パスワード管理ツール Part17

パソコンの場合はNASに置くか、USBメモリに入れてる、スマホはローカル
DBはNASの同期機能を使って同期とってるわ

スマホとPCでDBを分けてスマホは完全ローカル運用にしようと思っていたけど
やり始めたらめんどくさくて利便性重視でPCのメインのDBと同じにしてNASで同期することにした
最重要のいくつかだけは両方ローカルを維持しているけど

>>600
日本の場合は地震などの災害とかが最優先かな？住んでるとこにもよるけど
アメリカとかはハリケーンとか凄いからマジで家が消えたりするｗ

>>601
さすがにPCとモバイルでdb分離は管理が煩雑になると思うよー
どちらかをメインdbにするのがいいですねーｼﾗﾝｹﾄﾞ

Keepassは結局同期がうまくとれなくて、Bitwardenに変えた

ローカルならkeepass最強なんだけどな…
同期はちゃんとアプリとサーバーで万全にやって欲しいのよな😢

自分はsynology drive使っているよ
遅いけど、不整合は少ない印象
qnapとかasusterあたりはどんななんだかね

>>604
手動同期という手がｗ プラグインで何とか上手くいかないの？

Syncthingはどうよ？

ねんのためbitwarden以外の手段も探しておくかとproton passをちょっと触ってみたが…
正直、とても比較できるようなレベルではなかった
これはたくさんのログイン情報を管理するようなアプリじゃないなあ、駄目か

bitwardenで十分だよね

パスワード管理はkeepass系使ってるんだけど、keepass読み込めて閲覧専用のパスワード管理ツールってない？
同期は問題が起こるから、片方からしか編集出来ないようにしたい

>>611
OSは？

>>611
readonly対応ソフト
https://grok.com/share/bGVnYWN5LWNvcHk_69754975-cca5-4249-b1e7-54b1518c7982

>>612
osは今はwin10だけど、サポート切れるので近いうちにlinuxにする
なのでpcではkeepassxcを使ってる
アンドロイド側ではkeepass2というもの

>>612
あっ、リードオンリーのソフトは、アンドロイド側で使いたいんよ
pcで編集して、アンドロイドは閲覧のみ
相互に編集すると同期でぶっ壊れそうだし

>>611
同期でどんな問題が起こるの？
俺はDebian GNU/Linux, WindowsでKeePassXC、AndroidでKeePassDXを使っていてSyncthingで同期しているが、KDBXが競合しても簡単にマージ出来るから問題ないぞ
そういう問題ではない？

>>616
pcでkeepassxc、アンドロイドkeepass2使ってます
で、google driveを介して同期したい感じ

後者はgoogle driveに同期する機能があるけど、前者にはないので、手動アップロードになる
となるとアップロード忘れて先祖返りなんかが起こるんじゃないかなと

だから、書き込みはpcからのみ、スマホは読み込み専用にしようかなと

>>617
keepassxcでGoogleDriveに置いてあるファイルを直接開けば手動アップロードはいらないはず

モバイルのXCはないのか～KeePassDXとかいうのがあるらしいなー
権限が弱いから万が一のマルウェア混入時に対策としていいかも？

>>618
え、ローカルだけだと思ったが
別の同期ツールを使うの？

>>620
Google Drive for desktopを使って同期すればローカルのファイルとして開ける
自分はそうしてる

>>621
あんがと
linuxだからそれは使えないわ
　他の同期ツールはあるかもだが

keeepass dxというので、読み込み専用モード出来たから、これを使う

Google drive
rcloneでマウント出来るでしょ？

keepassxc自体で同期は出来ないよね？
何かしらの同期ツールを使うのか

Android 版 Google パスワードマネージャー、パスキーの他社アプリへの移行機能をテスト中
2026年5月17日

パスキーまじどうするよレベルで困るわ
スマホでも使うがスマホでは管理したくないし

わかる
仕様が統一されてないのかパスワードアプリじゃなくGoogleの方に保存しないと通らないサイトとかあるし厄介

俺、全然理解できてなくて恥ずかしいんだけど今のスレの流れは秘密鍵をどう管理するか？って理解で合ってる？

>>628
そうだよぉ！！(便乗)
>>627
これは統一教会ｗ

パスキーは実は統一された仕様が無い
何を満たしたら「パスキー」と呼べるのかすら厳密な定義はない
だから必然的にサイトごとにバラバラになるクソ

パスキーはネット証券のために使うことにした
BitwardenでPCとスマホどっちも問題なく動いてるが、サイト側とパスキーアプリの出来に依存するのだろうな

>>630
まじ？

調べたらいいよ

乗っ取りが問題になった後、証券会社のパスキーの要求増えたよね
動作要件を見るとほぼ
windows機ならwindows機に、iOSならappleアカウント、androidならgoogleアカウントへの保管を求めている

