パスワード管理ツール Part17

!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください


パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part16
https://itest.5ch.net/egg/test/read.cgi/software/1700726576

スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/
https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured

>>555
ん～>>557さんが貼ったリンクのProcess Memory Protectionの欄ちゃんと読んだ方がいいよ
ただしRAMでの暗号化の対象に含まれない項目があるので注意らしい↓
>sensitive data here includes for instance the master key and entry passwords, but not user names, notes and file attachments.
ここでいう機密データには,たとえばマスターキーやエントリーのパスワードが含まれますが,ユーザー名,メモ,ファイル添付は含まれません

メモリ解放時の処理もセキュリティ重視でEdgeとは違う処理だなー
>Furthermore, KeePass erases all security-critical memory (if possible) when it is not needed anymore, i.e. it overwrites these memory areas before releasing them
KeePassは,セキュリティ上重要なメモリ領域を(可能な限り)不要になった時点で消去します つまり,これらのメモリ領域を解放する前に上書き処理を行います

MSはEdgeは設計通りでPCが侵害されていない限りは無事だと言っていてそれは確かに正しいんだけど今のセキュリティ環境見てると
重要な証券口座とかブラウザのPWマネージャで管理してる人は危ないだろうな～てかそんな人いるのか？
>>559
利便性重視(MS視点)の為に起動時に全文平文で読み込みは正直やばい設計だとは思うなー
chromeや🦊はそういう設計じゃないらしいね

まぁ管理者権限を乗っ取られている時点で、
パスワードどころの問題じゃないだろというスタンスなんだろうけど、
隠せるものは隠しておけよとも思う

>>563
晒さなくていい隙をわざわざ晒してる格闘家みたいなもんだよな～
しかもPWマネージャの場合は防御の為に晒してる訳じゃなくてブラウザ側のパスワード呼び出しの効率化だけの為だしｗ
なんらかのスパイウェアとかで危険性ないんかね？

>>562
ClickFix等で「PCが侵害され」た状況を一時的に作る難易度は結構低いからね
ここの面々はセキュリティ意識高いが、一般人なんてザルよ

ClickFixでインフォスティーラー実行させる例だと
通常は暗号化された保管庫を暗号のまま盗んで、ローカルで辞書攻撃やブルートフォースの必要あるが
Edgeはメモリ読めば全部平文で入ってて即死

>>557-559
ありがとう
RAMにアクセスされてる時点でパスワードを使うのを待たれるだけだと思ったけど使用頻度の低いパスまで一気に抜かれるよりはそりゃいいか

>>520
知りませんでしたわ

>>562
つい最近ツールがwindows7で動かなくなったって不満書いてる人いたわ
環境が変わるのが嫌で8.1のままとか
ジジイが多いから普通にそういうのいると思うよ
普段株板にいる俺

Edgeの件知らない人もいるだろうから回りの知り合いに聞いてみたらEdgeでログインする
全サイトの個人情報をEdgeのパスワードマネージャに入れてる人とかいたわ....😇
すぐに止めてKeePassなどのサードパーティへの移行進めて置いた.....
古い世代の老人(男女問わず)や中高年は仕事でセキュリティ意識高くない限り
デフォルトブラウザやパスワードマネージャをそのまま使い続ける人がいてやばいな.....MSの罪は重いｗ

>>568
さすにがサポート切れのWin10以前でオンラインに繋いで
金融や仮想通貨サイトにログインしてる猛者はいないんじゃないの？
軽くウェブサーフィンならいるのかな？知らんけど

管理者権限を取られなければってMS擁護してるやつがいるがこれがデマ
同一ユーザの別プロセスからは昇格なしでEdgeのプロセスのメモリダンプが可能
弱いマルウェアに全部奪われるってことだよ

MSのブラウザはInformation Stealerやその亜種系への耐性がなさそうだな～
今の話題と関係ないけどAIくんがMFA使う場合の最強クラスでFIDO2やYubiKey 5 NFCやGoogle Titan Security Keyとか
おすすめしてくるんだけどTOTP型(2FAS系)よりも強いの？おしえて情強ニキィ！！

>>570
ここにおるぞ　Edgeは使ってないけど

>>572
色んな意味で面白い投稿だね

>>572
パスキーの利点とかで自分でググって

冷笑してないで教えてやれよｗパスワード管理板もきつい人多いなｗ
いやーしかし管理者権限の無いアカでネットサーフィンも意外とセキュリティ強度高めるんだな
仮想化とかそっちばかり見る人多いけどこういう小技的なのも重要やな

>>573
インターネットは何に使ってるの？後仮想化とかはしてるん？完全に自己責任なのに怖くないの？
質問ばかりですいまそん.....

