パスワード管理ツール Part17

!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください


パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part16
https://itest.5ch.net/egg/test/read.cgi/software/1700726576

スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/
https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured

パスワードを何かの文章にすれば記憶と文字数を両立できる
平気で100文字とかにできるしそこに少しの大文字数字記号を混ぜれば簡単に高強度のパスワードの完成

自分の好きな歌の歌詞とか

>>480
スマホのロックに期待することにします
持ち歩かないスマホなのでそんなに危険でもないんじゃないかと

普段から使うものなので、あまり奥にしまうのも難しい
一番重要なのは紙にしか書いてないし

自分のバックアップはこんな感じ

windowsのテキストにパスとか全部書く
これをPCのWinRARでパスワーど付けて圧縮
このrarファイルをAndroidアプリでグーグルがデフォで提供してる「Files」の「安全なフォルダ」に保尊してる
安全なフォルダっては、ここ開くだけでもPINが必要でスマホのロック解除とは別の番号を設定する

>>484
だからその紙も危険なんですよ～
・誰かに見られる (家族や友人や空き巣)
・紛失や盗難のリスク

>>484の運用で一番いいのはインターネットに繋がないPCに
パスワードマネージャでデータを保存することだよ

一人暮らしで友達はいません
持ち歩きません

>>485
その運用法はセキュリティに問題があるからおとなしくkeepassとかのローカルマネージャー使った方がいいと思う

>>485
パスワーをど付けるのか…
パスワーってなんだろ？

パスワーど
↑単純な変換ミスｗｗ

>>489
やっぱ問題あるのか
keepassXCはPCとAndroidで両方を使ってる上でテキストにもバックアップしてたけど消しとくわ

いやXCは普通に問題ないはずだよ？もう少し調べようｗ

テキスト保存の方の事やろ普通に考えて

普通に小学校から国語やり直した方がいいな

>>492
HDDやSSDに平文を保存した時点でそこに痕跡が残る
HDDはランダムデータの上書きで完全消去すれば多分大丈夫だけどSDDは特定データを確実に完全消去する方法がないので平文保存がまずアウト
rarもパスワードマネージャーでの暗号化よりは強度が下がるし、そもそもの話同じパスワードを複数のツールで保存することがただリスクの箇所増やしてるだけの行為

>>494+495ニキは差別はやめようｗ
>>496
のニキ参考にさせて頂きますｂ SSDはデータ消去系でもダメなんですなｗ

こういうIT知識は本当に教科書や普通のウェブサイトじゃ教えてくれない機密ですなｗ

>>496
大抵のパスワード管理ソフトは平文でエクスポートする機能が付いていて、
乗り換えなどのときはそれを使うことが多いだろうけど、これも本当はよろしくない

>>499
さすがにそれは「しょうがない」ケースじゃない？ それ言い出したら何もできないような？

Androidとも同期させてる人はいると思うけどその場合はどんなツールが良いのです？

>>499
これKeepassなら違うんじゃないの？ｼﾗﾝｹﾄﾞ
Bitwardenはどうなの？

>>502
Bitwardenはえらべる

細かい経緯は省くけど今ある程度に名前が有名なパスマネの平文リスク評価はこんな感じらしいよ
やはり一番安全なのがKeepassで次にBitみたいだな
https://i.imgur.com/w86pJ6y.png

買い切りが安くなってたから買ったEnpassはどうなんだ
サブスク嫌で1passから乗り換えたけど…危ない？

>>501
keepass2AndroidかKeePassDX
ローカルキーファイル使用でデータベースはクラウド
スマホでデータベース編集は壊れる可能性あるからしてない

>>505
Enpassの欠点セキュリティ監査無し
キーファイル無しはデータベース流出で解読される可能性ある
セキュリティ重視ならキーファイル使用
>>270

>>501
PC: KeePassXC, Syncthing
Android: KeePassDX, Syncthing-Fork

Syncthingでローカルネットワーク経由で同期してるわ

>>496
>SDDは特定データを確実に完全消去する方法がないので平文保存がまずアウト

これ本当？
昔、データ入ってるUSBメモリーを
Linuxのshredコマンド（shred -n2 --z）
やってデータ3回上書きして、
複数の復元ソフトで復元を試みたが、データ復活しなかったぞ

>>508
復元ソフトは多分無料でしょ？一般に出回らない有料や法人向けとかなら
復旧できるかもよ？

知識ある人はどこまでも色んな復元機能作るからな～
まぁ余程の目立つことをしなければ一般人がそういう悪徳ツールの標的にはならないんじゃないの？

電荷のNANDできっちり上書きしたものを復活とかどうやんの？

>>511
それは出回ってない情報があるんじゃないの？
ジャンル違うけどゲームの🧀ートやRMT業者などが使う不正ツールは一般市場に出回らないんだとさ
そういう法務や業務系アプリケーションで復元とかありそう......