bitwardenでも動くやつは動くんだろうけど
俺は金が絡むから保守的に全部appleに保管して
アカウントもメインと分けて家に専用のスマホ置きっぱにしていたんだが

端末があまりに古いので更新した結果androidになってしまい
登録めんどくせーと思っているわ

パスキー強制にしとけばフィッシングも防げるし当然の流れではある

>>630
んーその厳密な定義の無さがセキュリティ強度に貢献してるとかない？
確かに不便なんだけどその不便さがセキュリティ強度に貢献してるとかない？
>>634
一括統合より分散の方がセキュリティ強度は高いらしいぞいｂ

>>636
貢献してるってどゆこと？　縛りが少ないから迅速にアップデートや工夫ができるみたいなニュアンスかしら

セキュリティへの寄与はほぼなくて
利用者が不便になるだけだろうな
特定のパスワードマネージャーでないとエラーになったり
故障やパスワードマネージャーの垢BANに備えたくても1つしか発行できなかったり

>>636
アホかよ

>>639
んー短絡的なアホかよ頂きましたｗ
ただ分散型の時代なのくらいは分かるよね？ｗ

>>640
636の真意が分からない以上それもまた短絡的だよ

634だが言われている俺も言葉の定義をいまいち掴みかねている

bitwardenみたいなマルチプラットフォームのマネージャーに記録させるのが良くないっていってるか

1台の端末、もしくは1つのアカウントにパスキーを寄せているのが良くないといっているのか

どっちかのような気がするが、なんとも


個人的には外に持ち出さない
普段使いでもない端末にパスキーを寄せているっていうのは
硬めの運用じゃないかと思ってはいる

パスキーを端末などハードウェアキーに格納する→ハード破壊リスク
Googleとかアカウントに格納→アカウントBANリスク
bitwardenに格納してバックアップを持っておくほうが手堅いと思う
復旧用の手段はすべて設定しておくことが全体だけど

>>643
Bitwardenってアカウント要らないのですか

bitwardenはローカルサーバー型でもアカウント作成が必要
これは自分で構築したローカルサーバー専用のアカウントなのてで自身のサーバ内で完結する（このため公式のアカウントは使えない）
ローカルネットワーク内にある他の端末からアクセスする際にアカウントが必要なので

>>645
SAOできないの?

むしろアカ制の方が頑強だという見解では？ｼﾗﾝｹﾄﾞ
>>643
今は単一じゃなく複数分散だと言われてるなー

>>642
ん～>>636の意見は特定の誰かじゃなくここ読んでる人向けの疑問じゃない？
明確な定義づけを拘るIT界隈の人間はいるけど今はそういうのを
不確定化してセキュリティにするみたいな考えがあるんじゃないの？ｼﾗﾝｹﾄﾞ

>>648
そんなものは無いし意味はない
くだらん

「1Password」が「Codex」と連携、ローカルMCPを活用して機密情報を安全に管理 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/2110578.html

結局「パスキーは実は統一された仕様がない」ってのはホントなのかしら

>>646が何を言いたいのかわからない
SAOでなくSOAの間違い？だと思うけど
SOAは独立したサービスでAPIを使って通信したりするからbitwardenはまさにこれなんよ
これを踏まえた上で>>646を見ると何を聞きたいのか意味不明になる

>>651
パスキーの規格は統一されてる
iOS/Android/windowsそれぞれのUXが異なるから統一してないように見えるだけ

>>652
SAOはソードアートオンラインでした。SOAって知らないけど聞きたいのはシングルサインオンができるかどうかです。シングルサインオンできるならbitwardenにアカウントいらないかなって思いました。

