勧めされてるが情報元を見ても理由が?だけどね >>281
ウチの会社はいつパスワードファイルが流出するかわからないので…
が省略されているものと想定し従うことにします 5Gの思考盗聴でイルミナティに流出してるかもしれない >>282
それって解析開始からの時間だけど
すでに何文字目までかは知らんけどデータベース有ると考えてる
データベースにあれば解析ではなく検索で出てくることになる
釣られないことと狙われないことが重要
メアドやアカウントに誕生日入れるような人は狙われるんじゃね
パスにも何らかの馴染みの数字使いそう >>286
えええ、、、
もう少し勉強した方がいいと思うマジで >>287
全然おかしくないし当然やってると思うぞ
あるハッシュ値についてそのもとになった文字列(=パスワード)を探そうという時
パスワードをA B C…などと順に仮定して計算したハッシュ値を比較していくよりも
短い文字列やパスワードとして良く使われる文字列すべてのハッシュ値をあらかじめ計算してデータベース化しておき
そこから検索するほうが遥かに早い というのがレインボーテーブル攻撃で
ソルトやストレッチングで対策された 「何文字までかは知らんけどデータベース有る」
だったらレインボーテーブルのことだけど
「何文字目までかは知らんけどデータベース有る」
って言ってるから
ソルトやストレッチングも突破できると勘違いしてるだろ でもマスターパスワードはどえらいもんを設定しませんよね >>291
パスワードアプリ入ってる端末
今はスマホもPCも指紋なきゃ開かないから
マスターパスもうちょっと入れやすい方が楽かなーと悩む 指紋認証ずっと使ってるけどマスターパスワード忘れそうでこわい うっかりオキシクリーン溶かしたお湯に人差し指入れてつんつんしたら、めちゃくちゃ荒れて指紋認証通らなくなった
治るまで2週間ぐらいかかって不便だったわ
っぱ顔認証よ 手指なんて10本前後あるのだから複数登録しとけばいいのよ 顔認証なぁ
マイナカードのそれはかなりザルに設定されてるとか
スマホはそこまで落ちてはないんだろうけど 10月中にbitwardenがパスキー対応するって発表してたから期待したけどブラウザ拡張だけでモバイル未対応だった
デバイス間共有したいからbitwarden使ってるのに片手落ちすぎる とあるクラウドシステムの管理コンソールのパスワードが60文字まで可、だったので試しに40文字で設定したらログインできなくなった。
htmlのソースを見たら、設定するときは入力できるが、ログイン画面は最大32文字で制限がかかっていた。
サポートに問い合わせしたら1か月後に修正された。
これまで何年も33文字以上のパスワードを設定したユーザーはいなかったのだろう。 昔8文字を超えるパスワードを設定すると
ログインする場所によって先頭8文字でないとログインできないところと
全部でないとログインできないところが混在して
大変になったことがあったな 今は使われてないと思うが、昔のUNIXだとパスワードの保存にDESを使ってたから
何文字入れても 8文字で切られてたな 今でもそんなところがゴロゴロしてる
文字数上限5000兆文字にしろとは言わないからせめて64文字くらいまでは受け入れて上限も明示してくれとは思う 仮にパスワードの上限を256文字にしても現代のインターネットなら大した通信料にはならないだろうし。
普通はパスワード自体はデータベースに保存せずにハッシュを保存するから64文字だろうが256文字だろうがデータベースに書き込む容量は変わらない。
たぶんシステムを開発している人はパスワードマネージャーのことを知らなくて、どうせ20文字以上のパスワードを使う人はいないだろうと思って短めに設定してるんじゃないか?
