パスワード管理ツール Part17

!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください


パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part16
https://itest.5ch.net/egg/test/read.cgi/software/1700726576

スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/
https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured

>>729
それ何年か前にニュースになってたな
iPhoneとかでもできるみたいな話だったっけ

虹彩認証のスマホ使ってたけどなんで廃れちゃったんだろう

キーボード叩く音でもわかるらしいよね

KeePassのパスワードジェネレーターには
advancedタブで
同一文字は一度だけ
Oと0 Iと1 の間違いやすい文字禁止
のチェックボックスがある

あと個人的には32文字使えるなら
Hexキー 128bit
にしてる
日本のサービスだとせいぜい20文字ぐらいで多い方だけど

>>730
温度探知はiPhoneに限らずどのデバイスでもできるかと
>>732
打鍵音での解析は機種依存みたいな所あるけど周波数解析とかで特定できるかもね
少し違うけどMicrosoftの合成音声作成とかも音の解析技術が飛躍的に向上した+α
だから数秒の音で何百パターンも作れるんだと思う

そもそも指紋取られようがPIN見られようがデバイスがないとログインできないってのがパスキーの強みだから、一般人にとってはオンラインで弱いパスワードをクラックされるリスクの方が遥かにでかいよ
リアルでデバイスを狙われるような人物ならボディガード雇えって話になる

>>735
ワイは認証用端末家に置きっぱなしにしているわ
近所の人に株やってるってバレなければ問題ない、多分
一日中家にいる怪しい人になってしまっているけど

デバイス盗られただけでは解除できないんじゃないの？

パスキーはKeePassXCで使えるらしいから使ってみようかな
てっきりスマートフォンの生体認証が必須だと思っていたんだけれど要らないんだよね？
GNU/LinuxだしPCにそもそも指紋リーダーが付いてないわ

>>735
確かに端末自体が標的なら護衛や専門家に相談やなｗ
>>737
解除に必要な情報類が揃ってる可能性が微レ存？

>>738
windows機だとpin設定すれば生体認証なくても使えた記憶
linuxはどうなんだろうね？chromeだとgoogleアカウントに記憶させる形で使えそうだけど

複雑にするほど障害点は増えるし、個人が狙われるより企業側のおもらしのほうが遥かに大規模に起きるんだから
クラウド同期しかインポート/エクスポートの方法がないのも怖い
現状長文パスワードのほうが遥かに取り回しがいいとしか言えないな

いまどきパスワードて
冷やかしはよそでやれ

使ったことないけどkeepass系で使えるならクラウドに頼らなくても同期は取れるんじゃない？

>>702
その条件だと、ID・パスワード・TOTPなどのコードは手入力と考えられるけど、その場合はホモグラフ攻撃とかリアルタイムフィッシング攻撃でやられるんじゃないかな

>>744
いやKeePassなどのローカルやクラウド型は使うんでしょ
ブラウン内製の奴は使わんだけでさ

ブラウンってシェーバー？

ブラウザぁ！！

俺はパナソニック派

僕はマクセルイズミ派

結局ジレット

dashlaneというパスワード管理アプリで数名のユーザーの保管してたパスワードがブルートフォース攻撃で流出したらしいけど
もし自分の身に起こったとしたら怖いな
銀行のパスワードが盗まれたら金も取られちまうんだろうか

dashlane試したことあるけど使いにくくてすぐやめたわ

>>751
今どき、新しい端末からのアクセスでパスワードのみで送金できるところなんてないだろ

やっぱ生体認証とパスキーが強いわな
物理でやってくる闇バイトが来ない限り

マスターパスってどこに保存してる？
sms認証とか、救済措置あるといいよな
keepassだから救済措置がない

物理でやってこなくても
自分が物理的に持ち歩いていると怖いわ、パスキーは

パスワードとはまた違ったデメリットがある

>>756
悪い人に指や目玉を切り取られたりが怖いってこと？

>>757
そんなところだね

裏路地で刃物突きつけられて
銀行のパスキー入れろって言われたら俺は即入れるよ

スマホぶん盗られて画面見せつけられたら顔認証なら解除されちゃうね

そうだね

しかしリアルな話すると
最近まで顔認証の端末を部屋置きっ放し認証用にしていたんだが
最近お安い端末で更新したらパスキーは指紋認証使うようになっていて
「これ俺の指詰めて持ったいったらロック解除できちゃうんじゃ・・
首切り落として運ぶよりだいぶハードル低いし」
と思っている

