パスワード管理ツール Part17

2024/08/24(土) 08:49:39.59

!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part16
https://itest.5ch.net/egg/test/read.cgi/software/1700726576

スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/
https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/

VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured

2026/01/25(日) 12:17:04.12

>>267
タイトル名は流出になってるね 75fa-cO42のニキはかなりパス管理アプリに詳しそうですね
ゼロトラストとゼロ知識は別カテゴリの用語なんですね
ようはオンライン型は金庫の設計と管理はするけど鍵の内容はユーザーの自己責任で守れという設計だよね
Bitwardenもマスパスだけなんですねそれは知らなかったです

2026/01/25(日) 12:21:27.62

>>267
調べてみたら二要素認証とかもあるようですよ
ソフトウェア面でみてもマスパスだけじゃないようですね
後はPINと生体認証とセッション期限とか色々あるようでっせ

2026/01/25(日) 12:53:56.92

>>269
二要素認証は、LastPassやBitwardenにサインインするためのもので、
保管庫そのものが流出したときに守れるものではない。

1Passwordは、マスターパスワード以外に、
ローカル上で生成されるシークレットキーという概念があって、
保管庫が流出してもマスターパスワードだけでは復号できないので、
流出時には強いが、シークレットキーの管理もユーザーに託される。
印刷して金庫に入れておけとか言われる。

2026/01/25(日) 16:19:41.91

確かにBitwardenなどはそこ弱いですね....
1Passwordは流出やインシデントない訳じゃないけど
そういう設計上の強みがあるんですね～
知らんけど

2026/01/25(日) 16:23:52.73

個人的にKeePassが好きですねー多様なプラグインもありますのでｂ
ただ貴方のおかげでまた別視点の知識も持てて感謝ですｂ
1Passwordへの評価も少しポジティブになりましたｂ

2026/01/25(日) 17:49:14.87

サービスにもよると思うがマスターパスワードって人が端末向かって入力する正規なルートで初めて効力があって金庫が流出したこれを解読してやろうみたいなときには直接的に関係のないものってイメージだったんだけど
極端なことを言ったら12345678ってマスターパスワード設定したもので出来上がった金庫が流出したとしてもクラッカーはその金庫の中身が途中で強力なフレーズで暗号化されていてわかんない的な
この場合は、protonの場合だけど
WPA3のSAEも短いパスワードでも強力なったりするんでしょ

2026/01/25(日) 18:03:33.12

>>273
ようは1Passなら金庫が流出して12345やQWENRTYみたいな情弱向けパスワードでも
シークレットキーなどがあるからそれを解読するか
金庫自体の暗号化を解除かＭパスの解析をしない限りは絶対に金庫は安全という事だよ

2026/01/25(日) 23:31:13.18

キーファイルを組み合わせて暗号化したkeepassなら流出しても暗号解除はなかなか難しいと思う

2026/01/26(月) 12:32:40.65

>>273
マスターパスワードからPBKDF2などのルーチンで計算するので、
保管庫とマスターパスワードが流出したら、内部の情報を読み取れる

2026/01/26(月) 22:37:09.41

>>275
そういえばKeepassの画像認証みたいなの標準かプラグインで追加できたはずだけど
あれのセキュリティ強度への貢献はどれくらいなの？

2026/01/26(月) 22:45:26.02

>>277
これキーファイルだった他にも2要素認証とかも追加できるんだな～
ただキーファイルだとファイルの紛失や破損とかで取り返しがつかないとかもありそうだな
結構リスク高いかもな

2026/01/26(月) 23:08:15.55

なんかAIに聞いたら今のセキュリティ環境は盾(タンク)を鍛えるのではなく
修繕能力(ヒーラー)を鍛えろと出てくるな～
盾(タンク)も重要なんだけど比率でいうと修繕能力(ヒーラー)の方が大事らしいね
確かにそうだとは思ったよゼロデイだのゼロトラストの時代だっけ？

2026/01/27(火) 00:17:09.80

ひとたび保管庫が流出すれば、攻撃者は保管庫への総当たり攻撃を年単位で続ける
2022年のLastPass流出後に保管庫に入れてたパスワードを変更しなかった間抜けが、2025年に被害に遭ったりしてる

2026/01/27(火) 00:54:22.59

それはそうだろうね～だからマスターパスワードだけだと堅牢性がぁ

警備員[Lv.0][新芽] (ﾜｯﾁｮｲ b692-7ngp) · 2026/01/27(火) 23:50:23.74

パスワードをローテする機能も出さないLastPassが悪いのであって、間抜け呼ばわりは違うんじゃないか？

2026/01/28(水) 00:07:27.04

法的な過失割合とかは知らんけど
正直LastPassがもっと積極的なセキュリティ強度対策して欲しいな
大分企業寄りの意見が>>280やな～

2026/01/29(木) 00:20:56.16

保管庫流出したら破られるのは時間の問題。量子コンピューターが実用化されれば尚更
流出させたLastPassの責任は重いが、責めても流出がなかったことにはならない
現実を直視して対応しなきゃいつか被害に遭うし、実際やられた奴がいる

企業寄り? とんでもない
保管庫のクラウド保管自体リスク視してるKeePass(XC)ユーザー

2026/01/29(木) 00:24:08.78

まぁまぁ面倒くさいKeePass使いやなｗ
そりゃ～KeePassは安全だろうけどさ知識のない人もいるんだぞい？
スタンドアロンが一番いいと思うけどこのスレで災害リスクがうんたら言ってる人いなかった？

