パスワード管理ツール Part17

2024/08/24(土) 08:49:39.59

!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part16
https://itest.5ch.net/egg/test/read.cgi/software/1700726576

スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/
https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/

VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured

2024/08/24(土) 12:48:52.81

スレ立て乙

警備員[Lv.19] (ﾜｯﾁｮｲW 9f81-6q/o) · 2024/08/24(土) 12:51:34.62

乙 >>1
愛してる😘

2024/08/24(土) 12:54:14.97

>>1
前スレで勉強になったレス

294 名無しさん＠お腹いっぱい。 sage 2024/04/06(土) 21:56:31.33 ID:9I08FCKc0
パスワード管理
有料
1Password

無料
Bitwarden / KeePass系

無料TOTP専用アプリ
2FAS (Android / iOS)
Aegis (Android)
Ente Auth (Android / iOS / Linux / macOS / Windows)
Zoho OneAuth (Android / iOS
/ watchOS / macOS / Windows)

2024/08/24(土) 12:56:49.92

関連スレ

Bitwarden Part 5
https://egg.5ch.net/test/read.cgi/software/1724467132/

警備員[Lv.8][新芽] (ﾜｯﾁｮｲ 9fb1-bHMQ) · 2024/08/24(土) 13:44:06.55

パスワードなんか使うのやめてパスキー使いなよ。ログイン時に毎回パスワード送信するなんてセキュリティ的に大問題だし、時代錯誤も甚だしいよ
パスワードでサインインするのはパスキーが使えない非常時や移行時だけにすべき

2024/08/24(土) 13:48:03.87

>>6
パスキー未対応のサイトのほうが多いのにそれ言うの

2024/08/24(土) 16:17:15.33

Googleとかgithubのアカウントでソーシャルログインできるサイトは多いから実質的にパスキー使えるサイトは多いかもしれない

警備員[Lv.4][新芽] (ﾜｯﾁｮｲ 1f51-bHMQ) · 2024/08/24(土) 17:32:08.22

>>6
サーバー側が公開鍵を漏洩しても、直ちには被害が起きないというのも大きいね

2024/08/24(土) 22:21:14.98

>>1
乙。

パスキー、デバイス紛失した時はどうなっちゃうのん。
その辺り良く判らなくて利用に踏み切れない。(情弱感

2024/08/25(日) 10:12:46.33

>>6
さすが意識が高くていらっしゃる

2024/08/25(日) 12:50:40.62

パスキーはbluetooth対応してるやつがいいけど種類がないし高いんだよな
あってもfido2非対応とかだし

2024/08/30(金) 19:23:19.78

keepassxからLight FXへのotp自動入力が昨日から出来なくなったのだけど、解決方法分かる人おりますか？

2024/09/06(金) 09:27:59.78

「Google One」不要の無料「ダークウェブレポート」、ようやく提供が開始 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1621354.html

2024/09/26(木) 21:28:37.37

どんぐり外されてるのなこの板

2024/09/27(金) 18:00:14.52

>>15
SETTING.TXTのBBS_ACORNのことなら一度も設定されていないと思うけど

2024/10/08(火) 10:41:25.50

そろそろパスワード管理ソフトを使おうと思うけど何を使っていいものやらよく分からん
WindowsとiPhoneで同期できること、登録数は無制限、
無料で利用可能（サブスク期限切れなどでパスワードを人質に取られない）、
パスワードだけでなくメモ単体も保管できればいい（必須ではない）、
Webページ等のフォームへの自動入力はなくてよい、動作が安定している

という要件で探すと、ID Manager＋PManagerでXMLファイルを扱うのが
一番いいのかと思うけど一番なのかは自信がない

2024/10/08(火) 12:16:07.24

>>17
定番のKeePass系おすすめ
iOSだとKeePassiumになるのかな
無料プランだとデータベースファイルは1つしか扱えないみたいだけど
ぽんぽん切り替えるものでもない
ID Manager同様データベースファイルは自分の管理領域に置けるので
そのアプリが提供されなくなったら別のKeePass系アプリに乗り換えればいい

2024/10/08(火) 13:31:31.88

このスレ的には釈迦に説法か

“パスワード変更”をユーザーに定期的に要求はダメ　米国政府機関が発表　「大文字や数字を入れろ」の強制もNG：Innovative Tech - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2410/07/news054.html

2024/10/08(火) 17:28:05.31

>>19
NISTが2017年にSP800-63第3版を正式発表して
この前までSP800-63第4版第2次公開草案で意見募集していた

みたいな背景が書かれてない記事だから、何で今更SP800-63B？って思った

2024/10/09(水) 10:52:58.11

KeePass 2.57.1 released
2024-10-08

https://keepass.info/

2024/10/09(水) 16:27:00.03

本家のKeepassとKeepassXCって何が違うんですか？

2024/10/09(水) 19:57:15.29

作ってる人が違う

2024/10/09(水) 22:20:56.85

自分でざっと調べてみましたが
KeePass→Windows版だけで、プラグインが豊富
KeePassXC→マルチプラットフォームで、基本機能でほぼ賄っている
セキュリティ的にはどっちも同じ、という認識で合っているでしょうか？