ハードボイルドな世界に住んでらっしゃるのね

臆病なんです

管理がめんどくさいからとネット銀行に全財産いれて
全財産もって歩いてると気がついていない人がたまにいる

闇金ウシジマくんやWorst？だっけの世界観じゃあるまいし一般人がそんな連中に絡まれるのはｗ
今時だと闇バイトくん達が怖いかもな～栃木のごぼう農家の人が狙われたし(´・ω・｀)

>>751
多分この件だと思うけど認証試行であってデータ侵害は今の所確認がないらしいぞいｂ
https://mainichisecu.jp/2026/06/02/dashlane%E5%88%A9%E7%94%A8%E8%80%85%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%83%AD%E3%83%83%E3%82%AF%E7%99%BA%E7%94%9F%E3%80%81%E3%83%96%E3%83%AB%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC/

>>763
ネット銀行じゃなくもネットバンキングで金動かせるから何も変わらんぞ

>>765
攻撃者は20名未満の個人プランユーザーの暗号化された保管庫のコピーをダウンロードすることに成功しました。
https://support.dashlane.com/hc/en-us/articles/36038764990866-Security-advisory-Brute-force-attack-on-Dashlane-user-accounts

英語版の方かー申し訳ない🥴
ん～ただやはり保管庫だけでパスの流出はないらしいですね

>>767
保管庫をコピーされても問題ないだろ。
総当たりされたところで、保管庫に登録されているパスワードを変更する時間は十分にある。

ブルートフォースでロックされたっていうのは問題ないけど保管庫のダウンロードは無条件に問題ないとは言えないんじゃない？
この件はすぐ発覚しててユーザーも少数だから対処できるだろうけど

>>763
あるネット銀行でスマホの端末一つで送金出来てしまうアプリをかなり強く押してきたところがあってスレがメチャクチャ荒れてたわ
「利便性が上がった、これに反発してるのは老害」みたいなのと「スマホなんか使いたくない・スマホで送金しない・スマホ単独で送金出来てしまうのは無理」みたいなのの間でレスバになるしスレは分裂するし酷いもんだった

>>770
こういうインシデントをすぐに検知して、影響範囲を特定して報告してくれるのは、
それで金を取ってる専門サイトだからこそだろうな

保管庫が流出する→流出対象者が保管庫内の登録サイトの個人情報を更新しない
→偶然総当たりでCrackできた犯人がその個人情報を悪用するみたいなパターンは微レ存だとは思うけどあるか？
ん～保管庫の総当たりとか有料AIやスパコンみたいなの欲しいだろうし長時間かけてやる犯罪者なんているの？

>>772
仮想通貨なり証券口座ある人はこういうのに通知用のMailとか登録してるのかな～
それ以外の人でも普通に使用してる人はいるかな？

>>771
う～ん電子通貨(仮想含む)や株ガチ勢とかなら利便性の向上とも言えるが評価が短絡的すぎるかな.....
端末の侵害が起きた時にちと怖いかな =犯罪者の利便性ともいえるし....

>>773
1. LastPassの情報漏洩事件では何が起こったのか？
2022年、攻撃者がLastPassに保存されていた暗号化された保管庫データにアクセスしました。ユーザーがパスワードのローテーションや保管庫のセキュリティ強化を行わなかったため、攻撃者は数年後も脆弱なマスターパスワードを解読し続け、2025年後半にウォレットからの資金流出が発生しました。

https://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement

あ～LastPassのやつがそれか3年くらいで解析できたのか
どんな方式でマスターパス解析したんだろ？後は流出保管庫がマスターパスのみの保護だったのかな？

ここによると>>776の犯罪者はロシア系だとさ
https://jp.beincrypto.com/russian-actors-linked-to-lastpass-crypto-funds-laundering