>>577
普段はlinux使い
win10は金融取引以外には一切使わない
windows上でしか動かない証券会社が提供してる金融系のアプリケーションのみ
それも使わなくなりつつあるけど
仮想化はしてない。linuxとは別々のPCだね

あ、あとパスワードはkeepass系だね
もともとブラウザには一切保存しない主義だった

>>577
このスレでこれだけあっさり出てくるんだからゴロゴロいるよ、多分

億単位の資産持ってて専業でも「大丈夫やろ」とか言ってサポート切れたwindows7使い続けようとしてた奴もいたなぁ
ストリーミング見れなくなったとか言って買い替えてたけど

最近だとパスキーの登録したくない・使える環境ないから口座解約しようか
みたいな書き込みをちらほら見る

向こうではこんな感じの人珍しくない

>>578
兼業？専業？

どこまで本当の話か知らんけど億り人？みたいな人でもそんなザル管理なのかｗ
誰かに委託とかもしないの？てか触らせたくないのか？
よくそれでセキュリティインシデントとか起きないなｗ

去年口座の乗っ取りが結構ニュースになってなかった？
俺のXのタイムラインでも何人かやられてたよ

株で勝つ能力と、ITスキルは基本別物だからね
特に珍しくもおかしくもないと思うけど・・

>>581
専業

>>583
去年から今年春にかけての乗っ取りの原因はOSのセキュリティが原因ではなかったはずだけど。
MACでもLinuxでもwindowsでも起こりうる手口だったと思う

>>583
去年ニュースとかで色々流れてたね～詳細な経緯は調べてないから知らんけど
Information Stealer系なのかな？それとも別の手口？

その乗っ取りの件で各社が対策始めて結構めんどくさかった
あれはメールが糸口になってる件数が多かったはず
手法についての詳細は省略
今はパスキー使う認証でもどうやら破られそうだ・・・というのが最前線じゃないかな

パソコン素人な古風なトレーダーはいっぱいいると思うよ
ただ、どっぷり浸かるといずれ自分でコード書くようになったりもするし、
情報系の人が流入してるようだから一概には言えない

ちゃんと管理できればパスキーは必須じゃないんだけどそれができない人があまりにも多いから苦肉の策で強制化されるんだよな
まあスマホで認証するだけだし一般ユーザーにはほぼメリットしかないけど

>>585
メールのフィッシングが多かったと言われているね

OSのセキュリティアップデートすら気にしない程度の意識のやつが多いと言う意図で書いていたよ

>>584
専業でその体制なんだ・・

この流れで親が使ってるAndroidが10年前のものってことを思い出した
WEB見るだけだからええやろって更新してないけど、Googleアカウントは登録してあるわ

攻撃側は古典的な手法も新しい手法も両方つかうらしいな～
某マンガの鑑定の手口じゃないけど殺し技は色々あるんだとさ
メール攻撃も未だに引っかかるのがいるんやな

スマホでkeepass使ってる人に聞きたいのだが、キーファイルってどこに置いてる？

>>592
keepass2androidで内部フォルダにインポート
https://discuss.privacyguides.net/t/keepass-recommendation-for-android/11876

ついでにパソコンでけえぱす使ってる人はキーファイルどうしてるの？
保管庫もキーもローカル？
クラウドっつったってローカル落ちてきてるでしょ？
外部媒体いちいちONOFF?

データベースはローカルディスク
キーファイルは別PCの共有フォルダに置いてるわ

キーファイル使ってない
使うとしたらNASAのサーバにあるUFO写真とか、改ざん不可能でハッシュ値が絶対に変わらない外部保存のものにする

キーファイルはクラウドに上げるデータベースにはローカル保存で使ってる
ローカルでもキーファイルをUSBだけに入れて使うみたいなやり方あるけど管理がめんどくさいのとストレージだけ物理的に盗まれるってことはまずない環境だからやってない

へー、変なことしてんのな

WindowsとiPhone、iPadでKeepass系使ってる
キーファイルは各端末に置いて、DBファイルはアポーのクラウドに置いてる

アカウントがバン
家が火事

この状況でもデータが残るようにな

パソコンの場合はNASに置くか、USBメモリに入れてる、スマホはローカル
DBはNASの同期機能を使って同期とってるわ

スマホとPCでDBを分けてスマホは完全ローカル運用にしようと思っていたけど
やり始めたらめんどくさくて利便性重視でPCのメインのDBと同じにしてNASで同期することにした
最重要のいくつかだけは両方ローカルを維持しているけど

