パスワード管理ツール Part17

2024/08/24(土) 08:49:39.59

!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part16
https://itest.5ch.net/egg/test/read.cgi/software/1700726576

スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/
https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/

VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured

2025/05/14(水) 22:49:48.41

>>167
金融関係はローカルでKeePassXC使ってるよ
それ以外はBitwardenだけどね

2025/05/14(水) 23:20:27.11

>>167
keepassXC使ってるよ。
パスワードとTOTPを別ファイルで管理してる。

2025/05/15(木) 00:49:31.82

投資やってます
証券会社のパスは頻度高いのは暗記していて打ち込んでるんだが
あんまり重要じゃないパスブラウザに記憶させている

ブラウザの機能で記録させると緩いからパスワードマネージャー使った方が良い
と聞いたのでここ見に来たんだが、使ってても抜かれるっていう話をちょっと上でしているね

2025/05/15(木) 07:56:52.37

1password導入済みでYubikey Bio購入予定。
パスワード管理ソフトだけだとまさにパスワード管理ソフトの動きを模倣する偽UI攻撃とかあるらしいからね、、、
Yubikey高いけどリスク考えたらやむを得ない感じだわ。

2025/05/15(木) 08:12:12.37

書いてから気づいたけど認証アプリで2要素認証出来たな、まあスマホ持って来るの面倒な時とかあるからいいけど。

2025/05/15(木) 08:14:30.08

いや、認証アプリじゃ駄目か。パスワード手で入れる必要あるし。

警備員[Lv.5][芽] (ﾜｯﾁｮｲ 6f8a-/14X) · 2025/05/15(木) 10:53:24.97

LastPassで、パスワードをいつ更新したかを一覧表示することはできる？
盗られた保管庫のマスパスが解読されないうちに一通り変えたい。

こんな公式記事もあるのに方法が見つからない。
昔はセキュリティチャレンジをやると古いパスワードが警告されていたそうな。

What Is Password Rotation, and Why Is It Important?
//blog.lastpass.com/posts/what-is-password-rotation

警備員[Lv.4][新芽] (ﾜｯﾁｮｲW f362-7KqZ) · 2025/05/15(木) 12:00:09.22

>>174
LastPass CLI
実際に出来るかは知らない

www.perplexity.ai/search/lastpasste-hasuwatowoitugeng-x-hX9Lz0u6Q0GjmE1AJToigg

警備員[Lv.5][新芽] (ﾜｯﾁｮｲW bf62-7KqZ) · 2025/05/15(木) 17:21:30.29

>>174
>>175がエラー表示だからコピペ

CLI（コマンドラインツール）を使用した方法
LastPass CLI（コマンドラインインターフェース）を使用すると、より詳細な情報を取得できます。これはLastPassが公式にサポートするオープンソースのツールです。
まず、LastPass CLIをインストールする必要があります
CLIでログインします
lpass login USERNAME
（USERNAMEはLastPassのユーザー名/メールアドレス）

最終変更日時を含めた一覧を表示するには以下のコマンドを使用します
lpass ls --long
または
lpass ls -m
これにより、最終変更時間を含めたリストが表示されます

2025/05/16(金) 17:05:05.87

>>170
ちゃんとしたパスワード管理アプリなら、
保存されているファイルを見られたところで中の情報はわからないけどな

2025/05/19(月) 05:49:15.06

>>176
You know!

2025/05/20(火) 21:12:20.70

結論 Bitwardenが至高

2025/05/20(火) 22:07:09.36

今の口座乗っ取り騒動は、メモ帳に保存してるパスワードをコピペで貼るのとパスワード管理ツールでのログインとは、どちらが危ういですか？

2025/05/21(水) 07:55:42.38

俺はその場合は同じだと思ってる

2025/05/21(水) 08:37:05.10

パスワード管理ツールのブラウザ拡張使ってれば偽サイトでは入力されないから回避できそうだけど

2025/05/21(水) 08:41:48.65

>>180
パスワード管理ツールでURLをちゃんと設定しておけば、
偽サイトでは入力候補に出てこないから、その時点で気づける

2025/05/21(水) 09:07:03.60

以前スマホを替えた時にはおサイフケータイとKeepassさえ使えるようにすれば各種サービスの移行作業はほぼ完了みたいな簡単さだったのに
今は2FAのサービスごとに手間のかかる操作が必要で非常にめんどくさい

