パスワード管理ツール Part17

2024/11/23(土) 15:40:11.04

>>85
ロボフォームのほうがいいぞ
お気に入りみたいに使えたり直前に使った順に並び替えられたり
選択するだけでログインボタンまで押してくれるぞ

2024/11/23(土) 17:09:09.65

そいつに構うな

2024/11/23(土) 23:01:21.21

ID:bPnxNhQx0
↑
このガイジBitwarden使ったことなくて草

2024/11/24(日) 06:18:37.70

>>84の直後に>>85の書き込みは頭おかしすぎる

2024/11/24(日) 07:22:38.25

状況と目的に合わせて適切なツールを使い分けられる人が最強
俺はばかの一つ覚え
めんどくさいし

2024/11/24(日) 12:53:55.77

つまりBitwardenが最強なんだよな

2024/11/24(日) 15:47:10.66

データ預けたくない人向けに自鯖立てられるのってBitwardenくらいじゃね？

警備員[Lv.6][新芽] (ﾜｯﾁｮｲW ff62-dpsw) · 2024/11/24(日) 15:58:30.33

無料＆自分でホストして全機能を利用できるオープンソースの高機能パスワードマネージャー「Psono」レビュー

2024/11/24(日) 17:10:21.56

keepassでいいやん

2024/11/24(日) 19:35:16.20

>>92
https://github.com/awesome-selfhosted/awesome-selfhosted?tab=readme-ov-file#password-managers
ここにその手のツールが纏められている
もちろんこれ以外にもある
別にBitwardenが先駆者であり唯一無二というわけでもないよ

2024/11/24(日) 19:48:24.12

二段階用でSMS使うと、電話番号が失効したら終わり
Google Authenticatorなどのスマホアプリは、オンラインで情報が無料維持されるが、デバイス盗難やハッキングに弱い
WinAuthなどのPCアプリはポータブル化が必須で、アプリと復元コードのバックアップ必須なのでデバイス破壊に弱い
もっと革新的な手法が欲しい

2024/11/25(月) 23:43:33.04

Bitwardenってネットじゃなくってローカルで使えるって聞いたけど簡単にできるの？？

2024/11/26(火) 01:28:51.42

>>97
Self-hosting（Bitwarden公式ドキュメント）
https://bitwarden.com/ja-jp/help/self-host-an-organization/

派生（軽量化等有志による改良）のVaultwarden
https://github.com/dani-garcia/vaultwarden/
個人で立てるならVaultwardenの方がお勧め
日本語の解説は"Vaultwarden サーバ"とかで検索すればいくらでも出てくる

簡単かどうかは人による
Docker前提なので各種サーバをそれぞれ構築していた昔に比べれば簡単になったといえるかもしれない
失敗したところで誰にも迷惑をかけないという点で自動車の運転よりは簡単

2024/11/26(火) 09:11:48.25

>>98
ありがとうございます。

2024/11/26(火) 11:45:11.02

つまりBitwardenが最強なんだよな

2024/11/27(水) 00:36:14.66

パワードスーツ管理スレ

2024/11/27(水) 21:10:19.37

つまりBitwardenか

2024/11/28(木) 02:13:51.54

>>96
keepassでよくね？

2024/11/28(木) 17:22:54.89

つまりBitwardenか

**!dongri** 警備員[Lv.29] (ﾜｯﾁｮｲW ff8e-xqQ8) · 2024/11/28(木) 21:33:21.69

keepassからbitwardenに移行しようと、ちょっと使ってみたけど気がついたらkeepassXCに着地してた

2024/11/29(金) 19:08:09.75

roboform2goの買いきり版を持ってたけど、久しぶりに起動したら、無料版として起動して、活性化するためのページがアクセス出来なくなってた。
ここは信用できんな。

2024/11/30(土) 11:45:17.83

Bitwardenが最強すぎるんだよな普通に

2024/12/09(月) 22:59:55.36

どんなに優秀なパスワード管理ツールを使っても
ブラウザにパスワードを保存していなくても悪意のあるブラウザにはパスワードが筒抜けになるのではないかと不安

2024/12/09(月) 23:32:14.07

悪意のあるブラウザってなに？

2024/12/10(火) 16:57:36.08

中華製ブラウザ

2024/12/10(火) 17:55:24.76

>>109
ログイン画面で入力したIDやパスワードをログインボタンを押したタイミングで盗めるのではないのかということ

2024/12/10(火) 18:23:14.30

>>111
それはもともとブラウザが受け取ってサイトに送り出すものだから、パスワードはブラウザには筒抜けでしょ
信頼できないブラウザや拡張機能か入っている可能性があったらパスワード入れちゃだめ

2024/12/10(火) 22:28:26.74

>>111
そんなブラウザ使わなければいいだけなのでは？

2024/12/10(火) 23:14:21.07

ブラウザがダメだったらパスワードマネージャーとか関係なく全部筒抜けやん

2024/12/11(水) 00:44:14.63

>>112-114
やはりブラウザには筒抜けですか
となると個人開発のブラウザで特にスマホのブラウザは沢山あるので怖いですね
素人なのでhttpsならブラウザ側にもわからない仕組みなのかなと淡い期待をしていました

2024/12/11(水) 03:21:56.33

>>115
アプリで扱う情報はそのアプリに筒抜けなので
信用ならないあるいは自分の制御下に置けないアプリは使うべきではないですよ
ブラウザに限った話ではありません
業務上のクレデンシャルをLINEとかのチャットツールで伝達とかとんでもない