>>600
日本の場合は地震などの災害とかが最優先かな？住んでるとこにもよるけど
アメリカとかはハリケーンとか凄いからマジで家が消えたりするｗ

>>601
さすがにPCとモバイルでdb分離は管理が煩雑になると思うよー
どちらかをメインdbにするのがいいですねーｼﾗﾝｹﾄﾞ

Keepassは結局同期がうまくとれなくて、Bitwardenに変えた

ローカルならkeepass最強なんだけどな…
同期はちゃんとアプリとサーバーで万全にやって欲しいのよな😢

自分はsynology drive使っているよ
遅いけど、不整合は少ない印象
qnapとかasusterあたりはどんななんだかね

>>604
手動同期という手がｗ プラグインで何とか上手くいかないの？

Syncthingはどうよ？

ねんのためbitwarden以外の手段も探しておくかとproton passをちょっと触ってみたが…
正直、とても比較できるようなレベルではなかった
これはたくさんのログイン情報を管理するようなアプリじゃないなあ、駄目か

bitwardenで十分だよね

パスワード管理はkeepass系使ってるんだけど、keepass読み込めて閲覧専用のパスワード管理ツールってない？
同期は問題が起こるから、片方からしか編集出来ないようにしたい

>>611
OSは？

>>611
readonly対応ソフト
https://grok.com/share/bGVnYWN5LWNvcHk_69754975-cca5-4249-b1e7-54b1518c7982

>>612
osは今はwin10だけど、サポート切れるので近いうちにlinuxにする
なのでpcではkeepassxcを使ってる
アンドロイド側ではkeepass2というもの

>>612
あっ、リードオンリーのソフトは、アンドロイド側で使いたいんよ
pcで編集して、アンドロイドは閲覧のみ
相互に編集すると同期でぶっ壊れそうだし

>>611
同期でどんな問題が起こるの？
俺はDebian GNU/Linux, WindowsでKeePassXC、AndroidでKeePassDXを使っていてSyncthingで同期しているが、KDBXが競合しても簡単にマージ出来るから問題ないぞ
そういう問題ではない？

>>616
pcでkeepassxc、アンドロイドkeepass2使ってます
で、google driveを介して同期したい感じ

後者はgoogle driveに同期する機能があるけど、前者にはないので、手動アップロードになる
となるとアップロード忘れて先祖返りなんかが起こるんじゃないかなと

だから、書き込みはpcからのみ、スマホは読み込み専用にしようかなと

>>617
keepassxcでGoogleDriveに置いてあるファイルを直接開けば手動アップロードはいらないはず

モバイルのXCはないのか～KeePassDXとかいうのがあるらしいなー
権限が弱いから万が一のマルウェア混入時に対策としていいかも？

>>618
え、ローカルだけだと思ったが
別の同期ツールを使うの？

>>620
Google Drive for desktopを使って同期すればローカルのファイルとして開ける
自分はそうしてる

>>621
あんがと
linuxだからそれは使えないわ
　他の同期ツールはあるかもだが

keeepass dxというので、読み込み専用モード出来たから、これを使う

Google drive
rcloneでマウント出来るでしょ？

keepassxc自体で同期は出来ないよね？
何かしらの同期ツールを使うのか

Android 版 Google パスワードマネージャー、パスキーの他社アプリへの移行機能をテスト中
2026年5月17日

パスキーまじどうするよレベルで困るわ
スマホでも使うがスマホでは管理したくないし

わかる
仕様が統一されてないのかパスワードアプリじゃなくGoogleの方に保存しないと通らないサイトとかあるし厄介

俺、全然理解できてなくて恥ずかしいんだけど今のスレの流れは秘密鍵をどう管理するか？って理解で合ってる？

>>628
そうだよぉ！！(便乗)
>>627
これは統一教会ｗ

パスキーは実は統一された仕様が無い
何を満たしたら「パスキー」と呼べるのかすら厳密な定義はない
だから必然的にサイトごとにバラバラになるクソ

パスキーはネット証券のために使うことにした
BitwardenでPCとスマホどっちも問題なく動いてるが、サイト側とパスキーアプリの出来に依存するのだろうな

>>630
まじ？

調べたらいいよ

乗っ取りが問題になった後、証券会社のパスキーの要求増えたよね
動作要件を見るとほぼ
windows機ならwindows機に、iOSならappleアカウント、androidならgoogleアカウントへの保管を求めている

bitwardenでも動くやつは動くんだろうけど
俺は金が絡むから保守的に全部appleに保管して
アカウントもメインと分けて家に専用のスマホ置きっぱにしていたんだが