とりあえず職場のは設定したけどゆうちょや銀行など、ぜんぜん完了しない

2025/05/21(水) 10:35:28.12

結論 Bitwardenが至高

2025/05/21(水) 11:13:42.83

以前の機種での操作を要求するのとかほんと最悪よな。

2025/05/21(水) 17:30:30.83

AndroidのBitwardenインストールしてKeepassから移行しようとしたけど
変な挙動する、おま環かも知らんけど
Bitwarden起動中に上部のステータスバーが砂嵐みたいになるとか
Twitter起動中にパスワード保存しますかっていう謎の表示が出たり

2025/05/21(水) 19:08:51.74

keepassから乗り換えるメリットある？

2025/05/22(木) 13:20:33.25

lastpass切れ乗り換えるメリットなんかある？

2025/05/22(木) 16:59:25.17

証券会社の不正アクセス結局フィッシングサイトに情報送信したというオチだってね
ここの連中なら被害に遭う心配はないわ

2025/05/22(木) 18:50:22.80

例えばブラウザのブックマークを書き換えて、ブックマーク押下で証券会社のサイトを偽装した画面を開いて、パスワード管理ソフトの挙動っぽい動きをしてマスタパスワードを入力させてパスワードリストをごっそり頂く、というのはどうだろうか。
いや、どうだろうかじゃないけどさ。

2025/05/22(木) 23:49:23.88

証券会社のサイトはブクマに登録せずパスワード管理ツールに登録したURLからアクセス
もちろん普段使いのブラウザではなくセーフブラウザを呼び出すのが安全

2025/05/22(木) 23:53:51.77

Outlookメール使いだけど
2004年ぐらいに作った古いメールアカウントで
Microsoft Authenticatorに紐付け出来ないんだけどやり方が悪いのかな、2段階認証はしたい。

2025/05/24(土) 14:00:54.78

excelからselenium使ってパスワードが必要なサイトをスクレイピングすることがあって
パスワードが書かれたxlsxファイルにパスワードをかけておいて
スクレピング絡みのコードの書かれた別のシートからユーザーフォームでそのファイルのパスワードを打ち込んでメモリに格納させて
パスワードが書かれたxlsxファイルを読み込んでこれもメモリに格納して即ファイルをクローズした後動作
という事をやっていたんだけど、これってセキュリティ的にはどう思う？

xlsxファイルって基本的にはzipだと認識しているけど、zipの暗号化って比較的強度が弱いと聞いたことがあるような・・
パスワードマネージャーを使ってローカルにデータを保存している状態と比べて脆かったりする？桁長くすれば大丈夫？
selenium経由でもパスワードマネージャー使えるのかね？

2025/05/24(土) 17:15:09.99

ブラウザのselenium用のプロファイルにlastpass拡張入れて自動入力させてるわ

2025/05/25(日) 02:18:35.53

>>194
XLSXなら弱いZipCryptoじゃなくてAESだけど、Seleniumのスクリプトにパスワード書くのは危ないと思う

2025/05/25(日) 13:46:21.58

>>196
書いた後ググってたらデフォルトの設定でAESの128ビットってやつで暗号化されていて脆い方ではないみたいね
seleniumのスクリプトに直書きしているやつもあるけど、もれてもいいやつだけですわ

2025/05/26(月) 23:13:34.21

>>197
暗号化強度自体は脆くはないけど
設定しているパスワードが貧弱であれば突破されることに変わりはないので
そこは気を付けて

MS Officeは公開鍵暗号化方式をそろそろ公式に実装しても良いと思う

2025/05/27(火) 19:09:24.70

二つインストールしてんだけど主要なのであらたにパスワードとかいれたら
使ってないほうに同期すればいいんだが
どっちもマスターパスワードとかいれてCSVインポートするのめんどくさい

2025/05/28(水) 14:38:23.57

Bitwardenがやられたようだな

2025/05/28(水) 15:01:33.55

【悲報】パスワードマネージャーBitwardenに脆弱性🫨🫨🫨 [175344491]
https://greta.5ch.net/test/read.cgi/poverty/1748271550/