2024/12/11(水) 03:24:56.94

>>115
パス管理ツールを除けばブラウザが一番危ない

2024/12/11(水) 05:15:15.95

>>116-117
好みだしパスワードはブラウザに保存させなければいいかと思い
中華の無名な会社のブラウザを使っていました...
勉強になりましたありがとうございます

2024/12/11(水) 19:33:54.50

悪意のあるブラウザがインストールされている
= 悪意のあるソフトウェアがインストールされている
だから悪意のあるソフトがインストールされてしまっている時点で
そのPCのキーボード入力、画面のキャプチャ、ファイルなどの
あらゆる情報が盗まれる可能性が高い。

2024/12/11(水) 23:23:22.94

FirefoxにBitwardenの拡張。このコンビが最強

2024/12/12(木) 02:30:33.48

google検索の上位にフィッシング、ショッピング詐欺サイトが出てくるけど
警察は危機感ないの？

2024/12/12(木) 11:12:07.57

>>119
スマホで自分がインストールした知名度の低いブラウザが
パスワードを盗めるのかって話です

Bitwardenを使っているためブラウザに保存はしません

2024/12/12(木) 21:38:21.45

>>122
・その知名度の低いブラウザ上でパスワードを入力したりコピペしない。
・パスワードをクリップボードにコピーしない。
のであれば盗むのは難しいかもしれないが。

2024/12/14(土) 19:55:09.53

>>123
やっぱりそれしかないですよね
使い勝手は好きなブラウザなのですがログイン等はしないことにします

2024/12/26(木) 14:35:04.86

ブラウザ名を書けよ

特定アプリで～しないって対策も有効だけど
端末から使い分けたほうが安心か

2025/01/13(月) 17:41:31.56

いろんな場面で勉強頑張るしかない
https://i.imgur.com/beH718s.png

2025/01/13(月) 19:26:47.31

アベノミスクが大失敗だったように見えないしセンター分けは変わらない

2025/01/13(月) 20:30:51.73

下手な鉄砲数撃ちゃ当たる形式やな

2025/02/20(木) 22:47:25.76

ブルートフォースって下手な鉄砲じゃなくて的が見えないんだよな

2025/03/02(日) 07:14:47.84

KeePass 1.43 released

2025/03/15(土) 10:15:52.02

PCとスマホ連携できて「Windows Helloでマスターログイン」
できる無料ソフトってまだないんですかね

PCのKeePassはHelloで「最小化から復帰」できるのに
起動時のログインはパスワードを打ち込まないとあかんよね
スマホは顔認証でいけるのに

2025/03/15(土) 11:06:18.89

>>131 あほか？
Windows Helloで許可してたらザルにもほどがある

2025/03/15(土) 11:25:16.54

でも「有料」のKeeperはHelloログイン可能だよね？

2025/03/15(土) 12:05:43.90

>>106
chromeに続きedgeでも一昨日から使えなくなった
定期払いをまた契約せな使えんのか？

2025/03/15(土) 16:52:13.68

スマホ用有料アプリにありがちだよな。PC用ソフトだと珍しい事例だけど

2025/03/15(土) 18:47:50.56

>>133
Keeperのそれは
KeeperのWindowsアプリがKeeperへのログインにおいて
Windows Helloに対応しているのであって
WIndows Helloそのものでデータに暗号化を施しているわけではない
やっていることはKeePassにおけるクイック解除と同じ
マスターパスワードとは別の概念

KeePassで似たようなことをしたいのなら
KeePassWinHello や WinHelloUnlock といったKeePassプラグインを使えばいい
プラグインあるいはWindows資格情報がマスターパスワードを記憶してくれて
その行使に対してWindows Helloが要求されるようになる
マスターパスワードそのものになるわけではなく記憶してくれているだけなので
変更された場合には改めて通常のログインが必要になることに注意

>>132と同じ理由で全くお勧めはしないけどね

2025/03/16(日) 03:45:09.27

MICROSOFT の　AUTHENTICATOR というスマホアプリいれてたら
そこにパスワード管理データがどさっと何故か入ってて焦ってちまちま全部けしたけど
いつ自分いれたんだ？
怖いんだけど

2025/03/16(日) 22:25:58.50

>>137
WindowsやMS EdgeをMicrosoftアカウントで使っていて
MS Authenticatorを同じMicrosoftアカウントで使っていると
記憶させたパスワード等の情報が同期されるよ
Android側のパスワード記憶をGoogleからMS Authenticatorに変えると更に連携が深くなる

**１３７** 警備員[Lv.11] (ﾜｯﾁｮｲ 93af-NA3g) · 2025/03/17(月) 15:25:03.28

無意識に、エッジブラウザにパスワードをインポートしてそれが反映されてたのかもな？

2025/03/18(火) 00:05:58.91

>>137
OTPはそれ使ってる
ブラウザにパス保存しないので変な挙動は見当たらないが
Microsoftの8文字OTPは一度も使ったことがない
使うことあるんだろうか

2025/03/18(火) 09:48:30.73

>>137
マイクロソフトの二段階認証、に使う目的で入れたんやろうか
ログイン履歴見ると世界中から一時間おきにアタックして失敗しとるから、何かあったほうが

2025/03/18(火) 21:25:15.00

LastPassのマスターパスワード、解読され攻撃に悪用される
news.mynavi.jp/techplus/article/20250318-3149283/