>>649
ん～具体的な言及の無い切り捨てではなぁ～これこれこうだと説明しないとｗ

その割に管理ソフトによつて対応が違うのは何でや?
LastPassの実装がショボいだけかな

メールのIMAPに対するメールアプリの振る舞いの違いを連想してしまう

確かにimapがどれだけ実装されているかの騒ぎもあったね
メーラー選びとサービスの組み合わせで

>>638
ここのちゃんと管理してる層には恩恵なくてもフィッシングに引っかかるような大量の低リテラシー層には恩恵あるんだよ
まあ移行するなら利便性確保してからやれとは思うがな

>>659
言い方に問題あるかな～ ある意味5chぽいけど.....
騙される方が悪いみたいな文章はなｗ 騙す方が悪いよｗ

最近の1Passwordの個人版は、大した機能追加もないくせに、
しょっちゅう新しいバグが起きたり、以前のバグが再発したりする。
本当にテストしてからリリースしてるのかと疑問になる。

1pass昔は使ってたけどとっくにみかぎったよ。結局はセルフホストに落ち着くよ。

>>657
懐かしい
IMAPもきちんと実装されていたのが少なかったね

Web開発でよく参照されるCan I useみたいな対応非対応が一望できるサービスあったらええのにな

>>653
その規格出せる？
出せないでしょ
FIDOのは規格じゃないよ

>>660
騙す方が悪いで済むなら暗号化自体がいらないじゃん
いくら空き巣が悪くても家に鍵をかけないのは有りえないのと同じ
フィッシング被害も残念でしたねで終わらずサービス側は対応しなきゃいけない。工数の問題でもあるんだよ

>>665
FIDOは規格でしょ
違うというなら出して見てごらん

>>667
FIDOは規格じゃないと言う人に、
FIDOの規格書を出せと迫っているの?

パスキー導入するとこはどこもFIDO2って言ってるのに統一された仕様がないってどこから出てきた話なんだ

そもそもの話としてさセンサーって根っ子は同じというか
つまりFIDO未対応のセンサーってのがそもそもあるのか？
イメージで中華はあやしいｗ　とかあるけど
中華にFIDOを真似ずに作るスキルが逆にないんじゃね？　みたいな

暗号技術としての基本仕様（FIDO2 / WebAuthn）は厳密に統一されている
ユーザーの使い勝手や同期・復旧の仕組みは統一された仕様がなく各社バラバラ

>>671
これが本当ならやはり一部の指摘は適切であると言えるんだな～

パスキーはネット証券が必須化してきて、OS以外の実装も増えてきて、CXP/CXFだったかのエクスポート・インポート仕様が実装されてきて、そろそろ積極的に使ってもいいかなと言う印象

一、二年前に使え使え言ってた人はベンダーロックインと人柱を押し付けようとしてたようにしか見えなかったけど

まじ?実用化になってきたなら使ってみようかな。

>>665
他の人が指摘してる通りじゃん
これで納得できたか？

>>671
私が書いた通りUXごとに異なっていてバラバラだから統一された仕様がないと感じるだけやね

これでもまだ疑心暗鬼に思うなら使うなで終わる話
困るのはその人だけだから問題はないですね

パスキーは証券会社もあちこち実装ミスってトラブってたな
最近やっとまともに動くようになった感ある

>>675
じゃあ規格に書いてあるパスキーの定義を引用してみ？

しつけえな

>>675
規格があるのに特定のパスワードマネージャーや機種で動作しない事例が多発している理由も説明してね
まさか全部実装ミスとでも言うつもり？
それかエラーもUXって言うのかな？

ちょっと検索しただけで事例は出てくるからね
ttps://www.nomura.co.jp/introduc/news/2025/20251104_2.html
ttps://www.smbcnikko.co.jp/news/customer/2026/n_20260202_04.html
ttps://daiwa.dga.jp/faq_detail.html?id=1558

認証仕様書ダウンロードhttps://fidoalliance.org/specifications/download/?lang=ja
仕様はここで全て公開されてるようだ

>>679
エラーが出るのは仕様が定まってない証拠にはならないな
仕様か定まっていても不具合が出た例は無数にあるから

なにこの不毛な争い

>>673
数学やIT嫌いの人間だったんじゃないの？ｗ
上司なら部下を実験台にして確かめてそうなやつやなｗ

>>681
1人喧嘩腰のマウント気質の人がレスするだけで空気が悪くなるな～
そういう人はブロック＆ミュートしましょう....
頭がおかしいんですよ....w

>>681
https://media.thisisgallery.com/wp-content/uploads/2022/10/yamasato.jpg
この人嫌い

