パスワード管理ツール Part7 [無断転載禁止]©2ch.net

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part6(c)2ch.net
http://potato.2ch.net/test/read.cgi/software/1437557542/

結局自己満足とパラノイアの世界だからねー
年金やもんじゅみたいに滅茶苦茶重要なはずのデータは易々と盗まれるのに、大したことない個人の銀行口座ガチガチに固めるのもアホらしい

二段階認証しとけば十分

なんかスレチな気がしてきたからそろそろ引っ込みます。
長文連投スマソ

>>683
誤解かなー、ツールへの信頼度の違いな気が。
使い回しが最悪で管理ツールがベターなのは共通認識として、どれ位マシなのかについて
683はかなりマシ、俺は（ツールと使い方によっては）ちょっとマシでしかないと思ってるような。
681に貼ったような一連の報道もそんなニュアンスだし。まあOrmandyは口悪いから
「LastPassとか使ってるやついんの？ちょっと触っただけで脆弱性ボロボロ出てくるけどw」
とか言ってるけどね。
放置されてたら被害は時間の問題だったと思うんだが、なぜか日本では（大して実害ない）
LastPassサーバーのハックほどにも話題にならない、そこら辺から海外との温度差が生じてる気が。

あと俺の伝え方が悪かったが、ブラウザRCEでアウト（やや言い過ぎだが）ってのはリモートの攻撃者から見て
キーロガー仕込むより遥かに簡単に盗めるってこと。砂箱破る必要があるかないかは大きいよ。
極論言えばMy Documentにおいた平文メモより脆いわけで（こっちはローカルの攻撃に弱いけど）
ちなみにユーザーモードキーロガーならセキュアデスクトップで概ね防げるけど、
カーネルモードやハードウェアロガーまで考えるなら物理セキュリティ、FDE、アクセス制御や
仮想化含めた総合的対策が必要で、それが管理ツールの範疇外なのはセキュリティに完璧がないのと同じく自明

ま、682や685は正しいよね。要は利便性とセキュリティのバランスをどこでとるかでしょ。
リスクをどうとるかは多分に主観的要素が絡むし、実現可能なセキュリティレベルは知識にもよるし。
「そこまでのセキュリティ必要か？」と聞かれたら別に必要ではないと答えるけど、俺の場合セキュリティを
利便性に置き換えても同じ答え。人によっては物凄く生産性が変わる場合もあるかもしれんけど

使い回しが蔓延してるうちはまず狙われないとは思うが、最近は末端の人間も標的型攻撃の踏み台にされたりするし
大規模被害が出るまで明るみにならなかった攻撃例とかもあるし、使うツールや運用を決める上で
セキュリティは1つのポイントにはなるんじゃないの。
（念のため、KeePass信者というわけじゃないよ。1Passwordとか比較的しっかりしてると思う）

基本となるパスワード+サイト名2-3文字でやってたけど、たしかに突き合わされたら意味ないな…
パスワード生成させるか

キャッシュカードの4桁の暗証番号なんかは、
カードに書いてある口座番号から固定のルールで計算してる。

いいかげん鍵助におまかせするのもつらくなってきたので泥窓で同期できるソフト探しに来た
SafeInCloudとLastPass試してたけどここ見て入れてみたEnpassもいい感じ

SafeInCloudはFaviconが視認性はいいけどラベル欄はEnpass(のカテゴリ一覧)のほうが分かりやすいね
クラウド同期はクラウドストレージのルートにDB保存するので間違って消してしまいそう

Enpassのクラウド同期はEnpassフォルダ掘ってくれるから分かりやすくていい
あとクラウドやWebDav以外にフォルダ同期も選べるのでResilioSync的なものと併用すればLAN内で同期完結できる
バックアップやデータの場所を自分で選べるのもいい
ただ現状でFavicon使えないのとデスクトップ版は問答無用でProgramFiles(86)に突っ込まれるのが残念
ポータブル版は持ち出し志向だからフォルダ同期やバックアップがなくなってるし痛しかゆし