もしくはパスワードの上限を64文字にするとシステムをテストするときに64文字以下のいろんな長さのパスワードでテストしなくちゃいけなくなるから、手間を省くために上限を短くしているのでは。 文字数の上限を明示してくれ、に同意
せめて、上限を超えていたらエラーを出してくれ 全サービス2FAを希望します
次回以降この端末では〜前提で 上限6文字を明示されても困るけどな
(銀行で実在する) Sticky PasswordプレミアムLifetime 85%Off $29.97
https://jp.colormango.com/product/sticky-password-premium_103255.html
ここから本家に飛ぶとブラックフライデー価格で$39.99てどういうことよ 4桁暗証番号は他の認証をした上で重ねての本人確認用途だからな メモ
KeePassで二段階認証2FAがプラグイン導入等でできるかどうか調べる中で
Edit Entry(Quick)の中に
OTP(ワンタイムパスワード) Generator Settings
があることを発見して各種サイトで試してみた結果
サポート
X(secret Base32 その他デフォルトのまま)
epic games(secret Base32 その他デフォルトのまま)
二段階認証成功して利用中
作成の時
Time-Based TOTPタブを使う
QRコード表示の下に見れない場合というリンクがあって
それをクリックすると秘密コードが表示されるので
コピペしてshared secret欄に入力するとOTPが表示される
使用時は右クリック時にOther Dataの中にCopy Time-Based OTPがあって選ぶとクリップボードにコピペされる
非サポート
MicroSoft Account
Amazon
Google Account
生成したワンタイムパスワードを入力するが弾かれて成功しない
デフォルト設定から変更する事が必要なのかもしれないが
ググったところではどこをどう変更するのか情報がないようだ
amazonは生成したワンタイムパスワード入力してそこまではできたが
最後のSMS認証で一度キャンセルしてしまって
その後はなんどもトライしたが弾かれてしまうのでおま環の可能性がある >>318
何をしているのかよくわからんが、ms,google,amazonは普通のtotpクライアントであれば既定値で利用できる。
Keepassの標準機能でTOTPが使えるか試したことないけど、プラグインのKeepassOTP使っておけば、secretだけちゃんと登録すればパラメータいじる必要はない。 プラグインKeeOtp2でも特に問題なく各種サイトに使えてる プラグイン不要のKeePass単体でTime-Based OTPを使った二要素認証ができるということが言いたかった
非サポートのリストに関してはおま環の可能性があって検証できてない KeePass本体のTOTP対応は今更だし非サポートという書き方は誤解を招く やっぱりやりすぎセキュリティさんイチオシのbitwarden一択じゃね keepassDXのメモ
漢字変換できなくなった
ひらがなで確定した状態でしか入力できない
11/06の夕方までは漢字変換できた >>326
有難うございます。でもドメインが必要?? Password Exporter使っておったんですが
新しいfirefoxでは使えなくなっているのですが
乗り換え先のアドオン教えてください >>320でKeeOtp2なら使えているということで検証してみた
プラグインなし状態のkeepassのみで2段階認証ができなかった件の検証と結果
対象はアマゾン
検証
プラグインKeeOtp2使用時出力されるトークンを比べてみたら違っていた
QRコードの下の読みこめない場合を選択すると
シークレットキーが表示されるがそのままコピペして
Base32を選び
貼り付けたら赤背景で不正な入力扱いされる
そこで4文字ごとに入っているスペースをすべて消すと
赤背景が消え入力を受け付けて
なおかつkeeOtp2と出力トークンが一致した
結果
アマゾンでプラグイン無しのKeePassのみの2段階認証でログインできている
検証してないがグーグルアカウントやマイクロソフトアカウントでも
大丈夫だろう
Base32を選びスペースをすべて削除したシークレットキーを入力すること >>332
Keepassの標準のTOTP機能だと、secretの文字列にスペースが含まれていた時に、それを無視しせずに、入力値エラー扱いになるってことね。
Base32なんだから、空白をそのまま入力してもそれは駄目だと思うけど、他のtotpクライアントだと、スペースを勝手に無視してくれるからね。
わからんと嵌る罠。
なお、Base32はデフォルト値なので、わざわざ選ばなくて良さげ。 キーの入力時に赤色になって弾かれるんでしょ
どこに罠があるの >>334
>>318みたいに、何が間違っているのかわからん人がでてくるってこと。 >>327
自己レス
11/10のアプデで解消された👍 >>332
追加検証結果
マイクロソフトアカウント
シークレットキーが英小文字+空白付きのため赤背景
大文字に変換して空白を削除することによって2段階認証成功
グーグルアカウントは試してみたけどグーグルからのメッセージで2段階認証するので
TOTPはサポート外?ということでいいのかな >>337
対応してる。
ただ、1つ目の二段階認証手段としては、sms,通話、セキュリティキー、ログイン済みスマホでの承認みたいに限定されていて、それらの内、一つを登録すれば、TOTPが使えるようになる。 ステマは法律で禁止されたけど海外にいる人まで逮捕できないからステマし放題なのか。 >>341
罰せられるのはステマをさせた業者の方だよ よく間違ってる人がいるけど
ステマ禁止法にはステマをさせた企業に対する罰則はあるけどステマした個人にはないよ
だから5ch運営がTIKTOKにやめさせるようにクレームを入れればいいだけ、TIKTOK側でBANしてもえたらメシウマ
無視されたら色々すっとばして警察でもいいんじゃね >>343
ただTikTok自体は広告代理店にぼかした言い方で指示していてステマしろとは言ってないだろう
その下請けやそのまた下請けが勝手に突っ走ったことになってるだろうな 使ってはいけないパスワード2023年版、第1位発表
https://news.mynavi.jp/techplus/article/20231116-2819873/
こういうのって放置パスワードなのかと思ってたけど
順位変動有るって事は使っててコレなんだな
ホラーだわ >>348
11番目、うんこ自身に空目した。自虐かなと思ったら、unknownだった。 ■ このスレッドは過去ログ倉庫に格納されています