パスワード管理ツール Part17

2024/08/24(土) 08:49:39.59

!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part16
https://itest.5ch.net/egg/test/read.cgi/software/1700726576

スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/
https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/

VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured

2025/06/20(金) 20:40:03.50

16 billion passwords exposed in colossal data breach | Cybernews
ps://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/

2025/06/22(日) 01:10:33.04

>>206
これ見てパスキー導入考えてるけど、リアルタイムでメールや端末認証する必要があるから、yubikeyみたいなバッテリーレスデバイスは使えなくて、事実上スマホ限定の認証方式になるな
安全を考慮するならメインスマホ以外に格安Androidを2,3年おきに契約してパスキー専用にするって使い方になるか

2025/06/23(月) 11:06:20.53

パスキーってさ
ローカルのやつやクラウドでもサードパーティパスワードマネージャーのやつならフィッシングに強そうだけど (いくらなんでもパスワードマネージャーのログインをフィッシングで要求してこないだろうし怪しいと気づく)

chromeのパスワードマネージャーだとフィッシングでgoogleアカウントのログインは引っかかって抜かれるやつとかいそう

あれってGoogleアカウントがぶっこ抜かれたらアウトだよね？

2025/06/23(月) 13:44:05.40

>>208
そのための2要素認証だろう

2025/06/23(月) 15:49:55.22

>>209
パスキープラス2要素でやっとこログインか？
それなら硬そうだけどクソ面倒そうだな

2025/06/23(月) 21:23:56.33

個人のidとパスワードを預かっておきながら
セキュリティが甘いからgoogleはたちが悪い
せめて、パスワードマネージャでid、パスワードを自動入力させたいなら
２重セキュリティを必須にするとか、idパスワードをインポートも暗号化しろと思う
このせいで沢山の企業に迷惑がかかっている

2025/06/27(金) 06:54:44.29

メルカリでパスキー登録でポイントもらえるからiPhoneでやろうとしたけど、説明通りの設定画面出てこないし、下手に設定するとAndroidへの機種変更したときにクソ面倒な手順が必要になるみたいだし、パスキーはトラブル呼び込む元になってないか？

2025/06/27(金) 08:16:48.79

>>211
気のせい、思い込み、決めつけ

2025/06/27(金) 16:40:26.90

>>212
googleだったらパスキーを複数作成してどれか一つでログインできる。
バックアップキーを作って保存しておけばパスキーを無くしたときにバックアップキーでログインできる。
メルカリにはパスキーがなくなったときでもログインできるような仕組みが無いのかな。

2025/06/28(土) 00:30:52.39

>>211
信用ならないところには預けないという選択肢があるにもかかわらず
それでも預けるのはその沢山の企業とやらが悪い

2025/06/30(月) 15:10:40.42

Windows 11でのパスキーの保存・利用に「1Password」を統合～Dev版でテスト開始
https://forest.watch.impress.co.jp/docs/news/2026865.html

2025/07/10(木) 14:36:08.72

KeePass 2.59 has been released today!

2025/07/11(金) 09:02:28.22

認証デバイスのおすすめをアマプラスレで聞いてみたけど誰も答えなかった
みんなスマホでパスキー認証してるのだろうか
Yubikey買うより認証専用でも中古スマホ買ったほうが安いしな

2025/07/11(金) 19:16:25.80

>>218
何のために認証デバイスを購入するのか
はっきりさせないと答えづらいと思う

パスキーを使いたいだけならPCやスマフォ等その端末だけで十分
認証デバイスを別途購入する必要はない
YubiKeyは電源も（遠隔）通信も不要かつ可搬性があるのがメリット
ICカードのような使い方が適している

2025/07/11(金) 21:38:12.08

ワイは使い古しのメジャーアップはされなくなったけど
セキュリティアップデートはまだ配信されていiPhoneに認証がらみを寄せたよ
ほぼ2段階認証用の電話、sms、メール、google authenticatorにしか使ってない
最近証券口座の乗っ取りがニュースになっていて対策した