警備員[Lv.8][新芽] (ﾜｯﾁｮｲW 9e62-7LTt) · 2024/10/09(水) 22:33:59.96

>>24
だいたい合ってる
セキュリティで脆弱性は片方だけ指摘される事もある
パスキー対応のXCすすめとく

2024/10/10(木) 08:44:49.88

keePassってむりょうでも十分使えるんだねkeePassとbitwardenってどっちがいいの

2024/10/10(木) 10:05:46.43

>>26
KeePassは全部自己責任、クラウドも自分で用意(オフライン運用でもいいけど)
比較する前提が違う気がする

2024/10/10(木) 10:38:59.06

LinuxだけどKeePass使ってる…のでWin版だけってことでもないかと

2024/10/10(木) 12:43:02.76

bitwardenよりDropboxのセキュリティのほうを信頼してるからkeepass使ってるな

2024/10/10(木) 17:55:17.24

>>26
KeePass系はオフライン前提のアプリ
パスワード等が記録されるデータファイルの置き場所はユーザが決める
ローカルストレージに保存するのが基本（完全オフライン運用可能）だけど
ユーザ自身が契約しているオンラインストレージに保存してもいい
そうすればPC～スマフォ間で同期できる
そのためのプラグインやファイルピッカーがある
データファイルの仕様は存在するけどアプリとしての実装は自由なので
本家だけでなく有志によってもいろんなアプリが作られている

Bitwardenはオンライン前提のサービス
パスワード等が記録されるデータはBitwardenのサーバ上に置かれる
PCでもスマフォでも同じアカウントを使えば見えるデータは同じ
サーバにアクセスできない状態では（基本的には）使えない
サービスを使うためのアプリはブラウザ拡張機能デスクトップ用スマフォ用 CLI用等いろいろある
機密情報の塊となるデータを（ユーザ自身ではない）他者に預けることになるので
セキュリティ上問題視されたりする
もちろん運営は万全を期していると言う
サーバを自分で運営するためのツールも公開されている
前述の問題を払拭するため猛者はセルフホストでサーバを立てる

このような違いがあるので >>27のように
そもそもの前提が異なると言われることが多い

2024/10/10(木) 19:00:20.86

>>30
＞サーバにアクセスできない状態では（基本的には）使えない

というのはきついな。仮に短時間でもサーバの調子が悪い時に当たったら
情報を参照できない（ユーザー名やパスワードを記憶していない限り
サービスにログインできない）のだし

2024/10/10(木) 19:37:38.70

>>30
なるほどなありがとう
KeePassのほうが柔軟だしセキュリティも高められそうだけど
詳しくない人に勧めるには難易度高そうだ

2024/10/10(木) 21:50:46.19

KeePass系を使用する際
データファイルの保存先をオフラインにしようがオンラインにしようが
データファイル自身にパスワードとキーファイルによる暗号化を施すのはお約束

>>31
一応アプリ側にキャッシュが残っていれば
サーバへのアクセス障害（経路上のネットワーク障害含む）時にはそちらを読みに行って
その時点での情報を参照できる可能性はあるけど
その辺はアプリ側の実装次第

データをオンラインストレージに保存する設定にしたKeePass系でも
ストレージサービスへのアクセス障害時に情報を参照できなくなるのは同じ
でもだいたいのKeePass系アプリは常時ローカルバックアップを取っていると思う

>>32
詳しくない人にこそ KeePass系の方がお勧めともいえる
ローカルに保存したデータファイル
ならびにその暗号化パスワードとキーファイルの管理をできればOK
仕組みとしてはローカルにおける文書作成・編集と大差ない
なお機器自身の故障への対策が別途必要だけど
それはPCやスマフォにおける日常の運用の範疇かと

逆に詳しくない人こそ Bitwardenというか
パスワード管理系のオンラインサービスを使うべきではない
そのサービス自身のアカウント情報を漏らしたら1発アウト
…にならないように多重認証がデフォルトになっているサービスばかりではあるけど
あと前述の障害の話もあるのでそもそもの仕組みを理解できていないと対応が難しい

1passwordやLassPass 最近ではそれこそBitwardenを導入する企業が多いけど
利便性やコスト削減ばかり重視（セキュリティポリシー等を軽視）して
従業員に適当に使わせてしまっているので大変

2024/10/11(金) 11:12:59.81

KeepassでもDropboxとかでローカルにも保存設定しとけばサーバーアクセス気にしなくていいし便利よね
Cryptomatorとかも使って3重に暗号化されてるから万が一クラウドがやられて流出しても問題ない

2024/10/11(金) 11:13:28.86

本家よりXCが便利過ぎだけど

2024/10/11(金) 19:13:12.35

詳しくない人ならkeepassでも、bitwardenでもどっちでもいいよ。

2024/10/11(金) 20:43:25.90

>>31
LAN内からしかアクセスできないBitwarden鯖を立ててるけど
スマホ版は鯖と通信できない外出中でも使えるよ
うっかりデータ更新をしようとすると流石にエラーが出るけど

2024/10/11(金) 21:02:56.04

完全に同期なしのPCローカル運用ならkeepass最強だけど、スマホとか多数のPCも同期するとなるとなー
最初からサーバー管理前提のbitwardenには全然かなわんのよな、まあしょうがないが

