パスワード管理ツール Part15

[0001 名無しさん＠お腹いっぱい。 2023/08/19(土) 18:05:02.94 ID:uR1cfZIa0]

パスワード管理ツール（ソフトウェア）について語るスレです。


前スレ
パスワード管理ツール Part14
https://egg.5ch.net/test/read.cgi/software/1659687785/

[0300 名無しさん＠お腹いっぱい。 2023/11/02(木) 22:45:26.20 ID:y0nNmJqV0]

とあるクラウドシステムの管理コンソールのパスワードが60文字まで可、だったので試しに40文字で設定したらログインできなくなった。
htmlのソースを見たら、設定するときは入力できるが、ログイン画面は最大32文字で制限がかかっていた。
サポートに問い合わせしたら1か月後に修正された。
これまで何年も33文字以上のパスワードを設定したユーザーはいなかったのだろう。

[0301 名無しさん＠お腹いっぱい。 2023/11/02(木) 22:57:26.79 ID:e3oWziZr0]

まぁ、40桁とかツールないと覚えらんないしなw

[0302 名無しさん＠お腹いっぱい。 2023/11/02(木) 23:39:21.71 ID:48x572kv0]

昔8文字を超えるパスワードを設定すると
ログインする場所によって先頭8文字でないとログインできないところと
全部でないとログインできないところが混在して
大変になったことがあったな

[0303 名無しさん＠お腹いっぱい。 2023/11/03(金) 01:09:42.89 ID:dKyW0C2/0]

今は使われてないと思うが、昔のUNIXだとパスワードの保存にDESを使ってたから
何文字入れても 8文字で切られてたな

[0304 名無しさん＠お腹いっぱい。 2023/11/03(金) 01:12:29.72 ID:yg1d33T00]

今でもそんなところがゴロゴロしてる
文字数上限5000兆文字にしろとは言わないからせめて64文字くらいまでは受け入れて上限も明示してくれとは思う

[0305 名無しさん＠お腹いっぱい。 2023/11/03(金) 01:36:15.25 ID:tBJc/tgo0]

仮にパスワードの上限を256文字にしても現代のインターネットなら大した通信料にはならないだろうし。
普通はパスワード自体はデータベースに保存せずにハッシュを保存するから64文字だろうが256文字だろうがデータベースに書き込む容量は変わらない。
たぶんシステムを開発している人はパスワードマネージャーのことを知らなくて、どうせ20文字以上のパスワードを使う人はいないだろうと思って短めに設定してるんじゃないか?
もしくはパスワードの上限を64文字にするとシステムをテストするときに64文字以下のいろんな長さのパスワードでテストしなくちゃいけなくなるから、手間を省くために上限を短くしているのでは。

[0306 名無しさん＠お腹いっぱい。 2023/11/03(金) 06:43:08.68 ID:NtbtVSru0]

単なる仕様の確認漏れや不整合だろ考えすぎだよ

[0307 名無しさん＠お腹いっぱい。 2023/11/03(金) 07:58:13.87 ID:faH+uRjM0]

ようするに8桁以上は実用性ないよな

[0308 名無しさん＠お腹いっぱい。 2023/11/03(金) 08:59:48.31 ID:zdhIz8TU0]

文字数の上限を明示してくれ、に同意
せめて、上限を超えていたらエラーを出してくれ

[0309 名無しさん＠お腹いっぱい。 2023/11/03(金) 09:22:47.48 ID:mQByA3f40]

全サービス2FAを希望します
次回以降この端末では〜前提で

[0310 名無しさん＠お腹いっぱい。 2023/11/03(金) 14:15:07.68 ID:qmWkb5DA0]

上限6文字を明示されても困るけどな
(銀行で実在する)

[0311 名無しさん＠お腹いっぱい。 2023/11/03(金) 21:45:17.44 ID:TVgt8IGt0]

Sticky PasswordプレミアムLifetime　85%Off　$29.97
https://jp.colormango.com/product/sticky-password-premium_103255.html
ここから本家に飛ぶとブラックフライデー価格で$39.99てどういうことよ

[0312 名無しさん＠お腹いっぱい。 2023/11/04(土) 05:40:52.32 ID:kSagwmro0]

ドコモのネットワーク暗証番号は今でも4文字の数字

[0313 名無しさん＠お腹いっぱい。 2023/11/04(土) 08:02:08.11 ID:CN7IRpDB0]

>>312
auもそうやで

[0314 名無しさん＠お腹いっぱい。 2023/11/04(土) 10:50:55.10 ID:UM8wTj+h0]

暗証番号は誕生日定期

[0315 名無しさん＠お腹いっぱい。 2023/11/04(土) 13:20:15.50 ID:XzQvlKXy0]

>>312
ソフトバンクも楽天もじゃね?