2022年の事件当時にセキュアノートへシードを保存していた人たちの暗号資産が盗まれたんだと。

2025/03/23(日) 03:32:17.17

サーバの場所はbitwarden.com と.euだと分散させるという意味ではeuのほうが良いのか？
例えばNSAが自国に本社のあるbitwardenに圧力かけて来た場合サーバがEUにあるほうが米国の主権が及ばない分より手間がかかるとか

2025/03/23(日) 09:24:39.58

>>143
どっちも大して変わらんよ
そこを気にするなら自分のサーバー使ったほうが良い
bitwardenはそれが簡単にできることも強味なんだから

2025/03/23(日) 14:03:12.22

楽天証券で大勢の顧客が乗っ取られて大金が動いた、と報道されてるな

2025/03/26(水) 12:46:29.07

>>142
漏洩したハッシュ値へのブルートフォース攻撃でマスターパスワードがバレた可能性があるとのこと
LastPassではマスターパスワードのハッシュ化の際のPBKDF2の反復回数が以前は１０万回と少なかったようだ。

現在は1PASSWORDで65万回、LASTPASSで６０万回、bitwadenで７０万回とよりブルートフォース攻撃に時間がかかるようにしているらしい

2025/03/26(水) 12:50:41.42

ただハッシュ化の際の反復回数はブルートフォース攻撃のコストをリニアに増やすのに対して、パスワードの桁数を増やすと攻撃コストは指数関数的に増えるので強いマスターパスワードを使うのがより効果的らしい

2025/03/29(土) 20:15:11.58

1password導入した。ログインはスムーズだけど
金融機関の出金とかの別パスワードはコピペでやるしかないのか
思っていた便利さではないが、一元管理できるのがいいのかな。

2025/03/31(月) 05:50:23.70

最近Infostealerが話題になってるけど、
日本を狙ったInfostealerでもkeepassとか1Passwordのデータも盗むんだな
怖いな
KeepassXCの方が安全なんだろうか
ps://asec.ahnlab.com/jp/52719/

2025/03/31(月) 06:57:31.72

XCも大して違わんだろ
見た目は大違いだけど内部的にはkeepassと共通する部分が多いんじゃね

2025/03/31(月) 10:13:20.72

>>149
記事を読む限り、1Passwordからエクスポートした平文ファイルを探しているだけに見えるが

2025/03/31(月) 21:27:11.25

>>149
記事の中にある
検索するファイル名にkeepass 1.xの.kdb、バージョン2.xの.kdbxが対象とあり
XCの現物は触ってないからわからないがwikipediaの記述では
keepass 2.xと同じ.kdbx拡張子を使うとあるから対象内だろう

「メモ」とか「アカウント」とか「パス」ファイルも対象に含まれてるから
デスクトップにパスワードファイルおいてるのも抜かれる

2025/04/01(火) 08:56:26.18

拡張子変えとけばOK？

2025/04/03(木) 04:05:24.08

結論 Bitwardenが至高で最強

2025/04/03(木) 08:45:14.08

マウント小学生

2025/04/11(金) 10:26:57.66

Proton Pass入れてみた
UI好きだな

2025/04/13(日) 03:39:10.82

keepassからkeepassXCに
Windowsは替えてみたけど
データベースはKeepassのからそのまま流用でいいのでしょうか

2025/04/13(日) 04:40:43.51

>>157
流用でOK

2025/04/13(日) 11:10:22.54

>>158
KeepassXCはkeepassのデータベース流用して使ってるけど
ChromeのkeepassXCプラグインが
何度試しても
データベースを開いていません
と出るんで困ってます
データベースを再度開くを選ぶとkeepassXCに推移するので連携は出来ているのですが

2025/04/13(日) 21:30:30.36

なんかアドオン入れ直したりkeepassXC設定の連携し直しで連携取れた。
アドオンめちゃくちゃ便利だな、でもkeepassXC Androidで使えないAndroid側からブラウザの連携出来ないの惜しい。

2025/04/16(水) 16:17:53.79

AndroidでKeepass2Android使っているけど
稀に入力出来ないフォームあるよなあ
自動入力
って項目あるけどKeepass2Androidは選べなくて

2025/04/16(水) 16:23:02.85

せっかく書くなら2,3例示しろよ

2025/04/19(土) 02:48:30.06

結論 Bitwardenが至高で最強

2025/05/05(月) 01:32:52.46

>>162
Androidだけど尼のブラウザからのログインは自動入力選択しても
keepass入力が何故か出来なかった
でもBitwardenを入力に切り替えてみたら
Bitwardenの入力受け付けるんだよ。
KeepassからBitwardenへのデータインポートが出来るなら乗り換えてみたいが

2025/05/12(月) 15:01:47.70

Nvidia RTX 5090は、わずか3時間で8桁のパスコードを解読でき、パスワードクラッキングのベンチマークは驚異的なパフォーマンスを示しています
Nvidia RTX 5090 can crack an 8-digit passcode in just 3 hours — password cracking benchmarks show tremendous performance | Tom's Hardware
https://www.tomshardware.com/pc-components/gpus/nvidia-rtx-5090-can-crack-an-8-digit-passcode-in-just-3-hours