2024/10/12(土) 01:22:33.09

AndroidはDropbox自動同期させるアプリあるけどね
iPhoneは面倒くさい

2024/10/12(土) 02:28:14.18

iPhone使いは1Password使っとけ
Apple社員も使ってるから

2024/10/12(土) 08:56:03.23

iPhoneとGalaxyでシームレスに使えるからBitwarden使ってるわ

2024/10/12(土) 10:30:47.05

Bitwarden 1択だろ。日本語対応、無料、iPhoneとWindowsでその場で一瞬同期。BitwardenはNPO団体開発アプリで安心、どう考えてもBitwarden以外選択肢にないわ

2024/10/12(土) 13:33:59.73

NPOなのか？普通に営利企業だと思ってた。あと、NPOだから安心という理屈もよくわからない。

2024/10/12(土) 15:18:32.36

営利企業だよ

2024/10/15(火) 01:37:41.54

keepassだって日本語使える、無料、windowsやiPhoneでデータ同期できるじゃない

2024/10/15(火) 19:05:04.07

ローカル話でEnpassの話題なし

2024/10/16(水) 00:20:04.94

Enpassって昔は主流だったけどなんか問題あって使う人減ったよね
どんな問題だったか忘れたけど

2024/10/16(水) 07:42:11.70

企業に任せたくないんでkeepassで良いです

2024/10/16(水) 21:44:10.75

企業に任せたいんで1Passwordで良いです

2024/10/17(木) 10:25:14.28

1passとかいうゴミアプリ使いガイジってまだ存在したんだ.....

2024/10/17(木) 15:02:50.04

どの部分がゴミ？
有料のところ？

警備員[Lv.5][新芽] (ｱｳｱｳｳｰ Sacf-4w5Q) · 2024/10/17(木) 15:14:32.38

相手せんでええっての

2024/10/17(木) 23:08:35.24

>>25,35
PassKey処理をインターセプトするの気持ち良過ぎだろ

>>48-49
ある意味真理

2024/10/18(金) 06:05:37.93

XCがAndroid番出してくれたら最高なんだけどなあ

2024/10/18(金) 07:17:15.24

KeePassを試しに使ってみようかと思って少し触ってみたけど
データの登録がめんどくさいな…（当然、KeePassだからというわけではないけれど）
これまではプレーンテキストのファイルに自由なフォーマットで書いていたから
KeePassの各項目ごとに振り分けて登録するのが大変

2024/10/18(金) 07:46:32.25

>>55
件数多いなら元のテキストをcsvに整形してインポートしたら楽なんじゃない?

警備員[Lv.7][芽] (ﾜｯﾁｮｲW fb62-A3rB) · 2024/10/18(金) 10:52:35.59

>>55
KeepassXCとブラウザアドオン入れる
ブラウザでウェブサイトに手動ログインしてID保存画面出すのが楽

2024/10/18(金) 13:28:05.40

>>54
DXが似たような使い心地じゃない?
凝った使い方するなら知らんけど

2024/10/18(金) 13:33:47.13

Bitwarden以外使ってるアホって自殺する前にちゃんとアマギフのコードここに書いとけよ

2024/10/19(土) 20:01:21.09

このスレ的にはSafe In Cloudってどういう評価ですか？

2024/10/19(土) 20:04:33.05

>>60
たまに好きな人が名前をあげるくらい。
ほとんどの人はよく知らないんじゃないの。

2024/10/19(土) 20:23:33.26

>>60
高額すぎ

2024/10/20(日) 07:35:49.37

>>61
相手すんな
こいつ例の宣伝厨やろ

2024/10/20(日) 14:52:38.42

>>63
誰のことをおっしゃっているか分かりかねますが別人です。
私はたまにしか書き込みませんから。

警備員[Lv.6][新芽] (ﾜｯﾁｮｲW cd62-I7Ga) · 2024/10/20(日) 15:09:14.38

>>60
クローズドソース、セキュリティ監査無し
昔PC版試用したが使い勝手悪かった

AI評価
機能面では高評価を得ていますが、企業の透明性や信頼性に関して懸念があります。多くのユーザーは使いやすさと機能の豊富さを評価していますが、セキュリティに特に敏感なユーザーは、より情報公開の多い他のアプリを選ぶ傾向があるようです

警備員[Lv.6][新芽] (ｱｳｱｳｳｰ Sa45-TzK+) · 2024/10/20(日) 15:29:14.53

そのAI評価、いるか？

2024/10/20(日) 15:45:50.48

>>61-62,65
おおむねわかりました、ありがとうございます。
やはりキーファイルが使えるKeePass系の方が良いみたいですね。
重ね重ねありがとうございます。

2024/10/21(月) 20:08:37.06

>>66
AIが言うんだから間違い無い

2024/10/21(月) 22:57:46.60

Bitwarden以外使ってるやつはゴミ

2024/10/22(火) 17:03:38.93

You will soon be able to easily move your passkeys between password managers - PhoneArena
https://www.phonearena.com/news/you-will-soon-be-able-to-easily-move-your-passkeys-between-password-managers_id163730

2024/10/22(火) 19:13:37.86

>>12
アリエクで買うとかぼくはやっぱりLastPass一択

2024/10/22(火) 19:14:16.04

ありゃ
なんでもない

2024/10/29(火) 13:32:40.68

みんな生体認証って使ってる？
ドコモのDアカウントのパスキーをWindowsに設定するため指紋リーダーかWebカメラ導入するのだけど
管理ツールのほうで生体認証を使うのはセキュリティや障害リスク的に本末転倒なような気がしてならないど