>>777
LastPassは暗号方式PBKDF2でGPU解析に弱い
流出保管庫はマスターパスワードのみの保護

流出保管庫の総当たりに強いのはキーファイル対応ソフト、 1Password(SecretKey)

結局暗号アルゴリズム自体が強力でもパスワードが弱かったら破られる
一般ユーザーにパスワードを決めさせること自体がリスク

>>775
投資やってる人たちはむしろ反対してましたね、人によりますけど
札束持ち歩かさせれるようなものなので

>>779
既存のクラウド系だと総当たり対策は1Passwordだけが頭1つ抜けてるんですね
BitwardenはマスターパスのみでArgon2idにしてないと総当たりに弱いのか～
Dashlaneはまだまだらしいので1Passいいかもですな

>>780
そうですけどパスワードマイスターみたいな職業でも作るんですか？
というのは冗談としてパスワード作成マネージャとかですかね～
一般層にはパスワードマネージャ自体がまだまだ身近じゃないらしいので～

>>781
スマホはUSのセキュリティサイトも言ってましたがモバイルは紙同然のセキュリティだとか
それで厳重な認証無しの即送金とか頭おかしいとは思いますわ～

オンライン型は1Passwordが一番ええみたいやなー
ただオフライン型のKeePassもかなりええんとちゃう？Secret Keyみたいなのは
キーファイルやYubiKeyを入れればかなり総当たりにも強いぞい
ただ利便性が1Passwordより落ちるだろうけどねー

>>783
だからパスキーでそもそもパスワードを使わせない方向にシフトしてる
パスマネ使えと言って使ってくれるなら最初から困ってないし、パスマネのパスワードだけはパスマネで管理できないですからね

>>770
問題ないというのは語弊があるだろうけど、
クラウドサービスから保管庫をダウンロードされた＝直ちにパスワードがすべて流出したと思ってる層が多い

1Passwordの2022年のインシデントは特殊な事例でいいのかね？
保管庫(Vault)流出+解析成功で資金流出なんてパターンは大分特殊だよね？
PBKDF2とはいえ総当たりも時間かかるでしょ？

AIに聞いてみたらPBKDF2でも弱いパスワードにしてないと実際のCrackはそこそこ難しいみたい
2022年以降の資金流出は弱いパス設定してた人が抜かれたのかな？

1年前「 グーグルが20億ユーザーに警告、『パスワード』ではなく『パスキー』方式に変更を 」
もうパスキーの流れは止められなくて大手企業もその流れてパスキー必須化やパスキー移行を促してる現状で
ヤフーのサービス全般は来年の春からパスキーだけになるから注意と手順を説明しているYoutubeのコメントを見たら
ヤフーだからって叩く日本人は終わってるな

大手の証券サイトでパスキーエラー出まくって問い合わせ殺到してる繋がりませんって見たな
安定してないパスキー使いたがるのなんでなん

X 安定してないパスキー
O 安定してない証券サイト

日本人のIT技術者のレベルが低くてすみません。

>>790
君も十分ヤフーコメント欄の住人ぽい...w
Googleのエンジニアとかはバリバリパスワードマネージャ使うんだろうが
日本のIT企業内でパスワードマネージャ使用者はどれくらいいるんやろ？

>>792
技術者叩きするんじゃなくて多重下請けとか叩きなｗ

>>791
去年不正送金が何件か起きただろ？
当局から対応を求められた時に「パスキーで対策します」って言えば簡単に通るから
言い換えるとパスキーにしないと客のパスワードがpasswordだったとしても
証券会社側が不正送金の責任を追及されかねないから

>>791
上であったように昔のメールのIMAPのように正しく実装しているアプリやサービスが少ないから

>>793
YoutubeのWindowsとLinuxなどの新情報を紹介するチャンネルを見てると
おすすめでスマホの新情報の動画が出てくるからたまに見るんだけど
ヤフーを使っている人への注意喚起動画なのにそこのコメントでヤフーが叩かれてたから書いた