きっちり上書きができない
上書きしたいデータの場所(1回書き込み)
他に0回書き込みの場所があると上書きで書き込む場所はそこになるからデータ上書きはでない
これがウェアレベリング

ドル円100円になったらENPASS買い切り買うのだがな

アメリカIPでサイトみると59.99ドルだから、日本円の¥7,861は結構頑張ってる価格なのか

>>508
全体消去だと消える確率は高いがそんなことパスワードを使うたびにやってられないので特定データ(パスワードの平文データ)を完全消去できるかがまず論点になる

>>513が言うようにSSDにはウェアレベリングという機能があって、セル1個あたりの書き込み回数が偏らないようにコントローラーが絶えずデータを移動させ整理してる
だからHDDのようにデータが1箇所に留まらず、一度書き込んだデータの痕跡が複数個所に刻まれる可能性を否定できない
またSSDはデータの上書きができず書き込みがページ単位で行われるのに対し削除がそれ以上に広いブロック単位でしかできないので、ピンポイントで選んだデータを完全消去ソフトで上書き処理してもコントローラーが別の箇所に書き込み処理をする可能性がある
これらのコントローラーの中身は大体メーカー非公開なのでSSDに1度書き込んだデータが完全消去されるかは運任せ(ただしトリムという機能によって時間経過で消去される確率は上がる)

またHDDだと機能する全体消去コマンドですらコントローラーの介入により正常に行われる保証がないため、SSDではsecure eraseというウェアレベリングを無効化する完全消去機能(nvmeではSANITIZE Block Erase)が唯一のSSDデータ完全消去手段だとされてる

あとUSBメモリは上述したコントローラーの性能が低いがゆえに消去しやすいということがあると思う

>>513
データを消したあとに容量満タンな空イメージファイルで上書きはダメ？

>>516
SSDは高速でいいとかメリットばかり強調されてるけど
セキュリティ面から見るとデメリット多いのか～
HDDもそういう面でメリットあるのかー

enpassとkeepassxc併用しているけど
enpassはキーファイルを設定できないのがちょっぴり不安
でも入力が三箇所以上あるフォームの入力が簡単なのでそこは気に入っている

>>519
enpassはマスターパスワード変更からキーファイル設定出来る

このスレ本当に勉強になりますｂ

Windows11のエクスプローラってパスワード付きZip作れない？

そういうのは圧縮やアーカイバ系スレで聞いてクレメンス
zipの場合はパスワード付けてもセキュリティがボロボロだから付ける意味がないｗ
圧縮ファイルのセキュリティを確保したいなら今だと7zipがいいですよ
もしくは.rar系ですな

ちょっと心配になってくるな
古いのやミラーから仕込まれたの落としてきそう

確かにそういう危険もあるけどzip使い続ける方が危険じゃんｗ

zipにパスワードかけてもファイル名が丸見えな事を知って驚いた

>>526
まるみえどころか抜き出し放題だぞい？しかもフリーソフトでCrackし放題ｗ
こんなものを企業のセキュリティに使ってたら馬鹿にされるｗ

今時1番いいのは7zipで機密情報の暗号化なんだけど
こちらもフリーソフトだから信頼しない人はそうなるんだろうなと......
7zipはハッキングされた事件がほぼないフリーソフトなんだけどな～

7zipってロシア系というのを知った上で使うべき

>>527
Zipのパスワード抜くおすすめフリーソフトおなしゃす。

>>525
いやパスワードというだけでここで聞いちゃう>>522がまともな圧縮解凍ツールを落としてこれるのかが心配になってな
最近でも圧縮解凍ツールDL用のミラーサイトにスパイウェア仕込まれているから注意とかあったし

「7-Zip」の公式サイトのドメインは「7-zip.org」

ミラーサイトは非公式だからあること自体怪しいと思わないと

>>529
解像度が低すぎるｗ ロシアや中国系=全部危険？
アメリカや西側も情報収集してない訳じゃないんだけどなｗ

>>530
悪用しそうなバカだな～ｗ
一応1文字だけ教えておくとPやJが名称の一部にあるよｗ
これだけでも分かる人には分かるｗ

んー7zipは脆弱性をロシア政府が軍事攻撃で悪用した例も一応報告はされてるな
そこの所は要注意かもー
https://gigazine.net/news/20250206-7-zip-zero-day

スレ違いの話はそろそろ止めくれ

7zipってパスワードを管理する機能あったっけ？

.7zipならパスワード弄れる機能あるはず

メインPCはkeepassXC、Androidでkeepass2Android
バックアップは無いと詰むし、テキストをWinRAR圧縮して書庫にパス付けることにするわ