2025/05/14(水) 10:07:32.07

結論 Bitwardenが至高で最強

2025/05/14(水) 21:09:10.33

投資やってる人って導入してる？

2025/05/14(水) 22:49:48.41

>>167
金融関係はローカルでKeePassXC使ってるよ
それ以外はBitwardenだけどね

2025/05/14(水) 23:20:27.11

>>167
keepassXC使ってるよ。
パスワードとTOTPを別ファイルで管理してる。

2025/05/15(木) 00:49:31.82

投資やってます
証券会社のパスは頻度高いのは暗記していて打ち込んでるんだが
あんまり重要じゃないパスブラウザに記憶させている

ブラウザの機能で記録させると緩いからパスワードマネージャー使った方が良い
と聞いたのでここ見に来たんだが、使ってても抜かれるっていう話をちょっと上でしているね

2025/05/15(木) 07:56:52.37

1password導入済みでYubikey Bio購入予定。
パスワード管理ソフトだけだとまさにパスワード管理ソフトの動きを模倣する偽UI攻撃とかあるらしいからね、、、
Yubikey高いけどリスク考えたらやむを得ない感じだわ。

2025/05/15(木) 08:12:12.37

書いてから気づいたけど認証アプリで2要素認証出来たな、まあスマホ持って来るの面倒な時とかあるからいいけど。

2025/05/15(木) 08:14:30.08

いや、認証アプリじゃ駄目か。パスワード手で入れる必要あるし。

警備員[Lv.5][芽] (ﾜｯﾁｮｲ 6f8a-/14X) · 2025/05/15(木) 10:53:24.97

LastPassで、パスワードをいつ更新したかを一覧表示することはできる？
盗られた保管庫のマスパスが解読されないうちに一通り変えたい。

こんな公式記事もあるのに方法が見つからない。
昔はセキュリティチャレンジをやると古いパスワードが警告されていたそうな。

What Is Password Rotation, and Why Is It Important?
//blog.lastpass.com/posts/what-is-password-rotation

警備員[Lv.4][新芽] (ﾜｯﾁｮｲW f362-7KqZ) · 2025/05/15(木) 12:00:09.22

>>174
LastPass CLI
実際に出来るかは知らない

www.perplexity.ai/search/lastpasste-hasuwatowoitugeng-x-hX9Lz0u6Q0GjmE1AJToigg

警備員[Lv.5][新芽] (ﾜｯﾁｮｲW bf62-7KqZ) · 2025/05/15(木) 17:21:30.29

>>174
>>175がエラー表示だからコピペ

CLI（コマンドラインツール）を使用した方法
LastPass CLI（コマンドラインインターフェース）を使用すると、より詳細な情報を取得できます。これはLastPassが公式にサポートするオープンソースのツールです。
まず、LastPass CLIをインストールする必要があります
CLIでログインします
lpass login USERNAME
（USERNAMEはLastPassのユーザー名/メールアドレス）

最終変更日時を含めた一覧を表示するには以下のコマンドを使用します
lpass ls --long
または
lpass ls -m
これにより、最終変更時間を含めたリストが表示されます

2025/05/16(金) 17:05:05.87

>>170
ちゃんとしたパスワード管理アプリなら、
保存されているファイルを見られたところで中の情報はわからないけどな

2025/05/19(月) 05:49:15.06

>>176
You know!

2025/05/20(火) 21:12:20.70

結論 Bitwardenが至高

2025/05/20(火) 22:07:09.36

今の口座乗っ取り騒動は、メモ帳に保存してるパスワードをコピペで貼るのとパスワード管理ツールでのログインとは、どちらが危ういですか？

2025/05/21(水) 07:55:42.38

俺はその場合は同じだと思ってる

2025/05/21(水) 08:37:05.10

パスワード管理ツールのブラウザ拡張使ってれば偽サイトでは入力されないから回避できそうだけど

2025/05/21(水) 08:41:48.65

>>180
パスワード管理ツールでURLをちゃんと設定しておけば、
偽サイトでは入力候補に出てこないから、その時点で気づける

2025/05/21(水) 09:07:03.60

以前スマホを替えた時にはおサイフケータイとKeepassさえ使えるようにすれば各種サービスの移行作業はほぼ完了みたいな簡単さだったのに
今は2FAのサービスごとに手間のかかる操作が必要で非常にめんどくさい

とりあえず職場のは設定したけどゆうちょや銀行など、ぜんぜん完了しない

2025/05/21(水) 10:35:28.12

結論 Bitwardenが至高

2025/05/21(水) 11:13:42.83

以前の機種での操作を要求するのとかほんと最悪よな。

2025/05/21(水) 17:30:30.83

AndroidのBitwardenインストールしてKeepassから移行しようとしたけど
変な挙動する、おま環かも知らんけど
Bitwarden起動中に上部のステータスバーが砂嵐みたいになるとか
Twitter起動中にパスワード保存しますかっていう謎の表示が出たり

2025/05/21(水) 19:08:51.74

keepassから乗り換えるメリットある？

2025/05/22(木) 13:20:33.25

lastpass切れ乗り換えるメリットなんかある？

2025/05/22(木) 16:59:25.17

証券会社の不正アクセス結局フィッシングサイトに情報送信したというオチだってね
ここの連中なら被害に遭う心配はないわ

2025/05/22(木) 18:50:22.80

例えばブラウザのブックマークを書き換えて、ブックマーク押下で証券会社のサイトを偽装した画面を開いて、パスワード管理ソフトの挙動っぽい動きをしてマスタパスワードを入力させてパスワードリストをごっそり頂く、というのはどうだろうか。
いや、どうだろうかじゃないけどさ。

2025/05/22(木) 23:49:23.88

証券会社のサイトはブクマに登録せずパスワード管理ツールに登録したURLからアクセス
もちろん普段使いのブラウザではなくセーフブラウザを呼び出すのが安全

2025/05/22(木) 23:53:51.77

Outlookメール使いだけど
2004年ぐらいに作った古いメールアカウントで
Microsoft Authenticatorに紐付け出来ないんだけどやり方が悪いのかな、2段階認証はしたい。