2025/07/23(水) 19:00:55.58

3スレほどロムったけどkeeperって人気ないの？
試用してみた感じbitwaerdenの上位版ぽくて乗り換えようか迷い中

2025/07/24(木) 14:36:42.52

>>221
パスワード管理ソフトの中で日本法人まで持って日本語サポートしっかりしてるのはここくらいなので、コスト高くても日本語サポート重視とか、法人ならここがいいんじゃないかと思う。

1passwordのamazonセールや元々安いBitwardenに比べると大分コスト高にはなるけど。

2025/07/25(金) 09:51:56.00

>>222
もっとコスト高いのに名前出てたり専用スレあるの考えると機能がコストに見合ってないってことなのかな？
ありがとう検討します

2025/07/25(金) 11:56:56.23

LastPassがさいつよ

2025/07/31(木) 20:22:44.38

Dropbox Passwords、10月28日に完全終了へ - ITmedia NEWS
www.itmedia.co.jp/news/articles/2507/31/news075.html

こんなのやってるなんて知らなかったし
話題にも上がらないから誰も使っていないんだろうなあ

2025/07/31(木) 20:31:28.64

>>225
うん知らなかった

2025/08/22(金) 16:28:28.74

ほとんどのパスワード管理アプリから機密情報を盗み出せる～拡張機能を狙う攻撃手法が明らかに - 窓の杜
ps://forest.watch.impress.co.jp/docs/news/2040917.html

2025/08/22(金) 16:49:42.69

>>227
これらの脆弱性は2025年4月に報告済みで、内容の公表は2025年8月まで猶予された。しかし、「Bitwarden」や「1Password」、「iCloud Passwords」、「Enpass」、「LastPass」、「LogMeOnce」など、一部のベンダーはまだ脆弱性への対策が完了していないという（「Bitwarden」に関しては修正が完了し、アドオンストアへの掲載を申請中とのこと）

2025/11/03(月) 08:45:58.83

KeePass 2.60 released - KeePass
https://keepass.info/news/n251102_2.60.html

2025/11/04(火) 23:10:24.81

パスキー使ってる人はどうやって管理してる?
アカウントに紐付け?　アプリで管理?

自分は泥メインで普段はkeepassでパスワード管理してたけど、1台だけ林檎端末があって、アカウントにパスキー紐付けると、林檎がハブられるし、keepassでパスキー管理してもやっぱり林檎がネックになるしで、未だにパスキー使っていない

同じような状況の方いたら、どうしているか教えて下さい

2025/11/04(火) 23:40:51.02

自分は諦めて機体毎&復旧用の2FAでやってる
パスキーは使い回せるといわれているけど実際に別の機体で使おうとするとエラーになって使い物にならない
違うOSを跨ぐと実際は使えないのはどうにかならんかね

2025/11/04(火) 23:45:05.88

>>230 Bitwarden
AppleもWinもAndroidもこれでOK

2025/11/04(火) 23:48:57.64

KeePassXCじゃなくて素のKeePassでパスキー使えるのか

2025/11/05(水) 00:02:09.36

パスキーなんて一元化しなくてもデバイスごとにいくつでも登録しておけばいいんじゃね

2025/11/05(水) 00:40:18.51

パスキー認証で上限数あるとこなかったか

2025/11/05(水) 00:54:31.32

楽天証券は確か1個

2025/11/05(水) 07:49:40.51

さすがに1個はアホすぎるな

2025/11/05(水) 23:49:16.47

アドバイスくれた方、ありがとうございます

自分は端末毎にパスキー作ると、どの端末にどのサイトのパスキー登録したか覚え切れなくなりそうで、Keepassみたいに一元管理できたらいいなって思ってたけど、パスキーって複数作っても問題ないみたいですね　

もしくはBitwarden使用を検討するか…とりまBitwarden試してきます　thx!!