パスワードを123456にしたりやフィッシングに引っかかるユーザーの根絶など無理なので仕方なく介護としてパスキーを導入せざるを得ないというのが実情
どうしてもパスキーがいいんだパスキーは素晴らしいんだとは誰も言ってません

簡易的なパスワードは知らんけどフィッシングは鴨リストなどがあるのかもなー
ただの妄想だけど闇金ウシジマくんとか裏社会系のマンガに出てくる名簿屋みたいなのがいるのかも？
フィッシング向けの名簿がダークウェブとかに売られてるのかもね

実情はわかるけど、パスキーをどうしても入れたい人や素晴らしいと言ってる人はたくさんいるよ

パスキー（Passkey）の導入は、オンラインセキュリティにおいて「フィッシング詐欺」という最大の弱点をほぼ完全に封じ込めるため、非常に劇的な効果を上げています。

1. Google：フィッシング被害が「ゼロ」に
最も有名な例はGoogleです。彼らは全社員（10万人以上）に対して、パスキーの基盤技術である「FIDOセキュリティキー」の使用を義務付けました。
・導入前の状況: 社員を狙った高度なフィッシング攻撃が絶えませんでした。
・導入後の結果: 物理キーによる認証を必須にして以来、全社員においてフィッシングによるアカウント乗っ取り被害が「0件」になったと報告されています。
・一般ユーザーへの展開: 2023年から一般ユーザーにもパスキーを導入した結果、パスワード認証に比べてログイン成功率が4倍ログイン速度が2倍向上しました。

2. メルカリ（Mercari）：不正ログインの劇的減少
・課題: SMS認証を突破する「フィッシングサイト」や「SIMスワップ」による不正ログインが課題でした。
・対策: 2023年からパスキーを導入。
・効果: パスキーを利用しているユーザーにおいて、フィッシングに起因する不正ログイン被害が実質的に発生しなくなったと報告されています。また、SMSが届かないといったトラブルも減り、ユーザー体験も向上しました。

なんでみんなそんなにAIを盲信してるん？
今のAIなんて情報の入力と欲しい出力(それも酷いとネットソースレベル)が出るように繰り返し学習して、確実性はないけどそれっぽい答えを出すだけだぞ
開発会社は値段を上げる推論型とか格好つけたこと言い始めているけど理屈的には奴らは推論なんかできないぞ

それはそうで、AIの答えはいっそう批判的に読むべき
Googleなんか物理キーの話じゃん

メルカリのパスキー登録しようとしたけど無理だったわ
アップルキーチェーンとか出てきて機種変のとき絶対トラブると思った
Googleアカウントに紐つけるならともかくApple製品にしか使えないアップル系パス管理はやべえ

Windowsでも使えたような気がする

ttps://www.fsa.go.jp/ordinary/chuui/chuui_phishing/20260608.pdf
そりゃパスキーのせいで5000億円奪い取るチャンスがなくなるんだから必死よ
パスキー使うな工作し続けないといかん

Googleアカウント紐付けもアカウントが誤BANされたらおしまい🤭

>>806
去年の春頃は本当に震えてた

100-150アカくらいしか監視してなかったと思うけど
Xで3人やられててた、3人とも実害が出る前に気づいて止めてたけど

全部電話注文に切り替えてた人もいたなぁ・・

ただAIにまとめさせただけの文章見ただけでいきなり盲信とか言い出す方がAIアレルギー極まってない？
Googleは物理キーっていうのもパスキーの仕組み自体は変わらんしスマホもある意味物理キーみたいなもん

パスキーを一般人にもわかりやすく説明するの難しいな
同じ仕組みの認証システムがこの世に存在してないから例え話にしようがない
Doctor Strange in the Multiverse of Madnessで例えたらかなり実態に近い説明ができるけど、ドクター・ストレンジの説明から始めないといけないから一般向けじゃない