全て公開されてるようだって・・・
そこにはCTAPとWebAutnの仕様しかないでしょ
ちゃんと中を見てよ
分かりやすいようにパスキーの定義を引用してってヒントを出してあげてるんだからさ

エラーも詭弁で逃げないで

ん～IT系のコードの知識ある人が少ないんじゃない？そこでマウント取っても解決しない問題だよぉー
後全然関係ないけど私人逮捕系のYoutuber連中が逮捕されてるようだな....
自分を特殊部隊の人間と勘違いしてるんかな？.....w

「パスキー」はマーケティング用の名称で、​技術的な標準規格としての名前は「FIDO2（WebAuthn / CTAP2）」だよ
現状は>>671が言ってるとおりだし
>>685はもうちょっと勉強しような

>>686
> 私人逮捕系のYoutuber連中が逮捕されてるようだな....

詳しく。他スレに誘導してくれてもいい。
SNSにデマ撒く一味もまとめて収監してくれ。

他スレでやれ

>>688
これ興味持つ人いるんだな～...連中は正義の執行者ぶってるけど強い犯罪者には立ち向かわないからなｗ
取り締まり方も私人逮捕の領域を超えてるしｗ
後確かにスレチｗ

■【2025年『サラっと一句！わたしの川柳コンクール』の全国ベスト10】

第2位：「パスワード　記録したけど　記憶なし」（慢性疲労男）

第4位：「パスワード　思い出せずに　また初期化」（おにぎり忍者）

重要じゃないパスワードは毎回初期化でもいいと俺は思っているわ
わからないの普通にあるけど、そんなのいちいち管理してられない

>>691
パスワードを覚えようとしている時点で、日本の情報リテラシーの低さが見える

>>693
それも持論じゃないっすか？ｗ さいつよは脳の中に全て保管だろうが現実的に不可能やしｗ
これさ～この程度でマウント取れた気になってるでしょｗ

パスワードを1個覚えさえすればいい管理ツールのスレでそれ言う？
それとも使ってないの？

真面目な見解としてパスワードを覚えなかった場合はパスの紛失などで人生終了レベルじゃない.....？
銀行口座とか各種個人情報をパスマネに入れてて紛失とかやばすぎるしな......

銀行系は老人相手にするのなれっこやろ
本人確認とれれば復旧できる

ワイも銀行証券はよく使うやつは丸暗記してるな
ろくに入れてないところはマネージャーに記録させているが

>>698
人生に影響ある個人情報はそうした方がいいと思うｗ

>>698
キーロガーで盗まれるパターンですね

>>700
フィッシングがどうのと言われるやつでしょ？
それでも記憶させるのは怖い・・
でも最近証券会社のサイト見たらパスワードマネージャー推奨しているところもあったわ
まぁ最近は2段階認証かパスキー使わないと何もできなくなってきているので
認証用の端末を分けている俺は平気・・だと思いたい

・ブラウザパスマネ使用無し
・パスPC内に保存無し
・2FA使用あり
・指紋認証など入れて3や4重認証あり
これでも普通に突破されるパターンはあるの？攻撃手法はオンライン限定でお願いします
オフライン攻撃も有りとなったらね.....

>>702
AIに聞いて自己解決したわｗ
マルウェア(窃取系など)やクラウド系やヒューマンエラーがリスクらしいけどどれも中身まで到達しなさそうやなｗ

ここの情強ニキ達に聞きたいんやがマイナンバーについてはどう思うん？
スレチ+政治ネタだし荒れるとは思うが聞いてみたい.....