2024/10/29(火) 17:09:39.03

>>73
セキュリティとしては
複数の要素が揃わないと成立しないという点において
他の多要素認証と同じだよ
その人のdアカウント←その人の生体情報
となるのではなく
その人のdアカウント←その人所有のWindowsPC内のdアカウント専用パスキー←WindowsHello（その人の生体情報）
という関係性になる
つまりPCだけあってもあるいは生体情報だけあっても駄目で
その両方が揃う必要がある

障害リスクとしても他と同じかなあ
WindowsPCが壊れたり生体情報が失われたりしたら終了という事態を避けるため
- 別のパスキーも設定しておく別のPCやスマフォ YubiKeyやKeePassXCとか
- WindowsPCそのもののあるいはパスキーのバックアップを取っておく
- 従来のパスワード+OTP認証の設定は残しておく
などの運用としての対策は必要
ただし運用次第ではそれこそ本末転倒になる
WindowsPCごと盗まれるとかバックアップが漏洩するとか…

2024/11/01(金) 11:53:35.48

ロボフォームはどうなんだろう　

2024/11/01(金) 15:45:01.19

ロボフォーム良いよ最高クラスだと思う

2024/11/03(日) 21:01:15.95

結論、Bitwardenが最強

2024/11/15(金) 15:29:09.07

Top 200 Most Common Passwords | NordPass
https://nordpass.com/most-common-passwords-list/

警備員[Lv.4][新芽] (HappyBirthday!W 4ea5-wxQF) · 2024/11/20(水) 23:22:35.37

LastPassアプリにマスターパスワードでログインできなくなった
パスワード変更はできたので変更したが、変更後のパスワードでもログイン不可
無償利用していてモバイル版、PC版のどちらかしか使えない
PC版に切り替えてWebブラウザでログインして
パスワードのパックアップを保存した

keepassに乗り換えるか

2024/11/21(木) 10:46:00.77

keepassのブラウザ拡張機能のおすすめありますか？

警備員[Lv.6][新芽] (ﾜｯﾁｮｲW 62f3-wxQF) · 2024/11/21(木) 16:42:17.59

>>79
今日ログインできるようになった
でもデータ消失が怖いからkeepassに乗り換える
以前、LastPassで漏洩騒ぎもあったし愛想がつきた

2024/11/21(木) 23:07:09.18

Bitwarden使ってないゴミってまだいたんだ...

2024/11/21(木) 23:58:48.09

>>80
PCで使うなら
KeePassXC本体とKeePassXC拡張機能の組み合わせがベスト

2024/11/22(金) 09:21:58.76

>>83
ありがとう。すごい良さげだ。
BITWARDENみたいに企業にデータ預けるのは万が一漏洩すると怖いからな。

2024/11/23(土) 15:08:50.02

結論、Bitwardenが最強すぎる

2024/11/23(土) 15:40:11.04

>>85
ロボフォームのほうがいいぞ
お気に入りみたいに使えたり直前に使った順に並び替えられたり
選択するだけでログインボタンまで押してくれるぞ

2024/11/23(土) 17:09:09.65

そいつに構うな

2024/11/23(土) 23:01:21.21

ID:bPnxNhQx0
↑
このガイジBitwarden使ったことなくて草

2024/11/24(日) 06:18:37.70

>>84の直後に>>85の書き込みは頭おかしすぎる

2024/11/24(日) 07:22:38.25

状況と目的に合わせて適切なツールを使い分けられる人が最強
俺はばかの一つ覚え
めんどくさいし

2024/11/24(日) 12:53:55.77

つまりBitwardenが最強なんだよな

2024/11/24(日) 15:47:10.66

データ預けたくない人向けに自鯖立てられるのってBitwardenくらいじゃね？

警備員[Lv.6][新芽] (ﾜｯﾁｮｲW ff62-dpsw) · 2024/11/24(日) 15:58:30.33

無料＆自分でホストして全機能を利用できるオープンソースの高機能パスワードマネージャー「Psono」レビュー

2024/11/24(日) 17:10:21.56

keepassでいいやん

2024/11/24(日) 19:35:16.20

>>92
https://github.com/awesome-selfhosted/awesome-selfhosted?tab=readme-ov-file#password-managers
ここにその手のツールが纏められている
もちろんこれ以外にもある
別にBitwardenが先駆者であり唯一無二というわけでもないよ

2024/11/24(日) 19:48:24.12

二段階用でSMS使うと、電話番号が失効したら終わり
Google Authenticatorなどのスマホアプリは、オンラインで情報が無料維持されるが、デバイス盗難やハッキングに弱い
WinAuthなどのPCアプリはポータブル化が必須で、アプリと復元コードのバックアップ必須なのでデバイス破壊に弱い
もっと革新的な手法が欲しい

2024/11/25(月) 23:43:33.04

Bitwardenってネットじゃなくってローカルで使えるって聞いたけど簡単にできるの？？

2024/11/26(火) 01:28:51.42

>>97
Self-hosting（Bitwarden公式ドキュメント）
https://bitwarden.com/ja-jp/help/self-host-an-organization/

派生（軽量化等有志による改良）のVaultwarden
https://github.com/dani-garcia/vaultwarden/
個人で立てるならVaultwardenの方がお勧め
日本語の解説は"Vaultwarden サーバ"とかで検索すればいくらでも出てくる

簡単かどうかは人による
Docker前提なので各種サーバをそれぞれ構築していた昔に比べれば簡単になったといえるかもしれない
失敗したところで誰にも迷惑をかけないという点で自動車の運転よりは簡単