2025/05/28(水) 17:04:32.71

>>200
フフフ…CVE!
www.cve.org/CVERecord?id=CVE-2025-5138

2025/06/08(日) 08:42:45.16

>>193
あれ？マイクロソフトのはサービス終了するんじゃなかった？

2025/06/08(日) 08:44:33.24

これ
https://support.microsoft.com/ja-jp/account-billing/microsoft-authenticator-%E3%82%AA%E3%83%BC%E3%83%88%E3%83%95%E3%82%A3%E3%83%AB%E3%81%AE%E5%A4%89%E6%9B%B4-09fd75df-dc04-4477-9619-811510805ab6

2025/06/11(水) 12:12:19.01

Windows10をアップデートしたらKeepassXCが自動起動しなくなった
設定にチェックは入ったままだしスタートアップにも登録されているのに
更新あるのかな

2025/06/20(金) 20:40:03.50

16 billion passwords exposed in colossal data breach | Cybernews
ps://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/

2025/06/22(日) 01:10:33.04

>>206
これ見てパスキー導入考えてるけど、リアルタイムでメールや端末認証する必要があるから、yubikeyみたいなバッテリーレスデバイスは使えなくて、事実上スマホ限定の認証方式になるな
安全を考慮するならメインスマホ以外に格安Androidを2,3年おきに契約してパスキー専用にするって使い方になるか

2025/06/23(月) 11:06:20.53

パスキーってさ
ローカルのやつやクラウドでもサードパーティパスワードマネージャーのやつならフィッシングに強そうだけど (いくらなんでもパスワードマネージャーのログインをフィッシングで要求してこないだろうし怪しいと気づく)

chromeのパスワードマネージャーだとフィッシングでgoogleアカウントのログインは引っかかって抜かれるやつとかいそう

あれってGoogleアカウントがぶっこ抜かれたらアウトだよね？

2025/06/23(月) 13:44:05.40

>>208
そのための2要素認証だろう

2025/06/23(月) 15:49:55.22

>>209
パスキープラス2要素でやっとこログインか？
それなら硬そうだけどクソ面倒そうだな

2025/06/23(月) 21:23:56.33

個人のidとパスワードを預かっておきながら
セキュリティが甘いからgoogleはたちが悪い
せめて、パスワードマネージャでid、パスワードを自動入力させたいなら
２重セキュリティを必須にするとか、idパスワードをインポートも暗号化しろと思う
このせいで沢山の企業に迷惑がかかっている

2025/06/27(金) 06:54:44.29

メルカリでパスキー登録でポイントもらえるからiPhoneでやろうとしたけど、説明通りの設定画面出てこないし、下手に設定するとAndroidへの機種変更したときにクソ面倒な手順が必要になるみたいだし、パスキーはトラブル呼び込む元になってないか？

2025/06/27(金) 08:16:48.79

>>211
気のせい、思い込み、決めつけ

2025/06/27(金) 16:40:26.90

>>212
googleだったらパスキーを複数作成してどれか一つでログインできる。
バックアップキーを作って保存しておけばパスキーを無くしたときにバックアップキーでログインできる。
メルカリにはパスキーがなくなったときでもログインできるような仕組みが無いのかな。

2025/06/28(土) 00:30:52.39

>>211
信用ならないところには預けないという選択肢があるにもかかわらず
それでも預けるのはその沢山の企業とやらが悪い

2025/06/30(月) 15:10:40.42

Windows 11でのパスキーの保存・利用に「1Password」を統合～Dev版でテスト開始
https://forest.watch.impress.co.jp/docs/news/2026865.html

2025/07/10(木) 14:36:08.72

KeePass 2.59 has been released today!

2025/07/11(金) 09:02:28.22

認証デバイスのおすすめをアマプラスレで聞いてみたけど誰も答えなかった
みんなスマホでパスキー認証してるのだろうか
Yubikey買うより認証専用でも中古スマホ買ったほうが安いしな

2025/07/11(金) 19:16:25.80

>>218
何のために認証デバイスを購入するのか
はっきりさせないと答えづらいと思う

パスキーを使いたいだけならPCやスマフォ等その端末だけで十分
認証デバイスを別途購入する必要はない
YubiKeyは電源も（遠隔）通信も不要かつ可搬性があるのがメリット
ICカードのような使い方が適している