バックアップ用にテキストを何らかで圧縮パス付きでもダメだというならもうバックアップは紙で残してるの？

>>540
テキストだと平文だからどこかにデータの残骸がある可能性もあるしSSDだと↑で書かれてる通り削除がめんどい
Rar+パス付きでもどこかでクラックされたら終わり特に株とか証券のデータならやめた方がいいよ
パックアップ用もkdbxとかにしておいてそれを7zipなりRarのパス付きで保存するといい

>>540
後はスタンドアローンのスマホという言い方が正しいか分からんけど
そういう状態のモバイル端末に画像を取って保存するのもいいんじゃない？
画像(圧縮+パス付き)とかどうよ？ま～モバイルで持ち運びしたい場合はね

>>518
HDDもwindowsで標準設定されてる定期デフラグが行われればデータの移動が発生するし代替領域の問題もあるから機密データの平文はメモリにしか置かないのが鉄則かな
そういう設計になってないパスワード管理ツール(まずないと思うけど)は論外

パスワードをRARでバックアップするという行為が意味わからなすぎるんだけどどういうこと？
せっかくkeepassで暗号化してるのになんで他に移すの？

うん
keepassのデータベースファイル（.kdbx）は暗号化されているからそれをバックアップすればいいのに
なぜわざわざ平文にしてから圧縮ソフトの暗号化をかけて保存するのか

KDBX圧縮したらデータ壊れないの？
普通にそれをコピーしておけばいいよね

>>543
しつこい

>>546
今多分.kdbxの圧勝データがあるはずだけど壊れてないかも？
後はKeePassはプラグインが豊富だからエクスポート用のプラグインでそういうのあるかも？ｼﾗﾝｹﾄﾞ
546の言う通り普通に.kdbx自体が暗号化ファイルだからそれをコピペするだけでいいな

変態さんは理屈じゃないんだよ
宗教といってよい

Edgeは情弱クソブラウザ
KeePassXCを使いませう

Microsoft Edgeは全パスワードを平文でRAM保持する：同社は「設計通り」と回答するも漏洩リスクが指摘 | XenoSpectrum
https://xenospectrum.com/edge-plaintext-ram-passwords/

Microsoft Edge Stores All Saved Passwords in Cleartext Process Memory at Launch
https://cybersecuritynews.com/microsoft-edge-passwords-cleartext/

昔からMS製造のブラウザは脆弱性まみれな印象だけど
EdgeでもPWマネージャの脆弱性があるんかいｗ
しかも平文はひどいなｗ

>>550
AIも専門家もこの脆弱性(設計)はPCがマルウェア感染(+RAM攻撃)とかしてない限りは安全と言ってるな
ただ主要4つのブラウザでこの設計はEdgeだけだと言ってる人がいるな～
なぜMSがこの設計にしたかはパスワードの利便性の為らしいけど企業レベルの運用だとこの設計は致命傷かもらしいｗ

自動入力前に毎回認証しないといけないじゃない限り
メモリ上で暗号化してようが起動されたら抜かれるぞ

Edgeに保存してるパス確認しようとしたら
無駄にWindowsHelloの認証求めてきたわ
中身の実装と設計が伴ってなさすぎるな…

平文がRAMにあるのは普通のことだと思うけど全文が置きっ放しになるのが悪いってこと？
keepassもデータベース開いたままにしてたら同じ状態だと思うんだけど

囮ということかもしれん
そのアドレスにアクセスしたアプリはDefenderちゃんがパクっと

>>555
https://keepass.info/help/base/security.html#secmemprot

>>555
用もないのに(アイパスを使う場面じゃないのに)暗号化して保管してるアイパスを平文に展開されてしまうのが問題なんだと思う

>>555
普通は使うときだけ一時的に復号するからプロセスメモリ読み取りを膨大な回数行う必要がある
Edgeは全部平文だから一撃で全部。secure by designの対極にある

>>555
ん～>>557さんが貼ったリンクのProcess Memory Protectionの欄ちゃんと読んだ方がいいよ
ただしRAMでの暗号化の対象に含まれない項目があるので注意らしい↓
>sensitive data here includes for instance the master key and entry passwords, but not user names, notes and file attachments.
ここでいう機密データには,たとえばマスターキーやエントリーのパスワードが含まれますが,ユーザー名,メモ,ファイル添付は含まれません

メモリ解放時の処理もセキュリティ重視でEdgeとは違う処理だなー
>Furthermore, KeePass erases all security-critical memory (if possible) when it is not needed anymore, i.e. it overwrites these memory areas before releasing them
KeePassは,セキュリティ上重要なメモリ領域を(可能な限り)不要になった時点で消去します つまり,これらのメモリ領域を解放する前に上書き処理を行います