IdManagerみたいにアカウント毎項目名を都度設定できるソフトはありますか？

WindowsだけならIdManagerで不満は無いんだけどandroid などと同期したいなぁと

dashlaneと1passwordテストしてlastpassで頑張ることにした。
よいのないねぇ。

結局いろいろ使ってLastpassに戻る

PCだけなんでKeePassで問題無し

GoogleがLastpassみたいのやれば解決

PCもスマホも同じような比率で使う人なんていないだろうしな
必ずどっちかが補助だから、補助の方はてきとーでいい

lastpass入れたらブラウザの動作が重くなったっす

>>696
Chromeにパスワード保存機能あるじゃん

KeePassをPCでキ―ファイルのみで使ってたけど
Andoroidでも使うにはパスワードも設定しなくちゃいけないんだな
めんどくせえ

>>700
どのアプリ使ってるのか知らないけど、パスワード空のまま復号してみてもダメ？

キーファイルが一つだけだとなんだか不安だ
ふたつ使えるようにしてくれ

>>701
できました
keepass2androidです
ありがとう

Windowsで
KeePass系を
指紋認証で使いたい場合の最適解ってなんでしょう

WindowsHelloの認証をストアアプリ以外から利用できるライブラリってないのかな

1password入れてアカウント作って
スマホの調子悪いから一回アンスコしてまたいれたんだけど
これって秘密鍵ってのないと入れんよね？
マスターパスワードだけじゃないのかよ...
詰んだ？

Windows 10のスタート画面でお馴染みのパスワード管理ツール「Keeper」に深刻な脆弱性 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1097548.html

keeperとか誰も使ってなさそう

keepassに空目してゾッとしたわ

この記事書いた人素人？どこから管理者権限が出てきたんだよ
単刀直入に、任意のウェブサイトがKeeper上の全パスワードを盗める脆弱性と書けばいいのに

>>707
一応GooglePlayのインストール数は一千万越えてるのでユーザーはそれなりにいるらしい
ただし他のアプリと比較するとこの数字いまいち信用できない
なんでChromeウェブストアと2桁違うんだ

>>706
お馴染みなん？

>>710
Chrome版がモバイル版と同時にリリースされたのかは知らんが、
Wiki見ると結構色んな端末にプリインされてるようだからその効果だろ

win10に最初からプレインされとるからな
パスワードマネージャなにそれな人達は他アプリ比較もせず入ってるもん使うだろうし
そういう層はマイクロソフトにお薦めされるままEdge使ってるか
プリインのデスクトップ版だけでブラウザ拡張は入れないかなんじゃないの

dashlaneからlastpassに乗り換えようかと思ったけど
結局そのままになりそう
UIがすきだわ

>>713
俺んちのWin10にはストア版もデスクトップ版もインストールされてないんだが

KeeperがArs Technicaを告訴、脆弱性報道巡り
http://www.zdnet.com/article/security-firm-keeper-sues-news-reporter-over-vulnerability-story/
数名のセキュリティ専門家はTwitter上で非難
Keeperは以前、別の脆弱性を発見したFox-ITも訴えると脅していた模様

ところでkeeperは悪名高いpckeepperさんとは無関係なのかえ？

脆弱性発見してあげたのに訴えてくるのか…

修正してから公表すべきだからな

みんな元記事読んでないんかい…
発見したのはGoogleの研究者で、90日の公表猶予が設けられたがKeeperは24時間以内に修正
今回名誉棄損で訴えられたのは、主要ニュースメディアの1つで脆弱性を真っ先に報じたArs Technica
理由は16ヵ月も脆弱だったというのは間違い、ということらしい（本当か？

（窓の杜も管理者云々とか偽UI注入とか誤報だらけだから、英語なら訴えられてたかもね

なお16ヵ月というのは、同じ研究者が16ヵ月前に殆ど同じ脆弱性を報告してたから
だから前回の脆弱性がきちんと修正されてなかったと思われたんだけど、Keeperの言い分では
「いや同じじゃねーし、影響受けるの最新ver.だけだし（=脆弱性が再度導入された）」
てことみたい。