マイナンバー自体はとっくに割り当てられているのでどうでも良いが、カードはあまり持ち歩かない
暗証番号があるから悪用される可能性は低そうだが

>>705
ん～最近週刊文春や週刊誌などが指摘している偽造業者問題はどう思うの？
調べてみると中国系とかの業者がかなりマイナンバーを悪用しようとしてる様に見えるな

マイナンバーの是非以前に運営側がこのリテラシーじゃ何やってもダメ
https://x.com/k2izumi/status/2056549060891623922

どこの自治体だよ…
えっ全部じゃないよね

他スレでやってもらえませんか　内容的にちょっとした雑談じゃ終わらないでしょ

>>704
わかっててなぜここで始めるよ

>>709+710
大変申し訳ございません ただ時事ネタなので国民の皆様の多様なご意見をお伺いしたく質問しました....
>>707
90年代の自治体の方がまだマシなレベルでは？ｗ

マイナンバーってカード自体と英数字のパスワードがセットであるとかなり法的効力の強いことができちゃうよね

自分もどうせ番号割り当てられるなら特典もらっておこうとカードは作ったが
極力持ち歩かないようにしている

関係ないかもしれんが、実印もあえて登録してないわ

蒸し返して悪いけどパスキーに強い管理ソフトって何?
xはプロトンしかだめとかの噂があるし、ギャンブラーなLastPassは「完全じゃないんです～」ってダメだし
LastPassは恐いけど自動入力が強力すぎて逃げられない

>>713
1passwordはandroid,ipad,windowsとも問題なく使えているよ。Windows11では、OS側とパスキー連携する機能も実装されている。

>>713
PCとモバイルどちらか知らんがLastPass以外でも自動入力は使えるよ
後Lastは流出事件も起きて機能もいまいちだから乗り換えおすすめ

>>712
マイナンバーを取得しに行った時の役所のやり方見てて思ったけど
仕切りがあるとは言え覗かれそうだし普通に個人情報を読み上げるのセキュリティ意識低いと思ったわ.....
なんというかな....日本のお役所仕事すぎるかな......後パスワードの桁数が4ケタだっけ？あれもやばいｗ

長い方のパスワードは英数字が大文字しか使えないのよくわからない

>>717
左3列のキーだけでzZsSxXwWcC
紙に書いて残す人らにとって間違いやすいからね
現実社会はキャッシュカードの暗証番号が誕生日な人たちが支配してるんや

文字種の混在を強制してはならない。パスワード作成において、大文字・小文字・数字・記号の混在を強制することは禁止

特によく言われる、「複雑なパスワード」を否定するものだが、実は以前からすでにこの混在の強制は否定されていた。
「混在を強制すべきでない」となったのは、2017年6月のSP 800-63-3の時点で、長期にわたってNISTのガイドラインとして言及されていたが、「複雑な方が安全」と長きに渡って神話として語り継がれていた項目だ。

いずれにしても、現在でも文字種を強制するサービスは多く、例えば「パスワードの長さは最長12文字で、英数字・記号を必ず使用する」といったNISTのガイドラインに完全に反しているようなサイトも多い。
ttps://www.watch.impress.co.jp/docs/topic/2071110.html

国内ルールでもないNISTガイドラインに「反している」という書き方が気になる

>>720
なお、本文ではNISTのガイドラインに従って記載しているが、あくまで「米国のガイドライン」であり、強制力や罰則はない。

と最初に書いているし、何も問題は無いと思うのだが…

NISTなんか信用ならねぇ！
PPAPを未だにやめきれないジャップのルール最高！

冗談なんだろうが差別用語みたくないからやめろｗ
後NISTの新ガイドラインがそうなった理由知ってる人はいると思うが
普通に未だに文字種混在の1x文字以上のパスワードは普通に適切運用すれば安全だよ
NISTが警告してる内容は大体ヒューマンエラーのせいだと思われｗ

記号入れろって言われてやっとこさ入れる人なんかどうせaを@にするくらいだし只管長いほうがマシみたいな事だったっけか

>>719
>「複雑な方が安全」と長きに渡って神話として語り継がれていた項目だ。
なんて書くと情弱さん達が勘違いするから止めた方がいいと思うけどな......
普通に総当たり限定だが4種混在の15桁以上は安全ですよー (Infostealerには意味ないけどｗ)

記号不可より最長12文字の方が遥かに強度落ちるのはそりゃそう
パスワードは文字数が正義なので記憶しやすい文章形式がいいってのを常識にしろと思うけど、それも未だに多いタイピング不慣れな人にとっては厳しいからやっぱパスキー強制化は当然すぎる流れなんだよな