MSはEdgeは設計通りでPCが侵害されていない限りは無事だと言っていてそれは確かに正しいんだけど今のセキュリティ環境見てると
重要な証券口座とかブラウザのPWマネージャで管理してる人は危ないだろうな～てかそんな人いるのか？
>>559
利便性重視(MS視点)の為に起動時に全文平文で読み込みは正直やばい設計だとは思うなー
chromeや🦊はそういう設計じゃないらしいね

まぁ管理者権限を乗っ取られている時点で、
パスワードどころの問題じゃないだろというスタンスなんだろうけど、
隠せるものは隠しておけよとも思う

>>563
晒さなくていい隙をわざわざ晒してる格闘家みたいなもんだよな～
しかもPWマネージャの場合は防御の為に晒してる訳じゃなくてブラウザ側のパスワード呼び出しの効率化だけの為だしｗ
なんらかのスパイウェアとかで危険性ないんかね？

>>562
ClickFix等で「PCが侵害され」た状況を一時的に作る難易度は結構低いからね
ここの面々はセキュリティ意識高いが、一般人なんてザルよ

ClickFixでインフォスティーラー実行させる例だと
通常は暗号化された保管庫を暗号のまま盗んで、ローカルで辞書攻撃やブルートフォースの必要あるが
Edgeはメモリ読めば全部平文で入ってて即死

>>557-559
ありがとう
RAMにアクセスされてる時点でパスワードを使うのを待たれるだけだと思ったけど使用頻度の低いパスまで一気に抜かれるよりはそりゃいいか

>>520
知りませんでしたわ

>>562
つい最近ツールがwindows7で動かなくなったって不満書いてる人いたわ
環境が変わるのが嫌で8.1のままとか
ジジイが多いから普通にそういうのいると思うよ
普段株板にいる俺

Edgeの件知らない人もいるだろうから回りの知り合いに聞いてみたらEdgeでログインする
全サイトの個人情報をEdgeのパスワードマネージャに入れてる人とかいたわ....😇
すぐに止めてKeePassなどのサードパーティへの移行進めて置いた.....
古い世代の老人(男女問わず)や中高年は仕事でセキュリティ意識高くない限り
デフォルトブラウザやパスワードマネージャをそのまま使い続ける人がいてやばいな.....MSの罪は重いｗ

>>568
さすにがサポート切れのWin10以前でオンラインに繋いで
金融や仮想通貨サイトにログインしてる猛者はいないんじゃないの？
軽くウェブサーフィンならいるのかな？知らんけど

管理者権限を取られなければってMS擁護してるやつがいるがこれがデマ
同一ユーザの別プロセスからは昇格なしでEdgeのプロセスのメモリダンプが可能
弱いマルウェアに全部奪われるってことだよ

MSのブラウザはInformation Stealerやその亜種系への耐性がなさそうだな～
今の話題と関係ないけどAIくんがMFA使う場合の最強クラスでFIDO2やYubiKey 5 NFCやGoogle Titan Security Keyとか
おすすめしてくるんだけどTOTP型(2FAS系)よりも強いの？おしえて情強ニキィ！！

>>570
ここにおるぞ　Edgeは使ってないけど

>>572
色んな意味で面白い投稿だね

>>572
パスキーの利点とかで自分でググって

冷笑してないで教えてやれよｗパスワード管理板もきつい人多いなｗ
いやーしかし管理者権限の無いアカでネットサーフィンも意外とセキュリティ強度高めるんだな
仮想化とかそっちばかり見る人多いけどこういう小技的なのも重要やな

>>573
インターネットは何に使ってるの？後仮想化とかはしてるん？完全に自己責任なのに怖くないの？
質問ばかりですいまそん.....

>>577
普段はlinux使い
win10は金融取引以外には一切使わない
windows上でしか動かない証券会社が提供してる金融系のアプリケーションのみ
それも使わなくなりつつあるけど
仮想化はしてない。linuxとは別々のPCだね

あ、あとパスワードはkeepass系だね
もともとブラウザには一切保存しない主義だった

>>577
このスレでこれだけあっさり出てくるんだからゴロゴロいるよ、多分

億単位の資産持ってて専業でも「大丈夫やろ」とか言ってサポート切れたwindows7使い続けようとしてた奴もいたなぁ
ストリーミング見れなくなったとか言って買い替えてたけど

最近だとパスキーの登録したくない・使える環境ないから口座解約しようか
みたいな書き込みをちらほら見る

向こうではこんな感じの人珍しくない

>>578
兼業？専業？

どこまで本当の話か知らんけど億り人？みたいな人でもそんなザル管理なのかｗ
誰かに委託とかもしないの？てか触らせたくないのか？
よくそれでセキュリティインシデントとか起きないなｗ