脆弱性が直ったとしても乗り換えちゃうね

おれもCcleanerやめたし

わざわざ告訴するようなところのは御免だわな
堂々と記事を否定だけすればいいものを

https://jp.giveawayoftheday.com/steganos-password-manager-18/
あまり時間がないけど

無料でもいらねーわこんなの

keepass 日頃使用してたんだけど、最近HDDがやられて、HDDは無事復旧できたんだけどkeepassだけが起動できなくなった(*´Д｀*)
同じ症状で復旧できた人いない？
下記の症状と似てるような気がする。リペアーモードは上手くいかなかったけど、、、
http://kppn012.blog.so-net.ne.jp/2012-12-08

https://twitter.com/EnpassApp/status/944697730403794951
セール

enpass半額か
とりあえず買っておこうかな

アプリ内課金ってのは泥スマホ機種変しても再購入は不要？

Enpassか
OneDrive同期に対応はいいな
ちょっと試してみるか

Enpass半額ってことはSafeInCloudと同額くらいになってるん？と思って比べてみたら
SafeInCloudも40%オフで安くなってた
https://plus.google.com/+SafeInCloud

EnpassのMSストア半額になってなくね
てかブリッジ版とフルUWP版の間に
1000円分もの価格差があると思えん

Enpass購入したけど
日本語に萎えるな
今のままSafeInCloud使い続ける

お前らロシア人を信じるのか…

ん？なにが？
そういうの要らないからほんと
ヤフコメから出てくんな

ヤフコメってそうなんだ
お前詳しいな

>>735

気にしていたらテトリスできないだろ。

パスワード管理ソフトとゲーム比べちゃう人って

>>674
たかがゲームだろうが、キーロギングでもされようものなら、
どんなパスワード管理ソフトも無力化できる

アンカーミスったごめん

LastPass’ Authenticator app is not secure
https://hackernoon.com/lastpass-authenticator-app-is-not-secure-77b9743c3007

結構重宝してたのに残念だなあ
改善されるといいが

ほんといい加減な会社だなぁ

Windows,Mac,iPhone,Androidで共通して使えるソフト有る？

ブラウザで動くものならどこでも使えるぞ

>>745 そりゃ、Roboformだよ

>>745
enpass

カードの番号とかも管理させたいけど、今ひとついい方法がない

>>749　それもRoboformでできるな

>>750 なんだよRoboformって無料だと15件までしか登録できないじゃん
詐欺かよｗ　金払ってまでこんなもん使うかバカｗ

Robo8なら無制限なんやで、なお同期

EnpassやSafeinCloudはPC版がブラウザ入力のみ（ブラウザ以外のアプリの自動入力未対応）
RoboformはAndroid版なんか微妙(専ブラからじゃないとパス補完効かない？
あと非ブラウザのパス登録＆入力方法が良くわからない）
なんつうかいろいろ惜しい

有料含めて10以上のサービス試してきたけど結局keepassに帰ってきてしまった

News: KeePass 1.35 available!
https://keepass.info/news/n180102_1.35.html

オンラインバンキングのサイトとかは次から次へとパスワード管理ツールは凝った仕掛けのないシンプルなヤツの方がいいやね

日本語おかしくね

メルアドとパスワードを同時に入れられるシンプルなサイトがいいね
と解釈した

インテルのバグって影響ある？

>>758 有るに決まってんだろｗ
1万人が各1万件登録して1万年使ってれば1回ぐらいパスワード消えるよ

いやカーネルメモリリークの話でしょ、ニュースみろ
まともなツールならユーザー空間上で暗号化してるはずだけど
どうなんだろね

keepassの添付ファイルを開くテキストエディタを指定したりできない?
内蔵の簡易エディタが簡易すぎて役に立たない

>>760 案の定この手のソフトとは何の関係もなかったじゃん

>>761
特定の拡張子以外は(EFSで暗号化された状態で %TMP% に出力されてから)、関連付けられたソフトで開くという仕様があるので、
例えば .hoge とか適当な拡張子を任意のソフトに関連付けさせてから、その拡張子を持つファイルを添付するとかってのを思いついた