>>233
今はKeePassXC、KeePassDX、KeePassiumでパスワードのみ使ってます
質問してるのに、環境を正しく書かずに略して申し訳ありません

2025/11/14(金) 01:56:31.69

「1Password」がWindows 11のパスキー管理ツールに、他デバイスとの同期も可能

2025/12/01(月) 12:00:16.25

yubikeyの公式サイトだと、YubiKey 5C NFCが55ドルで買えるのな
セールで30%オフやってたので2本買ってみた　届くの楽しみ

2025/12/14(日) 12:51:46.75

ケーパスで過不足なし

2025/12/20(土) 15:45:53.45

パスワード管理ツールのデータバックアップって結局どうするのが正解？
定期的にマスターパスワードで暗号化してクラウドとローカルに置いておくで大丈夫？

2025/12/20(土) 20:21:23.98

クラウドには置かない

2025/12/26(金) 13:08:39.15

自分はBitwarden使ってるので、暗号化jsonファイルをローカルのPCにエクスポートしてそれをバックアップにしてる
KeepassXCならその暗号化json読み込めるから、サービス死んでも一応対応できる

2026/01/13(火) 14:51:00.67

普通にクラウドにおいてる
漏れること前提の使い方

2026/01/17(土) 11:16:43.39

自前でバックアップなんか取らずにサービス側に任せている
あっちが勝手に何重にも冗長化してるし

2026/01/19(月) 14:36:35.61

クラウド型使ってるなら、サービスに全部依存しちゃった方が楽だよな
余分な事すると、悪い人がつけ入る隙を増やしてしまうし

2026/01/19(月) 14:44:41.21

以前はオンラインでパスワード管理なんて危険じゃね?と考えてたけど
地震を見てから、ローカルのみ保存も別の方向で危険じゃね?に変わって
KeePassから1Passwordに乗り換えた　KeePassも併用してるけど

2026/01/19(月) 19:36:55.69

KeePassをクラウド管理すればええやん
何のためのキーファイルなのか…

2026/01/19(月) 22:53:01.55

KeePassとクラウド（iCloud Drive）で使ってるわ
DBはクラウド、キーファイルは各端末に置いて

2026/01/20(火) 14:09:40.21

マスターkeepass+dropbox
それらの中からよく使うものだけをbitwardenに置いてある

2026/01/20(火) 19:21:08.99

>>249-251

スマホでkeepassを使いたいんだけど
どのアプリが安全ですか？？

2026/01/20(火) 21:01:13.55

>>252
KeePassDX (iOS）
KeePassium (iOS & macOS)
https://www.privacyguides.org/en/passwords/

2026/01/20(火) 21:03:57.31

>>253
訂正
KeePassDX (Android）

2026/01/20(火) 23:56:51.01

KeePassのデータベースをクラウドに上げるの怖くない？
.kdbxファイルって色々な方面から狙われてるって言うやん
自分はキーファイルがあってもローカルのみで使用だわ

2026/01/21(水) 12:39:48.24

>>255
それが怖いなら暗号化と圧縮+パスワードでいいと思う
今のオンライン系PMツール信用できないならそれが最適解じゃない？
後はオンラインにおいたりオンライン系マネージャが信用できないなら
ローカルでスマホtoPCとかポータブルUSBやHDDに入れて持ち運ぶのが一番安全だと思う

2026/01/21(水) 12:41:10.18

>>252
安全の判断基準によるとしか言えないかな
とにかくここで聞くよりも自分の知識を強化する方がいいよ
ここもどういう判断基準で選択してるか不明な人が多いから

2026/01/21(水) 12:43:31.37

>>248
1Passwordは正直止めた方がいいと思う
過去に流出事件起こしてるしその後の対応もあまりよくないよ
AIに聞くと大規模なセキュリティインシデントを起こしていないのは
Bitwardenを含めて3社とか出てくるね