[0316 名無しさん＠お腹いっぱい。 2023/11/04(土) 14:57:10.85 ID:++Cb0Fm80]

5桁以上になるとATMが対応できないとか？

[0317 名無しさん＠お腹いっぱい。 2023/11/04(土) 15:35:48.10 ID:QiNVorWX0]

4桁暗証番号は他の認証をした上で重ねての本人確認用途だからな

[0318 名無しさん＠お腹いっぱい。 2023/11/04(土) 15:56:29.53 ID:Got/TfBf0]

メモ
KeePassで二段階認証2FAがプラグイン導入等でできるかどうか調べる中で
Edit Entry(Quick)の中に
OTP(ワンタイムパスワード) Generator Settings
があることを発見して各種サイトで試してみた結果

サポート
X(secret Base32 その他デフォルトのまま)
epic games(secret Base32 その他デフォルトのまま)
二段階認証成功して利用中
作成の時
Time-Based TOTPタブを使う
QRコード表示の下に見れない場合というリンクがあって
それをクリックすると秘密コードが表示されるので
コピペしてshared secret欄に入力するとOTPが表示される
使用時は右クリック時にOther Dataの中にCopy Time-Based OTPがあって選ぶとクリップボードにコピペされる

非サポート
MicroSoft Account
Amazon
Google Account
生成したワンタイムパスワードを入力するが弾かれて成功しない
デフォルト設定から変更する事が必要なのかもしれないが
ググったところではどこをどう変更するのか情報がないようだ
amazonは生成したワンタイムパスワード入力してそこまではできたが
最後のSMS認証で一度キャンセルしてしまって
その後はなんどもトライしたが弾かれてしまうのでおま環の可能性がある

[0319 名無しさん＠お腹いっぱい。 2023/11/04(土) 17:13:32.02 ID:HRaXM6/h0]

>>318
何をしているのかよくわからんが、ms,google,amazonは普通のtotpクライアントであれば既定値で利用できる。

Keepassの標準機能でTOTPが使えるか試したことないけど、プラグインのKeepassOTP使っておけば、secretだけちゃんと登録すればパラメータいじる必要はない。

[0320 名無しさん＠お腹いっぱい。 2023/11/04(土) 17:24:40.53 ID:6zE0ZepW0]

プラグインKeeOtp2でも特に問題なく各種サイトに使えてる

[0321 名無しさん＠お腹いっぱい。 2023/11/04(土) 18:50:00.46 ID:Got/TfBf0]

プラグイン不要のKeePass単体でTime-Based OTPを使った二要素認証ができるということが言いたかった
非サポートのリストに関してはおま環の可能性があって検証できてない

[0322 名無しさん＠お腹いっぱい。 2023/11/05(日) 00:36:43.93 ID:fWxCTApf0]

KeePass本体のTOTP対応は今更だし非サポートという書き方は誤解を招く

[0323 名無しさん＠お腹いっぱい。 2023/11/05(日) 10:24:41.08 ID:r3SKxub30]

まあぼくちゃんは知らんかったけど

[0324 名無しさん＠お腹いっぱい。 2023/11/05(日) 23:51:31.25 ID:wqD71kb30]

やっぱりやりすぎセキュリティさんイチオシのbitwarden一択じゃね

[0325 名無しさん＠お腹いっぱい。 2023/11/07(火) 00:50:33.44 ID:mfBc1mya0]

bitwardenって自ネットのみで使えないの？

[0326 名無しさん＠お腹いっぱい。 2023/11/07(火) 01:03:58.08 ID:atjMPsOg0]

>>325
https://www.kodaruma.com/2022/05/bitwardenvautlwarden-on-docker.html

[0327 名無しさん＠お腹いっぱい。 2023/11/07(火) 10:13:28.35 ID:Y/eNwsjE0]

keepassDXのメモ
漢字変換できなくなった
ひらがなで確定した状態でしか入力できない
11/06の夕方までは漢字変換できた

[0328 名無しさん＠お腹いっぱい。 2023/11/08(水) 00:17:23.89 ID:OK5ZhkF40]

>>326
有難うございます。でもドメインが必要？？

[0329 名無しさん＠お腹いっぱい。 2023/11/08(水) 06:45:51.10 ID:mVIkTIZv0]

自ネットってどういう意味なんだろ

[0330 名無しさん＠お腹いっぱい。 2023/11/08(水) 06:49:51.94 ID:vQu0AKG30]

自宅LANのことだろ

[0331 名無しさん＠お腹いっぱい。 2023/11/08(水) 18:14:21.83 ID:Tlqajpw20]

Password Exporter使っておったんですが
新しいfirefoxでは使えなくなっているのですが
乗り換え先のアドオン教えてください

[0332 318 2023/11/10(金) 01:53:17.50 ID:NDo0Ngfn0]

>>320でKeeOtp2なら使えているということで検証してみた

プラグインなし状態のkeepassのみで2段階認証ができなかった件の検証と結果
対象はアマゾン

検証
プラグインKeeOtp2使用時出力されるトークンを比べてみたら違っていた

QRコードの下の読みこめない場合を選択すると
シークレットキーが表示されるがそのままコピペして
Base32を選び
貼り付けたら赤背景で不正な入力扱いされる

そこで4文字ごとに入っているスペースをすべて消すと
赤背景が消え入力を受け付けて
なおかつkeeOtp2と出力トークンが一致した

結果
アマゾンでプラグイン無しのKeePassのみの2段階認証でログインできている

検証してないがグーグルアカウントやマイクロソフトアカウントでも
大丈夫だろう

Base32を選びスペースをすべて削除したシークレットキーを入力すること

[0333 名無しさん＠お腹いっぱい。 2023/11/10(金) 10:56:42.57 ID:9kGJb50V0]