2025/05/24(土) 14:00:54.78

excelからselenium使ってパスワードが必要なサイトをスクレイピングすることがあって
パスワードが書かれたxlsxファイルにパスワードをかけておいて
スクレピング絡みのコードの書かれた別のシートからユーザーフォームでそのファイルのパスワードを打ち込んでメモリに格納させて
パスワードが書かれたxlsxファイルを読み込んでこれもメモリに格納して即ファイルをクローズした後動作
という事をやっていたんだけど、これってセキュリティ的にはどう思う？

xlsxファイルって基本的にはzipだと認識しているけど、zipの暗号化って比較的強度が弱いと聞いたことがあるような・・
パスワードマネージャーを使ってローカルにデータを保存している状態と比べて脆かったりする？桁長くすれば大丈夫？
selenium経由でもパスワードマネージャー使えるのかね？

2025/05/24(土) 17:15:09.99

ブラウザのselenium用のプロファイルにlastpass拡張入れて自動入力させてるわ

2025/05/25(日) 02:18:35.53

>>194
XLSXなら弱いZipCryptoじゃなくてAESだけど、Seleniumのスクリプトにパスワード書くのは危ないと思う

2025/05/25(日) 13:46:21.58

>>196
書いた後ググってたらデフォルトの設定でAESの128ビットってやつで暗号化されていて脆い方ではないみたいね
seleniumのスクリプトに直書きしているやつもあるけど、もれてもいいやつだけですわ

2025/05/26(月) 23:13:34.21

>>197
暗号化強度自体は脆くはないけど
設定しているパスワードが貧弱であれば突破されることに変わりはないので
そこは気を付けて

MS Officeは公開鍵暗号化方式をそろそろ公式に実装しても良いと思う

2025/05/27(火) 19:09:24.70

二つインストールしてんだけど主要なのであらたにパスワードとかいれたら
使ってないほうに同期すればいいんだが
どっちもマスターパスワードとかいれてCSVインポートするのめんどくさい

2025/05/28(水) 14:38:23.57

Bitwardenがやられたようだな

2025/05/28(水) 15:01:33.55

【悲報】パスワードマネージャーBitwardenに脆弱性🫨🫨🫨 [175344491]
https://greta.5ch.net/test/read.cgi/poverty/1748271550/

2025/05/28(水) 17:04:32.71

>>200
フフフ…CVE!
www.cve.org/CVERecord?id=CVE-2025-5138

2025/06/08(日) 08:42:45.16

>>193
あれ？マイクロソフトのはサービス終了するんじゃなかった？

2025/06/08(日) 08:44:33.24

これ
https://support.microsoft.com/ja-jp/account-billing/microsoft-authenticator-%E3%82%AA%E3%83%BC%E3%83%88%E3%83%95%E3%82%A3%E3%83%AB%E3%81%AE%E5%A4%89%E6%9B%B4-09fd75df-dc04-4477-9619-811510805ab6

2025/06/11(水) 12:12:19.01

Windows10をアップデートしたらKeepassXCが自動起動しなくなった
設定にチェックは入ったままだしスタートアップにも登録されているのに
更新あるのかな

2025/06/20(金) 20:40:03.50

16 billion passwords exposed in colossal data breach | Cybernews
ps://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/

2025/06/22(日) 01:10:33.04

>>206
これ見てパスキー導入考えてるけど、リアルタイムでメールや端末認証する必要があるから、yubikeyみたいなバッテリーレスデバイスは使えなくて、事実上スマホ限定の認証方式になるな
安全を考慮するならメインスマホ以外に格安Androidを2,3年おきに契約してパスキー専用にするって使い方になるか

2025/06/23(月) 11:06:20.53

パスキーってさ
ローカルのやつやクラウドでもサードパーティパスワードマネージャーのやつならフィッシングに強そうだけど (いくらなんでもパスワードマネージャーのログインをフィッシングで要求してこないだろうし怪しいと気づく)

chromeのパスワードマネージャーだとフィッシングでgoogleアカウントのログインは引っかかって抜かれるやつとかいそう

あれってGoogleアカウントがぶっこ抜かれたらアウトだよね？

2025/06/23(月) 13:44:05.40

>>208
そのための2要素認証だろう

2025/06/23(月) 15:49:55.22

>>209
パスキープラス2要素でやっとこログインか？
それなら硬そうだけどクソ面倒そうだな

2025/06/23(月) 21:23:56.33

個人のidとパスワードを預かっておきながら
セキュリティが甘いからgoogleはたちが悪い
せめて、パスワードマネージャでid、パスワードを自動入力させたいなら
２重セキュリティを必須にするとか、idパスワードをインポートも暗号化しろと思う
このせいで沢山の企業に迷惑がかかっている

2025/06/27(金) 06:54:44.29

メルカリでパスキー登録でポイントもらえるからiPhoneでやろうとしたけど、説明通りの設定画面出てこないし、下手に設定するとAndroidへの機種変更したときにクソ面倒な手順が必要になるみたいだし、パスキーはトラブル呼び込む元になってないか？

2025/06/27(金) 08:16:48.79

>>211
気のせい、思い込み、決めつけ

2025/06/27(金) 16:40:26.90

>>212
googleだったらパスキーを複数作成してどれか一つでログインできる。
バックアップキーを作って保存しておけばパスキーを無くしたときにバックアップキーでログインできる。
メルカリにはパスキーがなくなったときでもログインできるような仕組みが無いのかな。

2025/06/28(土) 00:30:52.39

>>211
信用ならないところには預けないという選択肢があるにもかかわらず
それでも預けるのはその沢山の企業とやらが悪い

2025/06/30(月) 15:10:40.42

Windows 11でのパスキーの保存・利用に「1Password」を統合～Dev版でテスト開始
https://forest.watch.impress.co.jp/docs/news/2026865.html

2025/07/10(木) 14:36:08.72

KeePass 2.59 has been released today!

