パスワード管理ツール Part17

>>729
それ何年か前にニュースになってたな
iPhoneとかでもできるみたいな話だったっけ

虹彩認証のスマホ使ってたけどなんで廃れちゃったんだろう

キーボード叩く音でもわかるらしいよね

KeePassのパスワードジェネレーターには
advancedタブで
同一文字は一度だけ
Oと0 Iと1 の間違いやすい文字禁止
のチェックボックスがある

あと個人的には32文字使えるなら
Hexキー 128bit
にしてる
日本のサービスだとせいぜい20文字ぐらいで多い方だけど

>>730
温度探知はiPhoneに限らずどのデバイスでもできるかと
>>732
打鍵音での解析は機種依存みたいな所あるけど周波数解析とかで特定できるかもね
少し違うけどMicrosoftの合成音声作成とかも音の解析技術が飛躍的に向上した+α
だから数秒の音で何百パターンも作れるんだと思う

そもそも指紋取られようがPIN見られようがデバイスがないとログインできないってのがパスキーの強みだから、一般人にとってはオンラインで弱いパスワードをクラックされるリスクの方が遥かにでかいよ
リアルでデバイスを狙われるような人物ならボディガード雇えって話になる

>>735
ワイは認証用端末家に置きっぱなしにしているわ
近所の人に株やってるってバレなければ問題ない、多分
一日中家にいる怪しい人になってしまっているけど

デバイス盗られただけでは解除できないんじゃないの？

パスキーはKeePassXCで使えるらしいから使ってみようかな
てっきりスマートフォンの生体認証が必須だと思っていたんだけれど要らないんだよね？
GNU/LinuxだしPCにそもそも指紋リーダーが付いてないわ

>>735
確かに端末自体が標的なら護衛や専門家に相談やなｗ
>>737
解除に必要な情報類が揃ってる可能性が微レ存？

>>738
windows機だとpin設定すれば生体認証なくても使えた記憶
linuxはどうなんだろうね？chromeだとgoogleアカウントに記憶させる形で使えそうだけど

複雑にするほど障害点は増えるし、個人が狙われるより企業側のおもらしのほうが遥かに大規模に起きるんだから
クラウド同期しかインポート/エクスポートの方法がないのも怖い
現状長文パスワードのほうが遥かに取り回しがいいとしか言えないな

いまどきパスワードて
冷やかしはよそでやれ

使ったことないけどkeepass系で使えるならクラウドに頼らなくても同期は取れるんじゃない？

>>702
その条件だと、ID・パスワード・TOTPなどのコードは手入力と考えられるけど、その場合はホモグラフ攻撃とかリアルタイムフィッシング攻撃でやられるんじゃないかな

>>744
いやKeePassなどのローカルやクラウド型は使うんでしょ
ブラウン内製の奴は使わんだけでさ

ブラウンってシェーバー？

ブラウザぁ！！

俺はパナソニック派

僕はマクセルイズミ派

結局ジレット

dashlaneというパスワード管理アプリで数名のユーザーの保管してたパスワードがブルートフォース攻撃で流出したらしいけど
もし自分の身に起こったとしたら怖いな
銀行のパスワードが盗まれたら金も取られちまうんだろうか

dashlane試したことあるけど使いにくくてすぐやめたわ

>>751
今どき、新しい端末からのアクセスでパスワードのみで送金できるところなんてないだろ

やっぱ生体認証とパスキーが強いわな
物理でやってくる闇バイトが来ない限り

マスターパスってどこに保存してる？
sms認証とか、救済措置あるといいよな
keepassだから救済措置がない

物理でやってこなくても
自分が物理的に持ち歩いていると怖いわ、パスキーは

パスワードとはまた違ったデメリットがある

>>756
悪い人に指や目玉を切り取られたりが怖いってこと？

>>757
そんなところだね

裏路地で刃物突きつけられて
銀行のパスキー入れろって言われたら俺は即入れるよ

スマホぶん盗られて画面見せつけられたら顔認証なら解除されちゃうね

そうだね

しかしリアルな話すると
最近まで顔認証の端末を部屋置きっ放し認証用にしていたんだが
最近お安い端末で更新したらパスキーは指紋認証使うようになっていて
「これ俺の指詰めて持ったいったらロック解除できちゃうんじゃ・・
首切り落として運ぶよりだいぶハードル低いし」
と思っている

ハードボイルドな世界に住んでらっしゃるのね

臆病なんです

管理がめんどくさいからとネット銀行に全財産いれて
全財産もって歩いてると気がついていない人がたまにいる

闇金ウシジマくんやWorst？だっけの世界観じゃあるまいし一般人がそんな連中に絡まれるのはｗ
今時だと闇バイトくん達が怖いかもな～栃木のごぼう農家の人が狙われたし(´・ω・｀)

>>751
多分この件だと思うけど認証試行であってデータ侵害は今の所確認がないらしいぞいｂ
https://mainichisecu.jp/2026/06/02/dashlane%E5%88%A9%E7%94%A8%E8%80%85%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%83%AD%E3%83%83%E3%82%AF%E7%99%BA%E7%94%9F%E3%80%81%E3%83%96%E3%83%AB%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC/