生体認証がいい

生体認証もどうなんだろうね？昔の映画じゃないけどさコップやスマホとかから
指紋採取されて悪用されるとか映画みたいな事が起こりそうじゃない？ｗ

後英語圏のyoutube見て危険だなと思ったのはデバイスの温度からパスワードなどを予測できるかもらしい
完全じゃないんだけど短いパスワードとかだとサーモグラフィーとかで
キーボードやタッチパネル見れば触ってすぐの状態ならどこが温度高いかで予測できるらしいw

>>729
それ何年か前にニュースになってたな
iPhoneとかでもできるみたいな話だったっけ

虹彩認証のスマホ使ってたけどなんで廃れちゃったんだろう

キーボード叩く音でもわかるらしいよね

KeePassのパスワードジェネレーターには
advancedタブで
同一文字は一度だけ
Oと0 Iと1 の間違いやすい文字禁止
のチェックボックスがある

あと個人的には32文字使えるなら
Hexキー 128bit
にしてる
日本のサービスだとせいぜい20文字ぐらいで多い方だけど

>>730
温度探知はiPhoneに限らずどのデバイスでもできるかと
>>732
打鍵音での解析は機種依存みたいな所あるけど周波数解析とかで特定できるかもね
少し違うけどMicrosoftの合成音声作成とかも音の解析技術が飛躍的に向上した+α
だから数秒の音で何百パターンも作れるんだと思う

そもそも指紋取られようがPIN見られようがデバイスがないとログインできないってのがパスキーの強みだから、一般人にとってはオンラインで弱いパスワードをクラックされるリスクの方が遥かにでかいよ
リアルでデバイスを狙われるような人物ならボディガード雇えって話になる

>>735
ワイは認証用端末家に置きっぱなしにしているわ
近所の人に株やってるってバレなければ問題ない、多分
一日中家にいる怪しい人になってしまっているけど

デバイス盗られただけでは解除できないんじゃないの？

パスキーはKeePassXCで使えるらしいから使ってみようかな
てっきりスマートフォンの生体認証が必須だと思っていたんだけれど要らないんだよね？
GNU/LinuxだしPCにそもそも指紋リーダーが付いてないわ

>>735
確かに端末自体が標的なら護衛や専門家に相談やなｗ
>>737
解除に必要な情報類が揃ってる可能性が微レ存？

>>738
windows機だとpin設定すれば生体認証なくても使えた記憶
linuxはどうなんだろうね？chromeだとgoogleアカウントに記憶させる形で使えそうだけど

複雑にするほど障害点は増えるし、個人が狙われるより企業側のおもらしのほうが遥かに大規模に起きるんだから
クラウド同期しかインポート/エクスポートの方法がないのも怖い
現状長文パスワードのほうが遥かに取り回しがいいとしか言えないな

いまどきパスワードて
冷やかしはよそでやれ

使ったことないけどkeepass系で使えるならクラウドに頼らなくても同期は取れるんじゃない？

>>702
その条件だと、ID・パスワード・TOTPなどのコードは手入力と考えられるけど、その場合はホモグラフ攻撃とかリアルタイムフィッシング攻撃でやられるんじゃないかな

>>744
いやKeePassなどのローカルやクラウド型は使うんでしょ
ブラウン内製の奴は使わんだけでさ

ブラウンってシェーバー？

ブラウザぁ！！

俺はパナソニック派

僕はマクセルイズミ派

結局ジレット

dashlaneというパスワード管理アプリで数名のユーザーの保管してたパスワードがブルートフォース攻撃で流出したらしいけど
もし自分の身に起こったとしたら怖いな
銀行のパスワードが盗まれたら金も取られちまうんだろうか

dashlane試したことあるけど使いにくくてすぐやめたわ

>>751
今どき、新しい端末からのアクセスでパスワードのみで送金できるところなんてないだろ

やっぱ生体認証とパスキーが強いわな
物理でやってくる闇バイトが来ない限り

マスターパスってどこに保存してる？
sms認証とか、救済措置あるといいよな
keepassだから救済措置がない

物理でやってこなくても
自分が物理的に持ち歩いていると怖いわ、パスキーは

パスワードとはまた違ったデメリットがある

>>756
悪い人に指や目玉を切り取られたりが怖いってこと？

>>757
そんなところだね

裏路地で刃物突きつけられて
銀行のパスキー入れろって言われたら俺は即入れるよ

スマホぶん盗られて画面見せつけられたら顔認証なら解除されちゃうね

そうだね

しかしリアルな話すると
最近まで顔認証の端末を部屋置きっ放し認証用にしていたんだが
最近お安い端末で更新したらパスキーは指紋認証使うようになっていて
「これ俺の指詰めて持ったいったらロック解除できちゃうんじゃ・・
首切り落として運ぶよりだいぶハードル低いし」
と思っている