2025/07/11(金) 09:02:28.22

認証デバイスのおすすめをアマプラスレで聞いてみたけど誰も答えなかった
みんなスマホでパスキー認証してるのだろうか
Yubikey買うより認証専用でも中古スマホ買ったほうが安いしな

2025/07/11(金) 19:16:25.80

>>218
何のために認証デバイスを購入するのか
はっきりさせないと答えづらいと思う

パスキーを使いたいだけならPCやスマフォ等その端末だけで十分
認証デバイスを別途購入する必要はない
YubiKeyは電源も（遠隔）通信も不要かつ可搬性があるのがメリット
ICカードのような使い方が適している

2025/07/11(金) 21:38:12.08

ワイは使い古しのメジャーアップはされなくなったけど
セキュリティアップデートはまだ配信されていiPhoneに認証がらみを寄せたよ
ほぼ2段階認証用の電話、sms、メール、google authenticatorにしか使ってない
最近証券口座の乗っ取りがニュースになっていて対策した

2025/07/23(水) 19:00:55.58

3スレほどロムったけどkeeperって人気ないの？
試用してみた感じbitwaerdenの上位版ぽくて乗り換えようか迷い中

2025/07/24(木) 14:36:42.52

>>221
パスワード管理ソフトの中で日本法人まで持って日本語サポートしっかりしてるのはここくらいなので、コスト高くても日本語サポート重視とか、法人ならここがいいんじゃないかと思う。

1passwordのamazonセールや元々安いBitwardenに比べると大分コスト高にはなるけど。

2025/07/25(金) 09:51:56.00

>>222
もっとコスト高いのに名前出てたり専用スレあるの考えると機能がコストに見合ってないってことなのかな？
ありがとう検討します

2025/07/25(金) 11:56:56.23

LastPassがさいつよ

2025/07/31(木) 20:22:44.38

Dropbox Passwords、10月28日に完全終了へ - ITmedia NEWS
www.itmedia.co.jp/news/articles/2507/31/news075.html

こんなのやってるなんて知らなかったし
話題にも上がらないから誰も使っていないんだろうなあ

2025/07/31(木) 20:31:28.64

>>225
うん知らなかった

2025/08/22(金) 16:28:28.74

ほとんどのパスワード管理アプリから機密情報を盗み出せる～拡張機能を狙う攻撃手法が明らかに - 窓の杜
ps://forest.watch.impress.co.jp/docs/news/2040917.html

2025/08/22(金) 16:49:42.69

>>227
これらの脆弱性は2025年4月に報告済みで、内容の公表は2025年8月まで猶予された。しかし、「Bitwarden」や「1Password」、「iCloud Passwords」、「Enpass」、「LastPass」、「LogMeOnce」など、一部のベンダーはまだ脆弱性への対策が完了していないという（「Bitwarden」に関しては修正が完了し、アドオンストアへの掲載を申請中とのこと）

2025/11/03(月) 08:45:58.83

KeePass 2.60 released - KeePass
https://keepass.info/news/n251102_2.60.html

2025/11/04(火) 23:10:24.81

パスキー使ってる人はどうやって管理してる?
アカウントに紐付け?　アプリで管理?

自分は泥メインで普段はkeepassでパスワード管理してたけど、1台だけ林檎端末があって、アカウントにパスキー紐付けると、林檎がハブられるし、keepassでパスキー管理してもやっぱり林檎がネックになるしで、未だにパスキー使っていない

同じような状況の方いたら、どうしているか教えて下さい

2025/11/04(火) 23:40:51.02

自分は諦めて機体毎&復旧用の2FAでやってる
パスキーは使い回せるといわれているけど実際に別の機体で使おうとするとエラーになって使い物にならない
違うOSを跨ぐと実際は使えないのはどうにかならんかね

2025/11/04(火) 23:45:05.88

>>230 Bitwarden
AppleもWinもAndroidもこれでOK

2025/11/04(火) 23:48:57.64

KeePassXCじゃなくて素のKeePassでパスキー使えるのか

2025/11/05(水) 00:02:09.36

パスキーなんて一元化しなくてもデバイスごとにいくつでも登録しておけばいいんじゃね

2025/11/05(水) 00:40:18.51

パスキー認証で上限数あるとこなかったか

2025/11/05(水) 00:54:31.32

楽天証券は確か1個

2025/11/05(水) 07:49:40.51

さすがに1個はアホすぎるな

2025/11/05(水) 23:49:16.47

アドバイスくれた方、ありがとうございます

自分は端末毎にパスキー作ると、どの端末にどのサイトのパスキー登録したか覚え切れなくなりそうで、Keepassみたいに一元管理できたらいいなって思ってたけど、パスキーって複数作っても問題ないみたいですね　

もしくはBitwarden使用を検討するか…とりまBitwarden試してきます　thx!!