>>332
Keepassの標準のTOTP機能だと、secretの文字列にスペースが含まれていた時に、それを無視しせずに、入力値エラー扱いになるってことね。

Base32なんだから、空白をそのまま入力してもそれは駄目だと思うけど、他のtotpクライアントだと、スペースを勝手に無視してくれるからね。
わからんと嵌る罠。

なお、Base32はデフォルト値なので、わざわざ選ばなくて良さげ。

[0334 名無しさん＠お腹いっぱい。 2023/11/10(金) 15:11:41.46 ID:HwhbelN80]

キーの入力時に赤色になって弾かれるんでしょ
どこに罠があるの

[0335 名無しさん＠お腹いっぱい。 2023/11/10(金) 18:25:50.62 ID:9kGJb50V0]

>>334
>>318みたいに、何が間違っているのかわからん人がでてくるってこと。

[0336 名無しさん＠お腹いっぱい。 2023/11/11(土) 09:22:05.20 ID:b/takZ7g0]

>>327
自己レス
11/10のアプデで解消された👍

[0337 名無しさん＠お腹いっぱい。 2023/11/12(日) 10:09:44.26 ID:yQxR44V20]

>>332
追加検証結果

マイクロソフトアカウント
シークレットキーが英小文字+空白付きのため赤背景
大文字に変換して空白を削除することによって2段階認証成功

グーグルアカウントは試してみたけどグーグルからのメッセージで2段階認証するので
TOTPはサポート外？ということでいいのかな

[0338 名無しさん＠お腹いっぱい。 2023/11/12(日) 10:43:45.55 ID:uyXFB0iA0]

>>337
対応してる。
ただ、1つ目の二段階認証手段としては、sms,通話、セキュリティキー、ログイン済みスマホでの承認みたいに限定されていて、それらの内、一つを登録すれば、TOTPが使えるようになる。

[0339 あぼーん NG NG]

あぼーん

[0340 名無しさん＠お腹いっぱい。 2023/11/12(日) 18:33:29.62 ID:L/0g7yxE0]

>>339
こういう方法もあるんだな

[0341 名無しさん＠お腹いっぱい。 2023/11/13(月) 05:50:37.33 ID:0PG5xiWJ0]

ステマは法律で禁止されたけど海外にいる人まで逮捕できないからステマし放題なのか。

[0342 名無しさん＠お腹いっぱい。 2023/11/13(月) 08:06:03.94 ID:MDT2eT5n0]

>>341
罰せられるのはステマをさせた業者の方だよ

[0343 名無しさん＠お腹いっぱい。 2023/11/13(月) 08:14:31.75 ID:0Y7zqNsg0]

よく間違ってる人がいるけど
ステマ禁止法にはステマをさせた企業に対する罰則はあるけどステマした個人にはないよ

だから5ch運営がTIKTOKにやめさせるようにクレームを入れればいいだけ、TIKTOK側でBANしてもえたらメシウマ
無視されたら色々すっとばして警察でもいいんじゃね

[0344 名無しさん＠お腹いっぱい。 2023/11/13(月) 09:46:04.42 ID:ZpHr0vpt0]

>>343
ただTikTok自体は広告代理店にぼかした言い方で指示していてステマしろとは言ってないだろう
その下請けやそのまた下請けが勝手に突っ走ったことになってるだろうな

[0345 名無しさん＠お腹いっぱい。 2023/11/14(火) 17:58:32.19 ID:qr8HGroK0]

これでええだろ
https://i.imgur.com/1fr0rIy.jpg

[0346 名無しさん＠お腹いっぱい。 2023/11/15(水) 07:59:59.69 ID:LA/Xdl5I0]

絵絵

[0347 名無しさん＠お腹いっぱい。 2023/11/15(水) 19:26:01.47 ID:B9+rJ9TA0]

こっちにしてみた
https://i.imgur.com/r9nHQna.jpg

[0348 名無しさん＠お腹いっぱい。 2023/11/18(土) 12:00:36.98 ID:3uUWIK3I0]

使ってはいけないパスワード2023年版、第1位発表
https://news.mynavi.jp/techplus/article/20231116-2819873/
こういうのって放置パスワードなのかと思ってたけど
順位変動有るって事は使っててコレなんだな
ホラーだわ

[0349 名無しさん＠お腹いっぱい。 2023/11/19(日) 11:44:28.52 ID:hj4luLpJ0]

生年月日安心安全説

[0350 名無しさん＠お腹いっぱい。 2023/11/21(火) 20:18:23.32 ID:imQDPxlA0]

>>348
11番目、うんこ自身に空目した。自虐かなと思ったら、unknownだった。