ハードボイルドな世界に住んでらっしゃるのね

臆病なんです

管理がめんどくさいからとネット銀行に全財産いれて
全財産もって歩いてると気がついていない人がたまにいる

闇金ウシジマくんやWorst？だっけの世界観じゃあるまいし一般人がそんな連中に絡まれるのはｗ
今時だと闇バイトくん達が怖いかもな～栃木のごぼう農家の人が狙われたし(´・ω・｀)

>>751
多分この件だと思うけど認証試行であってデータ侵害は今の所確認がないらしいぞいｂ
https://mainichisecu.jp/2026/06/02/dashlane%E5%88%A9%E7%94%A8%E8%80%85%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%83%AD%E3%83%83%E3%82%AF%E7%99%BA%E7%94%9F%E3%80%81%E3%83%96%E3%83%AB%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC/

>>763
ネット銀行じゃなくもネットバンキングで金動かせるから何も変わらんぞ

>>765
攻撃者は20名未満の個人プランユーザーの暗号化された保管庫のコピーをダウンロードすることに成功しました。
https://support.dashlane.com/hc/en-us/articles/36038764990866-Security-advisory-Brute-force-attack-on-Dashlane-user-accounts

英語版の方かー申し訳ない🥴
ん～ただやはり保管庫だけでパスの流出はないらしいですね

>>767
保管庫をコピーされても問題ないだろ。
総当たりされたところで、保管庫に登録されているパスワードを変更する時間は十分にある。

ブルートフォースでロックされたっていうのは問題ないけど保管庫のダウンロードは無条件に問題ないとは言えないんじゃない？
この件はすぐ発覚しててユーザーも少数だから対処できるだろうけど

>>763
あるネット銀行でスマホの端末一つで送金出来てしまうアプリをかなり強く押してきたところがあってスレがメチャクチャ荒れてたわ
「利便性が上がった、これに反発してるのは老害」みたいなのと「スマホなんか使いたくない・スマホで送金しない・スマホ単独で送金出来てしまうのは無理」みたいなのの間でレスバになるしスレは分裂するし酷いもんだった

>>770
こういうインシデントをすぐに検知して、影響範囲を特定して報告してくれるのは、
それで金を取ってる専門サイトだからこそだろうな

保管庫が流出する→流出対象者が保管庫内の登録サイトの個人情報を更新しない
→偶然総当たりでCrackできた犯人がその個人情報を悪用するみたいなパターンは微レ存だとは思うけどあるか？
ん～保管庫の総当たりとか有料AIやスパコンみたいなの欲しいだろうし長時間かけてやる犯罪者なんているの？

>>772
仮想通貨なり証券口座ある人はこういうのに通知用のMailとか登録してるのかな～
それ以外の人でも普通に使用してる人はいるかな？

>>771
う～ん電子通貨(仮想含む)や株ガチ勢とかなら利便性の向上とも言えるが評価が短絡的すぎるかな.....
端末の侵害が起きた時にちと怖いかな =犯罪者の利便性ともいえるし....

>>773
1. LastPassの情報漏洩事件では何が起こったのか？
2022年、攻撃者がLastPassに保存されていた暗号化された保管庫データにアクセスしました。ユーザーがパスワードのローテーションや保管庫のセキュリティ強化を行わなかったため、攻撃者は数年後も脆弱なマスターパスワードを解読し続け、2025年後半にウォレットからの資金流出が発生しました。

https://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement

あ～LastPassのやつがそれか3年くらいで解析できたのか
どんな方式でマスターパス解析したんだろ？後は流出保管庫がマスターパスのみの保護だったのかな？

ここによると>>776の犯罪者はロシア系だとさ
https://jp.beincrypto.com/russian-actors-linked-to-lastpass-crypto-funds-laundering

>>777
LastPassは暗号方式PBKDF2でGPU解析に弱い
流出保管庫はマスターパスワードのみの保護

流出保管庫の総当たりに強いのはキーファイル対応ソフト、 1Password(SecretKey)