>>233
今はKeePassXC、KeePassDX、KeePassiumでパスワードのみ使ってます
質問してるのに、環境を正しく書かずに略して申し訳ありません

2025/11/14(金) 01:56:31.69

「1Password」がWindows 11のパスキー管理ツールに、他デバイスとの同期も可能

2025/12/01(月) 12:00:16.25

yubikeyの公式サイトだと、YubiKey 5C NFCが55ドルで買えるのな
セールで30%オフやってたので2本買ってみた　届くの楽しみ

2025/12/14(日) 12:51:46.75

ケーパスで過不足なし

2025/12/20(土) 15:45:53.45

パスワード管理ツールのデータバックアップって結局どうするのが正解？
定期的にマスターパスワードで暗号化してクラウドとローカルに置いておくで大丈夫？

2025/12/20(土) 20:21:23.98

クラウドには置かない

2025/12/26(金) 13:08:39.15

自分はBitwarden使ってるので、暗号化jsonファイルをローカルのPCにエクスポートしてそれをバックアップにしてる
KeepassXCならその暗号化json読み込めるから、サービス死んでも一応対応できる

2026/01/13(火) 14:51:00.67

普通にクラウドにおいてる
漏れること前提の使い方

2026/01/17(土) 11:16:43.39

自前でバックアップなんか取らずにサービス側に任せている
あっちが勝手に何重にも冗長化してるし

2026/01/19(月) 14:36:35.61

クラウド型使ってるなら、サービスに全部依存しちゃった方が楽だよな
余分な事すると、悪い人がつけ入る隙を増やしてしまうし

2026/01/19(月) 14:44:41.21

以前はオンラインでパスワード管理なんて危険じゃね?と考えてたけど
地震を見てから、ローカルのみ保存も別の方向で危険じゃね?に変わって
KeePassから1Passwordに乗り換えた　KeePassも併用してるけど

2026/01/19(月) 19:36:55.69

KeePassをクラウド管理すればええやん
何のためのキーファイルなのか…

2026/01/19(月) 22:53:01.55

KeePassとクラウド（iCloud Drive）で使ってるわ
DBはクラウド、キーファイルは各端末に置いて

2026/01/20(火) 14:09:40.21

マスターkeepass+dropbox
それらの中からよく使うものだけをbitwardenに置いてある

2026/01/20(火) 19:21:08.99

>>249-251

スマホでkeepassを使いたいんだけど
どのアプリが安全ですか？？

2026/01/20(火) 21:01:13.55

>>252
KeePassDX (iOS）
KeePassium (iOS & macOS)
https://www.privacyguides.org/en/passwords/

2026/01/20(火) 21:03:57.31

>>253
訂正
KeePassDX (Android）

2026/01/20(火) 23:56:51.01

KeePassのデータベースをクラウドに上げるの怖くない？
.kdbxファイルって色々な方面から狙われてるって言うやん
自分はキーファイルがあってもローカルのみで使用だわ

2026/01/21(水) 12:39:48.24

>>255
それが怖いなら暗号化と圧縮+パスワードでいいと思う
今のオンライン系PMツール信用できないならそれが最適解じゃない？
後はオンラインにおいたりオンライン系マネージャが信用できないなら
ローカルでスマホtoPCとかポータブルUSBやHDDに入れて持ち運ぶのが一番安全だと思う

2026/01/21(水) 12:41:10.18

>>252
安全の判断基準によるとしか言えないかな
とにかくここで聞くよりも自分の知識を強化する方がいいよ
ここもどういう判断基準で選択してるか不明な人が多いから

2026/01/21(水) 12:43:31.37

>>248
1Passwordは正直止めた方がいいと思う
過去に流出事件起こしてるしその後の対応もあまりよくないよ
AIに聞くと大規模なセキュリティインシデントを起こしていないのは
Bitwardenを含めて3社とか出てくるね

2026/01/21(水) 12:45:26.88

>>246
サービスを過信しすぎるのも問題だとは思う
今のセキュリティは分散型が主流といわれてますし🍣

2026/01/21(水) 12:46:41.74

>>242
分散型がいいと思う流出を警戒するなら暗号化しておくのがいいよ
2重暗号化がどれほどのセキュリティ強度あるのかは知らないけど

2026/01/21(水) 14:32:43.25

>>255
パスワード32桁とキーファイルをクラウド上に置かずに事前共有することで対応しているわ

2026/01/21(水) 14:53:09.29

今のITというかネット環境だと何が最適解なんやろな～
後思ったんだけどなんで最近のPCもモバイルのブラウザもURLをあまり表示したがらないんだ？
詐欺に引っかかる予備軍を増やすだけだよね？

2026/01/24(土) 11:08:42.59

>>258
1Passwordの流出事件って、具体的にはどういう事件？
探しても出てこないんだが

2026/01/24(土) 13:17:18.63

>>263
lastpassと勘違いしてるのでは

2026/01/24(土) 17:31:11.02

redditのこれかな？後は1passは脆弱性の事件やらの
セキュリティインシデントのニュースをそこそこ聞くな～
https://www.reddit.com/r/PasswordManagers/comments/18gt64z/warning_as_1password_dashlane_lastpass_and_3/?tl=ja

2026/01/24(土) 17:36:07.24

とりま今一番安全な方はBitwardenやRoboFormやNordPass辺りが安全ぽいかな？
後は詳細部分はAIなどに聞いてみてね
大規模な流出事件や過去に脆弱性がないかなどね
非オンラインだけどKeePassとかもかなりいいよカスタマイズ面倒だけどｗ

2026/01/25(日) 10:09:45.50

>>265
それも流出とは違うよな。
そもそもまともなメーカーならゼロ知識だから、
流出してもマスターパスワードが強ければ保管庫内の情報は守られるし、
マスターパスワードの管理はユーザーの責任だからな。