2024/11/26(火) 09:11:48.25

>>98
ありがとうございます。

2024/11/26(火) 11:45:11.02

つまりBitwardenが最強なんだよな

2024/11/27(水) 00:36:14.66

パワードスーツ管理スレ

2024/11/27(水) 21:10:19.37

つまりBitwardenか

2024/11/28(木) 02:13:51.54

>>96
keepassでよくね？

2024/11/28(木) 17:22:54.89

つまりBitwardenか

**!dongri** 警備員[Lv.29] (ﾜｯﾁｮｲW ff8e-xqQ8) · 2024/11/28(木) 21:33:21.69

keepassからbitwardenに移行しようと、ちょっと使ってみたけど気がついたらkeepassXCに着地してた

2024/11/29(金) 19:08:09.75

roboform2goの買いきり版を持ってたけど、久しぶりに起動したら、無料版として起動して、活性化するためのページがアクセス出来なくなってた。
ここは信用できんな。

2024/11/30(土) 11:45:17.83

Bitwardenが最強すぎるんだよな普通に

2024/12/09(月) 22:59:55.36

どんなに優秀なパスワード管理ツールを使っても
ブラウザにパスワードを保存していなくても悪意のあるブラウザにはパスワードが筒抜けになるのではないかと不安

2024/12/09(月) 23:32:14.07

悪意のあるブラウザってなに？

2024/12/10(火) 16:57:36.08

中華製ブラウザ

2024/12/10(火) 17:55:24.76

>>109
ログイン画面で入力したIDやパスワードをログインボタンを押したタイミングで盗めるのではないのかということ

2024/12/10(火) 18:23:14.30

>>111
それはもともとブラウザが受け取ってサイトに送り出すものだから、パスワードはブラウザには筒抜けでしょ
信頼できないブラウザや拡張機能か入っている可能性があったらパスワード入れちゃだめ

2024/12/10(火) 22:28:26.74

>>111
そんなブラウザ使わなければいいだけなのでは？

2024/12/10(火) 23:14:21.07

ブラウザがダメだったらパスワードマネージャーとか関係なく全部筒抜けやん

2024/12/11(水) 00:44:14.63

>>112-114
やはりブラウザには筒抜けですか
となると個人開発のブラウザで特にスマホのブラウザは沢山あるので怖いですね
素人なのでhttpsならブラウザ側にもわからない仕組みなのかなと淡い期待をしていました

2024/12/11(水) 03:21:56.33

>>115
アプリで扱う情報はそのアプリに筒抜けなので
信用ならないあるいは自分の制御下に置けないアプリは使うべきではないですよ
ブラウザに限った話ではありません
業務上のクレデンシャルをLINEとかのチャットツールで伝達とかとんでもない

2024/12/11(水) 03:24:56.94

>>115
パス管理ツールを除けばブラウザが一番危ない

2024/12/11(水) 05:15:15.95

>>116-117
好みだしパスワードはブラウザに保存させなければいいかと思い
中華の無名な会社のブラウザを使っていました...
勉強になりましたありがとうございます

2024/12/11(水) 19:33:54.50

悪意のあるブラウザがインストールされている
= 悪意のあるソフトウェアがインストールされている
だから悪意のあるソフトがインストールされてしまっている時点で
そのPCのキーボード入力、画面のキャプチャ、ファイルなどの
あらゆる情報が盗まれる可能性が高い。

2024/12/11(水) 23:23:22.94

FirefoxにBitwardenの拡張。このコンビが最強

2024/12/12(木) 02:30:33.48

google検索の上位にフィッシング、ショッピング詐欺サイトが出てくるけど
警察は危機感ないの？

2024/12/12(木) 11:12:07.57

>>119
スマホで自分がインストールした知名度の低いブラウザが
パスワードを盗めるのかって話です

Bitwardenを使っているためブラウザに保存はしません

2024/12/12(木) 21:38:21.45

>>122
・その知名度の低いブラウザ上でパスワードを入力したりコピペしない。
・パスワードをクリップボードにコピーしない。
のであれば盗むのは難しいかもしれないが。