端末があまりに古いので更新した結果androidになってしまい
登録めんどくせーと思っているわ

パスキー強制にしとけばフィッシングも防げるし当然の流れではある

>>630
んーその厳密な定義の無さがセキュリティ強度に貢献してるとかない？
確かに不便なんだけどその不便さがセキュリティ強度に貢献してるとかない？
>>634
一括統合より分散の方がセキュリティ強度は高いらしいぞいｂ

>>636
貢献してるってどゆこと？　縛りが少ないから迅速にアップデートや工夫ができるみたいなニュアンスかしら

セキュリティへの寄与はほぼなくて
利用者が不便になるだけだろうな
特定のパスワードマネージャーでないとエラーになったり
故障やパスワードマネージャーの垢BANに備えたくても1つしか発行できなかったり

>>636
アホかよ

>>639
んー短絡的なアホかよ頂きましたｗ
ただ分散型の時代なのくらいは分かるよね？ｗ

>>640
636の真意が分からない以上それもまた短絡的だよ

634だが言われている俺も言葉の定義をいまいち掴みかねている

bitwardenみたいなマルチプラットフォームのマネージャーに記録させるのが良くないっていってるか

1台の端末、もしくは1つのアカウントにパスキーを寄せているのが良くないといっているのか

どっちかのような気がするが、なんとも


個人的には外に持ち出さない
普段使いでもない端末にパスキーを寄せているっていうのは
硬めの運用じゃないかと思ってはいる

パスキーを端末などハードウェアキーに格納する→ハード破壊リスク
Googleとかアカウントに格納→アカウントBANリスク
bitwardenに格納してバックアップを持っておくほうが手堅いと思う
復旧用の手段はすべて設定しておくことが全体だけど

>>643
Bitwardenってアカウント要らないのですか

bitwardenはローカルサーバー型でもアカウント作成が必要
これは自分で構築したローカルサーバー専用のアカウントなのてで自身のサーバ内で完結する（このため公式のアカウントは使えない）
ローカルネットワーク内にある他の端末からアクセスする際にアカウントが必要なので

>>645
SAOできないの?

むしろアカ制の方が頑強だという見解では？ｼﾗﾝｹﾄﾞ
>>643
今は単一じゃなく複数分散だと言われてるなー

>>642
ん～>>636の意見は特定の誰かじゃなくここ読んでる人向けの疑問じゃない？
明確な定義づけを拘るIT界隈の人間はいるけど今はそういうのを
不確定化してセキュリティにするみたいな考えがあるんじゃないの？ｼﾗﾝｹﾄﾞ

>>648
そんなものは無いし意味はない
くだらん

「1Password」が「Codex」と連携、ローカルMCPを活用して機密情報を安全に管理 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/2110578.html

結局「パスキーは実は統一された仕様がない」ってのはホントなのかしら

>>646が何を言いたいのかわからない
SAOでなくSOAの間違い？だと思うけど
SOAは独立したサービスでAPIを使って通信したりするからbitwardenはまさにこれなんよ
これを踏まえた上で>>646を見ると何を聞きたいのか意味不明になる

>>651
パスキーの規格は統一されてる
iOS/Android/windowsそれぞれのUXが異なるから統一してないように見えるだけ

>>652
SAOはソードアートオンラインでした。SOAって知らないけど聞きたいのはシングルサインオンができるかどうかです。シングルサインオンできるならbitwardenにアカウントいらないかなって思いました。

>>649
ん～具体的な言及の無い切り捨てではなぁ～これこれこうだと説明しないとｗ

その割に管理ソフトによつて対応が違うのは何でや?
LastPassの実装がショボいだけかな

メールのIMAPに対するメールアプリの振る舞いの違いを連想してしまう

確かにimapがどれだけ実装されているかの騒ぎもあったね
メーラー選びとサービスの組み合わせで

>>638
ここのちゃんと管理してる層には恩恵なくてもフィッシングに引っかかるような大量の低リテラシー層には恩恵あるんだよ
まあ移行するなら利便性確保してからやれとは思うがな