ちなみに、LastPassやBitwardenは、
マスターパスワードだけで守られているようなので、
マスターパスワードが弱いと、流出したときのリスクは高い。

2026/01/25(日) 12:17:04.12

>>267
タイトル名は流出になってるね 75fa-cO42のニキはかなりパス管理アプリに詳しそうですね
ゼロトラストとゼロ知識は別カテゴリの用語なんですね
ようはオンライン型は金庫の設計と管理はするけど鍵の内容はユーザーの自己責任で守れという設計だよね
Bitwardenもマスパスだけなんですねそれは知らなかったです

2026/01/25(日) 12:21:27.62

>>267
調べてみたら二要素認証とかもあるようですよ
ソフトウェア面でみてもマスパスだけじゃないようですね
後はPINと生体認証とセッション期限とか色々あるようでっせ

2026/01/25(日) 12:53:56.92

>>269
二要素認証は、LastPassやBitwardenにサインインするためのもので、
保管庫そのものが流出したときに守れるものではない。

1Passwordは、マスターパスワード以外に、
ローカル上で生成されるシークレットキーという概念があって、
保管庫が流出してもマスターパスワードだけでは復号できないので、
流出時には強いが、シークレットキーの管理もユーザーに託される。
印刷して金庫に入れておけとか言われる。

2026/01/25(日) 16:19:41.91

確かにBitwardenなどはそこ弱いですね....
1Passwordは流出やインシデントない訳じゃないけど
そういう設計上の強みがあるんですね～
知らんけど

2026/01/25(日) 16:23:52.73

個人的にKeePassが好きですねー多様なプラグインもありますのでｂ
ただ貴方のおかげでまた別視点の知識も持てて感謝ですｂ
1Passwordへの評価も少しポジティブになりましたｂ

2026/01/25(日) 17:49:14.87

サービスにもよると思うがマスターパスワードって人が端末向かって入力する正規なルートで初めて効力があって金庫が流出したこれを解読してやろうみたいなときには直接的に関係のないものってイメージだったんだけど
極端なことを言ったら12345678ってマスターパスワード設定したもので出来上がった金庫が流出したとしてもクラッカーはその金庫の中身が途中で強力なフレーズで暗号化されていてわかんない的な
この場合は、protonの場合だけど
WPA3のSAEも短いパスワードでも強力なったりするんでしょ

2026/01/25(日) 18:03:33.12

>>273
ようは1Passなら金庫が流出して12345やQWENRTYみたいな情弱向けパスワードでも
シークレットキーなどがあるからそれを解読するか
金庫自体の暗号化を解除かＭパスの解析をしない限りは絶対に金庫は安全という事だよ

2026/01/25(日) 23:31:13.18

キーファイルを組み合わせて暗号化したkeepassなら流出しても暗号解除はなかなか難しいと思う

2026/01/26(月) 12:32:40.65

>>273
マスターパスワードからPBKDF2などのルーチンで計算するので、
保管庫とマスターパスワードが流出したら、内部の情報を読み取れる

2026/01/26(月) 22:37:09.41

>>275
そういえばKeepassの画像認証みたいなの標準かプラグインで追加できたはずだけど
あれのセキュリティ強度への貢献はどれくらいなの？

2026/01/26(月) 22:45:26.02

>>277
これキーファイルだった他にも2要素認証とかも追加できるんだな～
ただキーファイルだとファイルの紛失や破損とかで取り返しがつかないとかもありそうだな
結構リスク高いかもな

2026/01/26(月) 23:08:15.55

なんかAIに聞いたら今のセキュリティ環境は盾(タンク)を鍛えるのではなく
修繕能力(ヒーラー)を鍛えろと出てくるな～
盾(タンク)も重要なんだけど比率でいうと修繕能力(ヒーラー)の方が大事らしいね
確かにそうだとは思ったよゼロデイだのゼロトラストの時代だっけ？

2026/01/27(火) 00:17:09.80

ひとたび保管庫が流出すれば、攻撃者は保管庫への総当たり攻撃を年単位で続ける
2022年のLastPass流出後に保管庫に入れてたパスワードを変更しなかった間抜けが、2025年に被害に遭ったりしてる

2026/01/27(火) 00:54:22.59

それはそうだろうね～だからマスターパスワードだけだと堅牢性がぁ

警備員[Lv.0][新芽] (ﾜｯﾁｮｲ b692-7ngp) · 2026/01/27(火) 23:50:23.74

パスワードをローテする機能も出さないLastPassが悪いのであって、間抜け呼ばわりは違うんじゃないか？

2026/01/28(水) 00:07:27.04

法的な過失割合とかは知らんけど
正直LastPassがもっと積極的なセキュリティ強度対策して欲しいな
大分企業寄りの意見が>>280やな～

2026/01/29(木) 00:20:56.16

保管庫流出したら破られるのは時間の問題。量子コンピューターが実用化されれば尚更
流出させたLastPassの責任は重いが、責めても流出がなかったことにはならない
現実を直視して対応しなきゃいつか被害に遭うし、実際やられた奴がいる

企業寄り? とんでもない
保管庫のクラウド保管自体リスク視してるKeePass(XC)ユーザー

2026/01/29(木) 00:24:08.78

まぁまぁ面倒くさいKeePass使いやなｗ
そりゃ～KeePassは安全だろうけどさ知識のない人もいるんだぞい？
スタンドアロンが一番いいと思うけどこのスレで災害リスクがうんたら言ってる人いなかった？