2025/07/11(金) 21:38:12.08

ワイは使い古しのメジャーアップはされなくなったけど
セキュリティアップデートはまだ配信されていiPhoneに認証がらみを寄せたよ
ほぼ2段階認証用の電話、sms、メール、google authenticatorにしか使ってない
最近証券口座の乗っ取りがニュースになっていて対策した

2025/07/23(水) 19:00:55.58

3スレほどロムったけどkeeperって人気ないの？
試用してみた感じbitwaerdenの上位版ぽくて乗り換えようか迷い中

2025/07/24(木) 14:36:42.52

>>221
パスワード管理ソフトの中で日本法人まで持って日本語サポートしっかりしてるのはここくらいなので、コスト高くても日本語サポート重視とか、法人ならここがいいんじゃないかと思う。

1passwordのamazonセールや元々安いBitwardenに比べると大分コスト高にはなるけど。

2025/07/25(金) 09:51:56.00

>>222
もっとコスト高いのに名前出てたり専用スレあるの考えると機能がコストに見合ってないってことなのかな？
ありがとう検討します

2025/07/25(金) 11:56:56.23

LastPassがさいつよ

2025/07/31(木) 20:22:44.38

Dropbox Passwords、10月28日に完全終了へ - ITmedia NEWS
www.itmedia.co.jp/news/articles/2507/31/news075.html

こんなのやってるなんて知らなかったし
話題にも上がらないから誰も使っていないんだろうなあ

2025/07/31(木) 20:31:28.64

>>225
うん知らなかった

2025/08/22(金) 16:28:28.74

ほとんどのパスワード管理アプリから機密情報を盗み出せる～拡張機能を狙う攻撃手法が明らかに - 窓の杜
ps://forest.watch.impress.co.jp/docs/news/2040917.html

2025/08/22(金) 16:49:42.69

>>227
これらの脆弱性は2025年4月に報告済みで、内容の公表は2025年8月まで猶予された。しかし、「Bitwarden」や「1Password」、「iCloud Passwords」、「Enpass」、「LastPass」、「LogMeOnce」など、一部のベンダーはまだ脆弱性への対策が完了していないという（「Bitwarden」に関しては修正が完了し、アドオンストアへの掲載を申請中とのこと）

2025/11/03(月) 08:45:58.83

KeePass 2.60 released - KeePass
https://keepass.info/news/n251102_2.60.html

2025/11/04(火) 23:10:24.81

パスキー使ってる人はどうやって管理してる?
アカウントに紐付け?　アプリで管理?

自分は泥メインで普段はkeepassでパスワード管理してたけど、1台だけ林檎端末があって、アカウントにパスキー紐付けると、林檎がハブられるし、keepassでパスキー管理してもやっぱり林檎がネックになるしで、未だにパスキー使っていない

同じような状況の方いたら、どうしているか教えて下さい

2025/11/04(火) 23:40:51.02

自分は諦めて機体毎&復旧用の2FAでやってる
パスキーは使い回せるといわれているけど実際に別の機体で使おうとするとエラーになって使い物にならない
違うOSを跨ぐと実際は使えないのはどうにかならんかね

2025/11/04(火) 23:45:05.88

>>230 Bitwarden
AppleもWinもAndroidもこれでOK

2025/11/04(火) 23:48:57.64

KeePassXCじゃなくて素のKeePassでパスキー使えるのか

2025/11/05(水) 00:02:09.36

パスキーなんて一元化しなくてもデバイスごとにいくつでも登録しておけばいいんじゃね

2025/11/05(水) 00:40:18.51

パスキー認証で上限数あるとこなかったか

2025/11/05(水) 00:54:31.32

楽天証券は確か1個

2025/11/05(水) 07:49:40.51

さすがに1個はアホすぎるな

2025/11/05(水) 23:49:16.47

アドバイスくれた方、ありがとうございます

自分は端末毎にパスキー作ると、どの端末にどのサイトのパスキー登録したか覚え切れなくなりそうで、Keepassみたいに一元管理できたらいいなって思ってたけど、パスキーって複数作っても問題ないみたいですね　

もしくはBitwarden使用を検討するか…とりまBitwarden試してきます　thx!!

>>233
今はKeePassXC、KeePassDX、KeePassiumでパスワードのみ使ってます
質問してるのに、環境を正しく書かずに略して申し訳ありません

2025/11/14(金) 01:56:31.69

「1Password」がWindows 11のパスキー管理ツールに、他デバイスとの同期も可能