2026/01/21(水) 12:45:26.88

>>246
サービスを過信しすぎるのも問題だとは思う
今のセキュリティは分散型が主流といわれてますし🍣

2026/01/21(水) 12:46:41.74

>>242
分散型がいいと思う流出を警戒するなら暗号化しておくのがいいよ
2重暗号化がどれほどのセキュリティ強度あるのかは知らないけど

2026/01/21(水) 14:32:43.25

>>255
パスワード32桁とキーファイルをクラウド上に置かずに事前共有することで対応しているわ

2026/01/21(水) 14:53:09.29

今のITというかネット環境だと何が最適解なんやろな～
後思ったんだけどなんで最近のPCもモバイルのブラウザもURLをあまり表示したがらないんだ？
詐欺に引っかかる予備軍を増やすだけだよね？

2026/01/24(土) 11:08:42.59

>>258
1Passwordの流出事件って、具体的にはどういう事件？
探しても出てこないんだが

2026/01/24(土) 13:17:18.63

>>263
lastpassと勘違いしてるのでは

2026/01/24(土) 17:31:11.02

redditのこれかな？後は1passは脆弱性の事件やらの
セキュリティインシデントのニュースをそこそこ聞くな～
https://www.reddit.com/r/PasswordManagers/comments/18gt64z/warning_as_1password_dashlane_lastpass_and_3/?tl=ja

2026/01/24(土) 17:36:07.24

とりま今一番安全な方はBitwardenやRoboFormやNordPass辺りが安全ぽいかな？
後は詳細部分はAIなどに聞いてみてね
大規模な流出事件や過去に脆弱性がないかなどね
非オンラインだけどKeePassとかもかなりいいよカスタマイズ面倒だけどｗ

2026/01/25(日) 10:09:45.50

>>265
それも流出とは違うよな。
そもそもまともなメーカーならゼロ知識だから、
流出してもマスターパスワードが強ければ保管庫内の情報は守られるし、
マスターパスワードの管理はユーザーの責任だからな。

ちなみに、LastPassやBitwardenは、
マスターパスワードだけで守られているようなので、
マスターパスワードが弱いと、流出したときのリスクは高い。

2026/01/25(日) 12:17:04.12

>>267
タイトル名は流出になってるね 75fa-cO42のニキはかなりパス管理アプリに詳しそうですね
ゼロトラストとゼロ知識は別カテゴリの用語なんですね
ようはオンライン型は金庫の設計と管理はするけど鍵の内容はユーザーの自己責任で守れという設計だよね
Bitwardenもマスパスだけなんですねそれは知らなかったです

2026/01/25(日) 12:21:27.62

>>267
調べてみたら二要素認証とかもあるようですよ
ソフトウェア面でみてもマスパスだけじゃないようですね
後はPINと生体認証とセッション期限とか色々あるようでっせ

2026/01/25(日) 12:53:56.92

>>269
二要素認証は、LastPassやBitwardenにサインインするためのもので、
保管庫そのものが流出したときに守れるものではない。

1Passwordは、マスターパスワード以外に、
ローカル上で生成されるシークレットキーという概念があって、
保管庫が流出してもマスターパスワードだけでは復号できないので、
流出時には強いが、シークレットキーの管理もユーザーに託される。
印刷して金庫に入れておけとか言われる。

2026/01/25(日) 16:19:41.91

確かにBitwardenなどはそこ弱いですね....
1Passwordは流出やインシデントない訳じゃないけど
そういう設計上の強みがあるんですね～
知らんけど

2026/01/25(日) 16:23:52.73

個人的にKeePassが好きですねー多様なプラグインもありますのでｂ
ただ貴方のおかげでまた別視点の知識も持てて感謝ですｂ
1Passwordへの評価も少しポジティブになりましたｂ

2026/01/25(日) 17:49:14.87

サービスにもよると思うがマスターパスワードって人が端末向かって入力する正規なルートで初めて効力があって金庫が流出したこれを解読してやろうみたいなときには直接的に関係のないものってイメージだったんだけど
極端なことを言ったら12345678ってマスターパスワード設定したもので出来上がった金庫が流出したとしてもクラッカーはその金庫の中身が途中で強力なフレーズで暗号化されていてわかんない的な
この場合は、protonの場合だけど
WPA3のSAEも短いパスワードでも強力なったりするんでしょ