2024/12/14(土) 19:55:09.53

>>123
やっぱりそれしかないですよね
使い勝手は好きなブラウザなのですがログイン等はしないことにします

2024/12/26(木) 14:35:04.86

ブラウザ名を書けよ

特定アプリで～しないって対策も有効だけど
端末から使い分けたほうが安心か

2025/01/13(月) 17:41:31.56

いろんな場面で勉強頑張るしかない
https://i.imgur.com/beH718s.png

2025/01/13(月) 19:26:47.31

アベノミスクが大失敗だったように見えないしセンター分けは変わらない

2025/01/13(月) 20:30:51.73

下手な鉄砲数撃ちゃ当たる形式やな

2025/02/20(木) 22:47:25.76

ブルートフォースって下手な鉄砲じゃなくて的が見えないんだよな

2025/03/02(日) 07:14:47.84

KeePass 1.43 released

2025/03/15(土) 10:15:52.02

PCとスマホ連携できて「Windows Helloでマスターログイン」
できる無料ソフトってまだないんですかね

PCのKeePassはHelloで「最小化から復帰」できるのに
起動時のログインはパスワードを打ち込まないとあかんよね
スマホは顔認証でいけるのに

2025/03/15(土) 11:06:18.89

>>131 あほか？
Windows Helloで許可してたらザルにもほどがある

2025/03/15(土) 11:25:16.54

でも「有料」のKeeperはHelloログイン可能だよね？

2025/03/15(土) 12:05:43.90

>>106
chromeに続きedgeでも一昨日から使えなくなった
定期払いをまた契約せな使えんのか？

2025/03/15(土) 16:52:13.68

スマホ用有料アプリにありがちだよな。PC用ソフトだと珍しい事例だけど

2025/03/15(土) 18:47:50.56

>>133
Keeperのそれは
KeeperのWindowsアプリがKeeperへのログインにおいて
Windows Helloに対応しているのであって
WIndows Helloそのものでデータに暗号化を施しているわけではない
やっていることはKeePassにおけるクイック解除と同じ
マスターパスワードとは別の概念

KeePassで似たようなことをしたいのなら
KeePassWinHello や WinHelloUnlock といったKeePassプラグインを使えばいい
プラグインあるいはWindows資格情報がマスターパスワードを記憶してくれて
その行使に対してWindows Helloが要求されるようになる
マスターパスワードそのものになるわけではなく記憶してくれているだけなので
変更された場合には改めて通常のログインが必要になることに注意

>>132と同じ理由で全くお勧めはしないけどね

2025/03/16(日) 03:45:09.27

MICROSOFT の　AUTHENTICATOR というスマホアプリいれてたら
そこにパスワード管理データがどさっと何故か入ってて焦ってちまちま全部けしたけど
いつ自分いれたんだ？
怖いんだけど

2025/03/16(日) 22:25:58.50

>>137
WindowsやMS EdgeをMicrosoftアカウントで使っていて
MS Authenticatorを同じMicrosoftアカウントで使っていると
記憶させたパスワード等の情報が同期されるよ
Android側のパスワード記憶をGoogleからMS Authenticatorに変えると更に連携が深くなる

**１３７** 警備員[Lv.11] (ﾜｯﾁｮｲ 93af-NA3g) · 2025/03/17(月) 15:25:03.28

無意識に、エッジブラウザにパスワードをインポートしてそれが反映されてたのかもな？

2025/03/18(火) 00:05:58.91

>>137
OTPはそれ使ってる
ブラウザにパス保存しないので変な挙動は見当たらないが
Microsoftの8文字OTPは一度も使ったことがない
使うことあるんだろうか

2025/03/18(火) 09:48:30.73

>>137
マイクロソフトの二段階認証、に使う目的で入れたんやろうか
ログイン履歴見ると世界中から一時間おきにアタックして失敗しとるから、何かあったほうが

2025/03/18(火) 21:25:15.00

LastPassのマスターパスワード、解読され攻撃に悪用される
news.mynavi.jp/techplus/article/20250318-3149283/

2022年の事件当時にセキュアノートへシードを保存していた人たちの暗号資産が盗まれたんだと。

2025/03/23(日) 03:32:17.17

サーバの場所はbitwarden.com と.euだと分散させるという意味ではeuのほうが良いのか？
例えばNSAが自国に本社のあるbitwardenに圧力かけて来た場合サーバがEUにあるほうが米国の主権が及ばない分より手間がかかるとか

2025/03/23(日) 09:24:39.58

>>143
どっちも大して変わらんよ
そこを気にするなら自分のサーバー使ったほうが良い
bitwardenはそれが簡単にできることも強味なんだから

2025/03/23(日) 14:03:12.22

楽天証券で大勢の顧客が乗っ取られて大金が動いた、と報道されてるな

2025/03/26(水) 12:46:29.07

>>142
漏洩したハッシュ値へのブルートフォース攻撃でマスターパスワードがバレた可能性があるとのこと
LastPassではマスターパスワードのハッシュ化の際のPBKDF2の反復回数が以前は１０万回と少なかったようだ。

現在は1PASSWORDで65万回、LASTPASSで６０万回、bitwadenで７０万回とよりブルートフォース攻撃に時間がかかるようにしているらしい

2025/03/26(水) 12:50:41.42

ただハッシュ化の際の反復回数はブルートフォース攻撃のコストをリニアに増やすのに対して、パスワードの桁数を増やすと攻撃コストは指数関数的に増えるので強いマスターパスワードを使うのがより効果的らしい

2025/03/29(土) 20:15:11.58

1password導入した。ログインはスムーズだけど
金融機関の出金とかの別パスワードはコピペでやるしかないのか
思っていた便利さではないが、一元管理できるのがいいのかな。

2025/03/31(月) 05:50:23.70

最近Infostealerが話題になってるけど、
日本を狙ったInfostealerでもkeepassとか1Passwordのデータも盗むんだな
怖いな
KeepassXCの方が安全なんだろうか
ps://asec.ahnlab.com/jp/52719/

2025/03/31(月) 06:57:31.72

XCも大して違わんだろ
見た目は大違いだけど内部的にはkeepassと共通する部分が多いんじゃね

2025/03/31(月) 10:13:20.72

>>149
記事を読む限り、1Passwordからエクスポートした平文ファイルを探しているだけに見えるが

2025/03/31(月) 21:27:11.25

>>149
記事の中にある
検索するファイル名にkeepass 1.xの.kdb、バージョン2.xの.kdbxが対象とあり
XCの現物は触ってないからわからないがwikipediaの記述では
keepass 2.xと同じ.kdbx拡張子を使うとあるから対象内だろう