「ただAIにまとめさせただけ」がいかに危険なことか
まとめというのは取捨選択に判断を要する高等技術かつ誘導の手段

AI自体には意味があるけど結果を貼り付けるのは意味がない
どうせ自分で確認が必要だし
wikiコピペ方がよっぽど意味あるわ

まとめた存在が違うだけでwikiコピペとAI貼り付け何が違うのって感じだし、Googleは物理キー(だから普通のパスキーとは違う)みたいな反応してる方がよっぽどヤバい

信頼性が全然違うぞ
wikiもたまに間違えているけど

そうやって信じるか信じないか基準だからAIまとめに対して具体的な指摘もないまま拒否しちゃうし、パスキーに関しても規格が統一されてないだとか安定してないだとか間違ったことを言っちゃうんだよ
これじゃAI使ってなくても悲惨というかAI丸投げよりひどい

信頼性は大切だろ?
おれもAIは私用でも仕事でも便利に使っているけど(仕事は会社の都合copilotだけど)、仕事のSE系については上陸から下流にまでは嘘が多すぎてかえって疲れる
会議の要約とかは事務処理については本当に優秀なんだけどね
数十分かかった議事録が勝手に出来て微修正をするだけですむのは本当に楽

でもシステム、プログラミングについては検索したときにトップにそれっぽく書かれるけど試してみたらはい嘘でした～が多すぎ
バイブコーディングまで行かなくても平気で変なことするし
謎のIT系会社がよく作る「分かりましたか?w」並みに嘘つき
というか、そういうのから学習しているのかもね

後出しで悪いけどAI自体は嫌いじゃないよ
ただ盲信している人がIT業界でも多くてうんざりして苛立っちゃった
情報工学系に行けば学卒レベルでも分かることに騙されている人多すぎて
かえって仕事を増やすし
ごめんね

AI「パスキー（Passkey）の導入は、オンラインセキュリティにおいて「フィッシング詐欺」という最大の弱点をほぼ完全に封じ込める」

AIを盲信するな。信頼性ゼロ！！！ぎゃおおおん

ぎょおおん

おまいらにとっては常識だろうけど
enpass入っている環境でパスキーを登録しようとしたら
windows標準のパスキー登録画面の前に
enpassへの登録画面が出てきた
こういう挙動するのかー、と思ったわ

ENPASS使ってるけどパスキー登録できるの知らんかった

みんなはパスワードマネージャーのマスターパスワード問題はどうしてる?
Googleアカウントも似た問題があったけどサブスマホを買ったら解決した

それは解決というか先延ばしでは？ｗ

一つくらいは覚えておけばヨシ
勿論簡単な物にしろと言うわけではなく

>>823
サブスマホをどう使っているのかわからないけど、
マスターパスワードのど忘れとサブスマホの文鎮化が重なったら終わりでは？

パスキーの話題が続いてるんでそろそろ移行見据えてメルカリでテストしたけど、iOSアプリからkeepassiumにパスキー登録→データベースクラウド同期→PCのkeepassでログインとあっさりいけたわ
その後YahooでPC登録→スマホログインもできるの確認したしこれで今までと同じ使い勝手でいつでも移行できる

>>825
再設定用のメールアドレス
再設定用の電話番号
1回限りのログインコードを発行して保存

設定しないとグーグルから早く設定しろと催促されるで

GoogleはTOTP設定しておくだけでバックアップコードを発行できるようになる
TOTP設定後にバックアップコード発行しようとしても電話番号も設定しろって言われるけど、一回セキュリティ管理画面に戻って、またバックアップコード発行画面に入ると電話番号スキップできる
スマホにパスキー登録したがスマホ壊れたって場合でも、そのバックアップコードがあれば10回はログイン試行チャンスができる
Appleも同じじゃなかろうか
GoogleやAppleアカウントがパスキーのマスターキーになる仕組みは正直怖いが、これによって他社サービスはバックアップコードなどの仕組みを用意しないで済むようになってる
マスターキーさえ復元できれば他社サービスのパスキーも復元できるから

そんなにアカウント保存が怖いならkeepass使おう

デイトレーダーワイは証券会社の推奨条件を満たすために仕方がなくアカウントに保存している
大体googleかappleのアカウントに保存しろって書いてあるんだよなぁ