2026/01/25(日) 18:03:33.12

>>273
ようは1Passなら金庫が流出して12345やQWENRTYみたいな情弱向けパスワードでも
シークレットキーなどがあるからそれを解読するか
金庫自体の暗号化を解除かＭパスの解析をしない限りは絶対に金庫は安全という事だよ

2026/01/25(日) 23:31:13.18

キーファイルを組み合わせて暗号化したkeepassなら流出しても暗号解除はなかなか難しいと思う

2026/01/26(月) 12:32:40.65

>>273
マスターパスワードからPBKDF2などのルーチンで計算するので、
保管庫とマスターパスワードが流出したら、内部の情報を読み取れる

2026/01/26(月) 22:37:09.41

>>275
そういえばKeepassの画像認証みたいなの標準かプラグインで追加できたはずだけど
あれのセキュリティ強度への貢献はどれくらいなの？

2026/01/26(月) 22:45:26.02

>>277
これキーファイルだった他にも2要素認証とかも追加できるんだな～
ただキーファイルだとファイルの紛失や破損とかで取り返しがつかないとかもありそうだな
結構リスク高いかもな

2026/01/26(月) 23:08:15.55

なんかAIに聞いたら今のセキュリティ環境は盾(タンク)を鍛えるのではなく
修繕能力(ヒーラー)を鍛えろと出てくるな～
盾(タンク)も重要なんだけど比率でいうと修繕能力(ヒーラー)の方が大事らしいね
確かにそうだとは思ったよゼロデイだのゼロトラストの時代だっけ？

2026/01/27(火) 00:17:09.80

ひとたび保管庫が流出すれば、攻撃者は保管庫への総当たり攻撃を年単位で続ける
2022年のLastPass流出後に保管庫に入れてたパスワードを変更しなかった間抜けが、2025年に被害に遭ったりしてる

2026/01/27(火) 00:54:22.59

それはそうだろうね～だからマスターパスワードだけだと堅牢性がぁ

警備員[Lv.0][新芽] (ﾜｯﾁｮｲ b692-7ngp) · 2026/01/27(火) 23:50:23.74

パスワードをローテする機能も出さないLastPassが悪いのであって、間抜け呼ばわりは違うんじゃないか？

2026/01/28(水) 00:07:27.04

法的な過失割合とかは知らんけど
正直LastPassがもっと積極的なセキュリティ強度対策して欲しいな
大分企業寄りの意見が>>280やな～

2026/01/29(木) 00:20:56.16

保管庫流出したら破られるのは時間の問題。量子コンピューターが実用化されれば尚更
流出させたLastPassの責任は重いが、責めても流出がなかったことにはならない
現実を直視して対応しなきゃいつか被害に遭うし、実際やられた奴がいる

企業寄り? とんでもない
保管庫のクラウド保管自体リスク視してるKeePass(XC)ユーザー

2026/01/29(木) 00:24:08.78

まぁまぁ面倒くさいKeePass使いやなｗ
そりゃ～KeePassは安全だろうけどさ知識のない人もいるんだぞい？
スタンドアロンが一番いいと思うけどこのスレで災害リスクがうんたら言ってる人いなかった？

2026/01/31(土) 19:57:47.91

今日日はパスワード管理ソフトをマスターパスワードだけで運用するやつなんていないだろ

2026/02/01(日) 00:37:19.86

>>286
何を、マスターパスワードに加えて運用すると良いの。

2026/02/01(日) 12:46:00.08

>>286
🦊スレみたら未だにID Managerとかいう13年前以上の古いの使ってる人もいるから🤓
ちなみに知人にマスターパスだけで運用してる強者はいたな～w

2026/02/01(日) 16:32:50.06

>>287
二段階認証アプリが使いやすくて無難だよ
パスキーでもいいけどなくすと終わる

2026/02/01(日) 21:45:33.67

>>286って例えばkeepassxcならマスターパスワードに加え
キーファイルかyubikeyでデータベースファイルを保護しろってことだよね？

これ丁度自分も迷ってて、keepassxcはデータファイルがローカルにあるから
キーファイルも同じローカルディスクに入れてたらちょっと危ないわけでしょ
かといってUSBに入れて毎回刺すのもダルい
yubikey買ったりも面倒
なので今のとこキーファイル作ってC:以外のドライブに置いてあるけど
こんなんでいいんかな
あとアマゾングーグルみたいな主要サイトはパスキー化してる