「メモ」とか「アカウント」とか「パス」ファイルも対象に含まれてるから
デスクトップにパスワードファイルおいてるのも抜かれる

2025/04/01(火) 08:56:26.18

拡張子変えとけばOK？

2025/04/03(木) 04:05:24.08

結論 Bitwardenが至高で最強

2025/04/03(木) 08:45:14.08

マウント小学生

2025/04/11(金) 10:26:57.66

Proton Pass入れてみた
UI好きだな

2025/04/13(日) 03:39:10.82

keepassからkeepassXCに
Windowsは替えてみたけど
データベースはKeepassのからそのまま流用でいいのでしょうか

2025/04/13(日) 04:40:43.51

>>157
流用でOK

2025/04/13(日) 11:10:22.54

>>158
KeepassXCはkeepassのデータベース流用して使ってるけど
ChromeのkeepassXCプラグインが
何度試しても
データベースを開いていません
と出るんで困ってます
データベースを再度開くを選ぶとkeepassXCに推移するので連携は出来ているのですが

2025/04/13(日) 21:30:30.36

なんかアドオン入れ直したりkeepassXC設定の連携し直しで連携取れた。
アドオンめちゃくちゃ便利だな、でもkeepassXC Androidで使えないAndroid側からブラウザの連携出来ないの惜しい。

2025/04/16(水) 16:17:53.79

AndroidでKeepass2Android使っているけど
稀に入力出来ないフォームあるよなあ
自動入力
って項目あるけどKeepass2Androidは選べなくて

2025/04/16(水) 16:23:02.85

せっかく書くなら2,3例示しろよ

2025/04/19(土) 02:48:30.06

結論 Bitwardenが至高で最強

2025/05/05(月) 01:32:52.46

>>162
Androidだけど尼のブラウザからのログインは自動入力選択しても
keepass入力が何故か出来なかった
でもBitwardenを入力に切り替えてみたら
Bitwardenの入力受け付けるんだよ。
KeepassからBitwardenへのデータインポートが出来るなら乗り換えてみたいが

2025/05/12(月) 15:01:47.70

Nvidia RTX 5090は、わずか3時間で8桁のパスコードを解読でき、パスワードクラッキングのベンチマークは驚異的なパフォーマンスを示しています
Nvidia RTX 5090 can crack an 8-digit passcode in just 3 hours — password cracking benchmarks show tremendous performance | Tom's Hardware
https://www.tomshardware.com/pc-components/gpus/nvidia-rtx-5090-can-crack-an-8-digit-passcode-in-just-3-hours

2025/05/14(水) 10:07:32.07

結論 Bitwardenが至高で最強

2025/05/14(水) 21:09:10.33

投資やってる人って導入してる？

2025/05/14(水) 22:49:48.41

>>167
金融関係はローカルでKeePassXC使ってるよ
それ以外はBitwardenだけどね

2025/05/14(水) 23:20:27.11

>>167
keepassXC使ってるよ。
パスワードとTOTPを別ファイルで管理してる。

2025/05/15(木) 00:49:31.82

投資やってます
証券会社のパスは頻度高いのは暗記していて打ち込んでるんだが
あんまり重要じゃないパスブラウザに記憶させている

ブラウザの機能で記録させると緩いからパスワードマネージャー使った方が良い
と聞いたのでここ見に来たんだが、使ってても抜かれるっていう話をちょっと上でしているね

2025/05/15(木) 07:56:52.37

1password導入済みでYubikey Bio購入予定。
パスワード管理ソフトだけだとまさにパスワード管理ソフトの動きを模倣する偽UI攻撃とかあるらしいからね、、、
Yubikey高いけどリスク考えたらやむを得ない感じだわ。

2025/05/15(木) 08:12:12.37

書いてから気づいたけど認証アプリで2要素認証出来たな、まあスマホ持って来るの面倒な時とかあるからいいけど。

2025/05/15(木) 08:14:30.08

いや、認証アプリじゃ駄目か。パスワード手で入れる必要あるし。

警備員[Lv.5][芽] (ﾜｯﾁｮｲ 6f8a-/14X) · 2025/05/15(木) 10:53:24.97

LastPassで、パスワードをいつ更新したかを一覧表示することはできる？
盗られた保管庫のマスパスが解読されないうちに一通り変えたい。

こんな公式記事もあるのに方法が見つからない。
昔はセキュリティチャレンジをやると古いパスワードが警告されていたそうな。

What Is Password Rotation, and Why Is It Important?
//blog.lastpass.com/posts/what-is-password-rotation

警備員[Lv.4][新芽] (ﾜｯﾁｮｲW f362-7KqZ) · 2025/05/15(木) 12:00:09.22

>>174
LastPass CLI
実際に出来るかは知らない

www.perplexity.ai/search/lastpasste-hasuwatowoitugeng-x-hX9Lz0u6Q0GjmE1AJToigg

警備員[Lv.5][新芽] (ﾜｯﾁｮｲW bf62-7KqZ) · 2025/05/15(木) 17:21:30.29

>>174
>>175がエラー表示だからコピペ

CLI（コマンドラインツール）を使用した方法
LastPass CLI（コマンドラインインターフェース）を使用すると、より詳細な情報を取得できます。これはLastPassが公式にサポートするオープンソースのツールです。
まず、LastPass CLIをインストールする必要があります
CLIでログインします
lpass login USERNAME
（USERNAMEはLastPassのユーザー名/メールアドレス）

最終変更日時を含めた一覧を表示するには以下のコマンドを使用します
lpass ls --long
または
lpass ls -m
これにより、最終変更時間を含めたリストが表示されます

2025/05/16(金) 17:05:05.87

>>170
ちゃんとしたパスワード管理アプリなら、
保存されているファイルを見られたところで中の情報はわからないけどな

2025/05/19(月) 05:49:15.06

>>176
You know!