これで開くとダイアログが表示されてから添付ファイルが開かれる
で、編集して保存終了したあとにダイアログのインポートボタンを押せばおｋ

なるほど
正直に .txt なんかにしてるのがいかんのか

エントリの中からなら 開く - 外部プログラム があるんだから、
あと3mmくらい空気読んでデフォルトをそれにしてくれるだけでいいのに

enpassとsafincloudのセール中に買い損ねた
なぜか8日までだと思い込んでたわアホだ

chromeIPassはKeePassの正規表現で書かれたURLは認識してくれるのでしょうか？
当方の環境ではアスタリスクが混じったURLには反応しませんでした。
あるいは他に複数のURLに対応する方法があればご教示ください。

サブPCのFirefoxを最新にしたらKeePassとFirefoxの連携が取れなくなったよく使ってるメインは
連携できてるのに…何が違うのかさっぱりわからん…

オートタイプ中心で運用するのが安定するように思われる

KeePass 2.38 has been released today!

セールで買ったenpassしばらく使っていたけどkeepassに帰ってきた

LastpassはAuthenticatorと一緒に使うと便利で死ねます。
スマホにAuthenticatorいれておくとパソコンで２段階認証必要なときにpushでワンクリックで承認できるです。
対応しているのしか駄目なんだろうけど。

lastpassはガバガバセキュリティのイメージしかない

メジャーだから目立ってるだけで、RoboformやDashlaneも似たようなもん

2段階認証はAuthyしか対応してない(さもなくばSMS)サイトがあるので
見事にロックインされてしまった

keepassの1.xと2.xはどう違うの?

>>775
https://keepass.info/compare.html

>>774
どういう仕組み？
参考までにそのサイト教えて

>>777
Google Authenticator みたいにワンタイムPINを生成する(実際GA用の認証情報も使える)だけなんだが、オンラインバックアップや、PINをChrome拡張で表示できるとかの独自機能がある

Authyにしか対応してないサイトは、自分の使ってる中では
https://www.humblebundle.com/
https://twitch.tv/
だけだ

○○しか対応してないと言っても実際は標準規格だから大丈夫だったりする
例えばOffice365はMicrosoft Authenticatorしか対応してないようでいて普通にGAにキー入れても問題ない

なんだそういうことか
なんか独自の仕組みでもあるのかと思ったわ
標準的なTOTPならアプリなんてなんでもいいわ

俺も Authy は便利に使わせてもらってる。
んで便乗質問。Steam の認証に対応させる方法って何か無いかな？ もしくは iOS で対応可能な他のツールとか。
ちなみに Windows では WinAuth が Steam の認証に対応してますね。

>>779 >>780
Google AuthenticatorではWebページに表示されたQRコードを読み取るかキーを入力するかしてPINコードの生成を始めると思うが
>>778 に挙げたサイトではAuthyに登録した電話番号でSMSかプッシュ通知を受け取らなければいけない
Authy専用のPINは7桁だが、一般的なキーは6桁(これは標準化されてるのか知らない)

KeepassのTOTPウイザードでは6と8が選べるが、6が一般的っぽい

SafeInCloud→Lastpass→Enpass→Roboform→Keepass
遠回りしたが(10年近く前から触ってはいたものの面倒くさそうで延々後回しにしていた)Keepassに落ち着きそう
しかしKeepassはブラウザ連携とかFavicon対応とかTOTPとかクラウド同期とか
keepass2androidもブラウザ連携とかアプリ連携＆登録とか
他ソフトでできてることはプラグインで大概できたんだがそこにたどり着くまでの設定を理解するのが大変だった
KeyboardSwap for Keepass2Androidを動かすためのADBドライバがまだ入れられん

Yubico Authenticatorが設定でTOTPを6~8桁にできるのを思い出した
アルゴリズムや周期も設定できるがデフォ設定以外使ったことない

enpassみたいなアプリ内購入のセールっていつやるとかどうやってわかるのですか？