2026/02/01(日) 23:03:02.92

>>290
usbみたいな手軽な外部ストレージが一番いいと思う
紛失リスクはあるけどね～
後はDBをTrueCryptみたいなソフトで保護するのもどうなんだろ？
確かKeePassはTrueCryptのプラグインあったはず

2026/02/02(月) 07:27:33.45

暗号化されたDBを更に暗号化する意味はあるのかな？

2026/02/02(月) 13:01:53.59

>>292
もちろんあるけど、どちらか一方の鍵をなくしたら終わり

2026/02/02(月) 14:25:10.18

一応こんな感じらしいな個人使用だと過剰保護らしい
ビジネス用のデータ含んでる人は検討してもいいかも？
https://i.imgur.com/JegdqYT.png

2026/02/02(月) 18:17:51.64

普段のパスワードを長くしたほうが良い気もする

2026/02/02(月) 18:33:07.64

色々なリスクが有る中で、何に対処していくかで考えるといいんじゃないのかね。
KeePassでYubikeyを使うと、設定にもよるけど、物理的なタッチをすることで、解除できるができるので、遠隔からの侵害に対策しやすくなる。
その場合は、DBの自動ロック時間を短くしておく対処もセットにすべきだけどね。

2026/02/02(月) 19:21:32.40

>>295
それ昔は言われてたけどここ数年でただ長くするだけじゃ意味ないという記事出てたな
以下のパターンで流出とかセキュリティ侵害が起きやすいとか出てたな
・長くして記憶できず紙に書くorPC内に何らかの手段で保存
・他のサイトで使いまわす

2026/02/02(月) 21:26:15.90

ここはスレの特徴として過剰気味なセキュリティにしている人が多そうよね
ザルより遥かにマシではあるが

2026/02/02(月) 22:00:06.69

>>291
やっぱりUSBが一番良さそうですね
普段使いでロックされてもWindows helloのpinですぐ解除できるし
どうもありがとうございます

ところでみんなPCでマスターパス入れるときって手打ちしてるの？
俺Keepassで生成した80桁のパスをコピペで入力してた
パスはメモ帳に貼ってxxx.binにリネームして僻地フォルダに隠ぺい
それを右クリのプログラムから開くでメモ帳で見る

短めのパスワードをpc内に保存せず暗記で打つのとコレとどっちが安全なんだろう

2026/02/02(月) 22:39:41.63

PC内のテキストにパスワード大部分、残りは丸暗記しているワードで合成すっ

2026/02/02(月) 23:12:04.56

保存するとクリップボード監視やメモリ監視に弱いかな？
暗記が一番だろうけど複雑な奴だと難しいな
KeePassならマスターパス以外にもキーファイル設定できるからそれUSBに入れて使うとか？
後はビジネス用のkdbと趣味や普段使い用のkdbを分けておくのもいいかもね

2026/02/02(月) 23:58:54.20

俺、KeePassの保管庫にID登録せずに使ってる
パスワードだけなら、もし流出しても問題ないだろうし
IDは殆どメアドだから暗記してる

2026/02/03(火) 00:23:55.42

そういうアナログな対策もいいかもね
ただ利便性と等価交換か

2026/02/03(火) 07:15:11.70

>>301
暗記はキーロガーやフィッシングサイトに弱い

2026/02/03(火) 07:40:37.74

マスターマスワードの他に物理キーを使わないでなにで運用するの？
現在マスターマスワードしか使ってないんで参考までに教えてください

2026/02/03(火) 08:32:55.98

>>305
OTP