2026/01/31(土) 19:57:47.91

今日日はパスワード管理ソフトをマスターパスワードだけで運用するやつなんていないだろ

2026/02/01(日) 00:37:19.86

>>286
何を、マスターパスワードに加えて運用すると良いの。

2026/02/01(日) 12:46:00.08

>>286
🦊スレみたら未だにID Managerとかいう13年前以上の古いの使ってる人もいるから🤓
ちなみに知人にマスターパスだけで運用してる強者はいたな～w

2026/02/01(日) 16:32:50.06

>>287
二段階認証アプリが使いやすくて無難だよ
パスキーでもいいけどなくすと終わる

2026/02/01(日) 21:45:33.67

>>286って例えばkeepassxcならマスターパスワードに加え
キーファイルかyubikeyでデータベースファイルを保護しろってことだよね？

これ丁度自分も迷ってて、keepassxcはデータファイルがローカルにあるから
キーファイルも同じローカルディスクに入れてたらちょっと危ないわけでしょ
かといってUSBに入れて毎回刺すのもダルい
yubikey買ったりも面倒
なので今のとこキーファイル作ってC:以外のドライブに置いてあるけど
こんなんでいいんかな
あとアマゾングーグルみたいな主要サイトはパスキー化してる

2026/02/01(日) 23:03:02.92

>>290
usbみたいな手軽な外部ストレージが一番いいと思う
紛失リスクはあるけどね～
後はDBをTrueCryptみたいなソフトで保護するのもどうなんだろ？
確かKeePassはTrueCryptのプラグインあったはず

2026/02/02(月) 07:27:33.45

暗号化されたDBを更に暗号化する意味はあるのかな？

2026/02/02(月) 13:01:53.59

>>292
もちろんあるけど、どちらか一方の鍵をなくしたら終わり

2026/02/02(月) 14:25:10.18

一応こんな感じらしいな個人使用だと過剰保護らしい
ビジネス用のデータ含んでる人は検討してもいいかも？
https://i.imgur.com/JegdqYT.png

2026/02/02(月) 18:17:51.64

普段のパスワードを長くしたほうが良い気もする

2026/02/02(月) 18:33:07.64

色々なリスクが有る中で、何に対処していくかで考えるといいんじゃないのかね。
KeePassでYubikeyを使うと、設定にもよるけど、物理的なタッチをすることで、解除できるができるので、遠隔からの侵害に対策しやすくなる。
その場合は、DBの自動ロック時間を短くしておく対処もセットにすべきだけどね。

2026/02/02(月) 19:21:32.40

>>295
それ昔は言われてたけどここ数年でただ長くするだけじゃ意味ないという記事出てたな
以下のパターンで流出とかセキュリティ侵害が起きやすいとか出てたな
・長くして記憶できず紙に書くorPC内に何らかの手段で保存
・他のサイトで使いまわす

2026/02/02(月) 21:26:15.90

ここはスレの特徴として過剰気味なセキュリティにしている人が多そうよね
ザルより遥かにマシではあるが

2026/02/02(月) 22:00:06.69

>>291
やっぱりUSBが一番良さそうですね
普段使いでロックされてもWindows helloのpinですぐ解除できるし
どうもありがとうございます

ところでみんなPCでマスターパス入れるときって手打ちしてるの？
俺Keepassで生成した80桁のパスをコピペで入力してた
パスはメモ帳に貼ってxxx.binにリネームして僻地フォルダに隠ぺい
それを右クリのプログラムから開くでメモ帳で見る

短めのパスワードをpc内に保存せず暗記で打つのとコレとどっちが安全なんだろう

2026/02/02(月) 22:39:41.63

PC内のテキストにパスワード大部分、残りは丸暗記しているワードで合成すっ

2026/02/02(月) 23:12:04.56

保存するとクリップボード監視やメモリ監視に弱いかな？
暗記が一番だろうけど複雑な奴だと難しいな
KeePassならマスターパス以外にもキーファイル設定できるからそれUSBに入れて使うとか？
後はビジネス用のkdbと趣味や普段使い用のkdbを分けておくのもいいかもね

2026/02/02(月) 23:58:54.20

俺、KeePassの保管庫にID登録せずに使ってる
パスワードだけなら、もし流出しても問題ないだろうし
IDは殆どメアドだから暗記してる

2026/02/03(火) 00:23:55.42

そういうアナログな対策もいいかもね
ただ利便性と等価交換か

2026/02/03(火) 07:15:11.70

>>301
暗記はキーロガーやフィッシングサイトに弱い

2026/02/03(火) 07:40:37.74

マスターマスワードの他に物理キーを使わないでなにで運用するの？
現在マスターマスワードしか使ってないんで参考までに教えてください

2026/02/03(火) 08:32:55.98

>>305
OTP

2026/02/03(火) 10:04:40.71

>>306
bitwardenもそれでいける？

2026/02/03(火) 10:17:22.72

>>306
ちょっと聞きたいんだけどbitwardenでOTPってbitwarden自体のロック解除に使うものじゃなく
bitwardenに保存してるパスワードを使用するために使うもん？
パソコンでbitwarden使うときマスターパスワード以外で解除する方法ってある？物理キー以外で

2026/02/03(火) 11:09:23.63

2026/02/03(火) 11:12:37.41

>>308
Windows: Windows Hello（指紋、顔認証、PIN）
macOS:Touch IDやFace ID

2026/02/03(火) 11:33:26.29

結局1つのパスワードを暗記してキーファイルを合わせるのが最強になるんだよね

2026/02/03(火) 11:39:10.28

>>309-310
プライベートではapple製品使っててbitwarden解除はタッチやフェイス使ってます
ブラウザのアドオンで使うことが多くてWEBサイトいってログインするとき
bitwardenのロック解除して「入力」ってボタン押してるけどもっと便利な方法ないですか？
ダイアログ出て自動で入るサイトもあるしそうじゃないサイトもあるんですけどこの違いってなんですか？

2026/02/03(火) 14:58:26.67

>>305
2FA
簡単だしおすすめ