2025/05/20(火) 21:12:20.70

結論 Bitwardenが至高

2025/05/20(火) 22:07:09.36

今の口座乗っ取り騒動は、メモ帳に保存してるパスワードをコピペで貼るのとパスワード管理ツールでのログインとは、どちらが危ういですか？

2025/05/21(水) 07:55:42.38

俺はその場合は同じだと思ってる

2025/05/21(水) 08:37:05.10

パスワード管理ツールのブラウザ拡張使ってれば偽サイトでは入力されないから回避できそうだけど

2025/05/21(水) 08:41:48.65

>>180
パスワード管理ツールでURLをちゃんと設定しておけば、
偽サイトでは入力候補に出てこないから、その時点で気づける

2025/05/21(水) 09:07:03.60

以前スマホを替えた時にはおサイフケータイとKeepassさえ使えるようにすれば各種サービスの移行作業はほぼ完了みたいな簡単さだったのに
今は2FAのサービスごとに手間のかかる操作が必要で非常にめんどくさい

とりあえず職場のは設定したけどゆうちょや銀行など、ぜんぜん完了しない

2025/05/21(水) 10:35:28.12

結論 Bitwardenが至高

2025/05/21(水) 11:13:42.83

以前の機種での操作を要求するのとかほんと最悪よな。

2025/05/21(水) 17:30:30.83

AndroidのBitwardenインストールしてKeepassから移行しようとしたけど
変な挙動する、おま環かも知らんけど
Bitwarden起動中に上部のステータスバーが砂嵐みたいになるとか
Twitter起動中にパスワード保存しますかっていう謎の表示が出たり

2025/05/21(水) 19:08:51.74

keepassから乗り換えるメリットある？

2025/05/22(木) 13:20:33.25

lastpass切れ乗り換えるメリットなんかある？

2025/05/22(木) 16:59:25.17

証券会社の不正アクセス結局フィッシングサイトに情報送信したというオチだってね
ここの連中なら被害に遭う心配はないわ

2025/05/22(木) 18:50:22.80

例えばブラウザのブックマークを書き換えて、ブックマーク押下で証券会社のサイトを偽装した画面を開いて、パスワード管理ソフトの挙動っぽい動きをしてマスタパスワードを入力させてパスワードリストをごっそり頂く、というのはどうだろうか。
いや、どうだろうかじゃないけどさ。

2025/05/22(木) 23:49:23.88

証券会社のサイトはブクマに登録せずパスワード管理ツールに登録したURLからアクセス
もちろん普段使いのブラウザではなくセーフブラウザを呼び出すのが安全

2025/05/22(木) 23:53:51.77

Outlookメール使いだけど
2004年ぐらいに作った古いメールアカウントで
Microsoft Authenticatorに紐付け出来ないんだけどやり方が悪いのかな、2段階認証はしたい。

2025/05/24(土) 14:00:54.78

excelからselenium使ってパスワードが必要なサイトをスクレイピングすることがあって
パスワードが書かれたxlsxファイルにパスワードをかけておいて
スクレピング絡みのコードの書かれた別のシートからユーザーフォームでそのファイルのパスワードを打ち込んでメモリに格納させて
パスワードが書かれたxlsxファイルを読み込んでこれもメモリに格納して即ファイルをクローズした後動作
という事をやっていたんだけど、これってセキュリティ的にはどう思う？

xlsxファイルって基本的にはzipだと認識しているけど、zipの暗号化って比較的強度が弱いと聞いたことがあるような・・
パスワードマネージャーを使ってローカルにデータを保存している状態と比べて脆かったりする？桁長くすれば大丈夫？
selenium経由でもパスワードマネージャー使えるのかね？

2025/05/24(土) 17:15:09.99

ブラウザのselenium用のプロファイルにlastpass拡張入れて自動入力させてるわ

2025/05/25(日) 02:18:35.53

>>194
XLSXなら弱いZipCryptoじゃなくてAESだけど、Seleniumのスクリプトにパスワード書くのは危ないと思う

2025/05/25(日) 13:46:21.58

>>196
書いた後ググってたらデフォルトの設定でAESの128ビットってやつで暗号化されていて脆い方ではないみたいね
seleniumのスクリプトに直書きしているやつもあるけど、もれてもいいやつだけですわ

2025/05/26(月) 23:13:34.21

>>197
暗号化強度自体は脆くはないけど
設定しているパスワードが貧弱であれば突破されることに変わりはないので
そこは気を付けて

MS Officeは公開鍵暗号化方式をそろそろ公式に実装しても良いと思う

2025/05/27(火) 19:09:24.70

二つインストールしてんだけど主要なのであらたにパスワードとかいれたら
使ってないほうに同期すればいいんだが
どっちもマスターパスワードとかいれてCSVインポートするのめんどくさい

2025/05/28(水) 14:38:23.57

Bitwardenがやられたようだな