結局暗号アルゴリズム自体が強力でもパスワードが弱かったら破られる
一般ユーザーにパスワードを決めさせること自体がリスク

>>775
投資やってる人たちはむしろ反対してましたね、人によりますけど
札束持ち歩かさせれるようなものなので

>>779
既存のクラウド系だと総当たり対策は1Passwordだけが頭1つ抜けてるんですね
BitwardenはマスターパスのみでArgon2idにしてないと総当たりに弱いのか～
Dashlaneはまだまだらしいので1Passいいかもですな

>>780
そうですけどパスワードマイスターみたいな職業でも作るんですか？
というのは冗談としてパスワード作成マネージャとかですかね～
一般層にはパスワードマネージャ自体がまだまだ身近じゃないらしいので～

>>781
スマホはUSのセキュリティサイトも言ってましたがモバイルは紙同然のセキュリティだとか
それで厳重な認証無しの即送金とか頭おかしいとは思いますわ～

オンライン型は1Passwordが一番ええみたいやなー
ただオフライン型のKeePassもかなりええんとちゃう？Secret Keyみたいなのは
キーファイルやYubiKeyを入れればかなり総当たりにも強いぞい
ただ利便性が1Passwordより落ちるだろうけどねー

>>783
だからパスキーでそもそもパスワードを使わせない方向にシフトしてる
パスマネ使えと言って使ってくれるなら最初から困ってないし、パスマネのパスワードだけはパスマネで管理できないですからね

>>770
問題ないというのは語弊があるだろうけど、
クラウドサービスから保管庫をダウンロードされた＝直ちにパスワードがすべて流出したと思ってる層が多い

1Passwordの2022年のインシデントは特殊な事例でいいのかね？
保管庫(Vault)流出+解析成功で資金流出なんてパターンは大分特殊だよね？
PBKDF2とはいえ総当たりも時間かかるでしょ？

AIに聞いてみたらPBKDF2でも弱いパスワードにしてないと実際のCrackはそこそこ難しいみたい
2022年以降の資金流出は弱いパス設定してた人が抜かれたのかな？

1年前「 グーグルが20億ユーザーに警告、『パスワード』ではなく『パスキー』方式に変更を 」
もうパスキーの流れは止められなくて大手企業もその流れてパスキー必須化やパスキー移行を促してる現状で
ヤフーのサービス全般は来年の春からパスキーだけになるから注意と手順を説明しているYoutubeのコメントを見たら
ヤフーだからって叩く日本人は終わってるな

大手の証券サイトでパスキーエラー出まくって問い合わせ殺到してる繋がりませんって見たな
安定してないパスキー使いたがるのなんでなん

X 安定してないパスキー
O 安定してない証券サイト

日本人のIT技術者のレベルが低くてすみません。

>>790
君も十分ヤフーコメント欄の住人ぽい...w
Googleのエンジニアとかはバリバリパスワードマネージャ使うんだろうが
日本のIT企業内でパスワードマネージャ使用者はどれくらいいるんやろ？

>>792
技術者叩きするんじゃなくて多重下請けとか叩きなｗ

>>791
去年不正送金が何件か起きただろ？
当局から対応を求められた時に「パスキーで対策します」って言えば簡単に通るから
言い換えるとパスキーにしないと客のパスワードがpasswordだったとしても
証券会社側が不正送金の責任を追及されかねないから

>>791
上であったように昔のメールのIMAPのように正しく実装しているアプリやサービスが少ないから

>>793
YoutubeのWindowsとLinuxなどの新情報を紹介するチャンネルを見てると
おすすめでスマホの新情報の動画が出てくるからたまに見るんだけど
ヤフーを使っている人への注意喚起動画なのにそこのコメントでヤフーが叩かれてたから書いた

パスワードを123456にしたりやフィッシングに引っかかるユーザーの根絶など無理なので仕方なく介護としてパスキーを導入せざるを得ないというのが実情
どうしてもパスキーがいいんだパスキーは素晴らしいんだとは誰も言ってません

簡易的なパスワードは知らんけどフィッシングは鴨リストなどがあるのかもなー
ただの妄想だけど闇金ウシジマくんとか裏社会系のマンガに出てくる名簿屋みたいなのがいるのかも？
フィッシング向けの名簿がダークウェブとかに売られてるのかもね