>>763
ネット銀行じゃなくもネットバンキングで金動かせるから何も変わらんぞ

>>765
攻撃者は20名未満の個人プランユーザーの暗号化された保管庫のコピーをダウンロードすることに成功しました。
https://support.dashlane.com/hc/en-us/articles/36038764990866-Security-advisory-Brute-force-attack-on-Dashlane-user-accounts

英語版の方かー申し訳ない🥴
ん～ただやはり保管庫だけでパスの流出はないらしいですね

>>767
保管庫をコピーされても問題ないだろ。
総当たりされたところで、保管庫に登録されているパスワードを変更する時間は十分にある。

ブルートフォースでロックされたっていうのは問題ないけど保管庫のダウンロードは無条件に問題ないとは言えないんじゃない？
この件はすぐ発覚しててユーザーも少数だから対処できるだろうけど

>>763
あるネット銀行でスマホの端末一つで送金出来てしまうアプリをかなり強く押してきたところがあってスレがメチャクチャ荒れてたわ
「利便性が上がった、これに反発してるのは老害」みたいなのと「スマホなんか使いたくない・スマホで送金しない・スマホ単独で送金出来てしまうのは無理」みたいなのの間でレスバになるしスレは分裂するし酷いもんだった

>>770
こういうインシデントをすぐに検知して、影響範囲を特定して報告してくれるのは、
それで金を取ってる専門サイトだからこそだろうな

保管庫が流出する→流出対象者が保管庫内の登録サイトの個人情報を更新しない
→偶然総当たりでCrackできた犯人がその個人情報を悪用するみたいなパターンは微レ存だとは思うけどあるか？
ん～保管庫の総当たりとか有料AIやスパコンみたいなの欲しいだろうし長時間かけてやる犯罪者なんているの？

>>772
仮想通貨なり証券口座ある人はこういうのに通知用のMailとか登録してるのかな～
それ以外の人でも普通に使用してる人はいるかな？

>>771
う～ん電子通貨(仮想含む)や株ガチ勢とかなら利便性の向上とも言えるが評価が短絡的すぎるかな.....
端末の侵害が起きた時にちと怖いかな =犯罪者の利便性ともいえるし....

>>773
1. LastPassの情報漏洩事件では何が起こったのか？
2022年、攻撃者がLastPassに保存されていた暗号化された保管庫データにアクセスしました。ユーザーがパスワードのローテーションや保管庫のセキュリティ強化を行わなかったため、攻撃者は数年後も脆弱なマスターパスワードを解読し続け、2025年後半にウォレットからの資金流出が発生しました。

https://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement

あ～LastPassのやつがそれか3年くらいで解析できたのか
どんな方式でマスターパス解析したんだろ？後は流出保管庫がマスターパスのみの保護だったのかな？

ここによると>>776の犯罪者はロシア系だとさ
https://jp.beincrypto.com/russian-actors-linked-to-lastpass-crypto-funds-laundering

>>777
LastPassは暗号方式PBKDF2でGPU解析に弱い
流出保管庫はマスターパスワードのみの保護

流出保管庫の総当たりに強いのはキーファイル対応ソフト、 1Password(SecretKey)

結局暗号アルゴリズム自体が強力でもパスワードが弱かったら破られる
一般ユーザーにパスワードを決めさせること自体がリスク

>>775
投資やってる人たちはむしろ反対してましたね、人によりますけど
札束持ち歩かさせれるようなものなので

>>779
既存のクラウド系だと総当たり対策は1Passwordだけが頭1つ抜けてるんですね
BitwardenはマスターパスのみでArgon2idにしてないと総当たりに弱いのか～
Dashlaneはまだまだらしいので1Passいいかもですな

>>780
そうですけどパスワードマイスターみたいな職業でも作るんですか？
というのは冗談としてパスワード作成マネージャとかですかね～
一般層にはパスワードマネージャ自体がまだまだ身近じゃないらしいので～

>>781
スマホはUSのセキュリティサイトも言ってましたがモバイルは紙同然のセキュリティだとか
それで厳重な認証無しの即送金とか頭おかしいとは思いますわ～

オンライン型は1Passwordが一番ええみたいやなー
ただオフライン型のKeePassもかなりええんとちゃう？Secret Keyみたいなのは
キーファイルやYubiKeyを入れればかなり総当たりにも強いぞい
ただ利便性が1Passwordより落ちるだろうけどねー

>>783
だからパスキーでそもそもパスワードを使わせない方向にシフトしてる
パスマネ使えと言って使ってくれるなら最初から困ってないし、パスマネのパスワードだけはパスマネで管理できないですからね

>>770
問題ないというのは語弊があるだろうけど、
クラウドサービスから保管庫をダウンロードされた＝直ちにパスワードがすべて流出したと思ってる層が多い

1Passwordの2022年のインシデントは特殊な事例でいいのかね？
保管庫(Vault)流出+解析成功で資金流出なんてパターンは大分特殊だよね？
PBKDF2とはいえ総当たりも時間かかるでしょ？

AIに聞いてみたらPBKDF2でも弱いパスワードにしてないと実際のCrackはそこそこ難しいみたい
2022年以降の資金流出は弱いパス設定してた人が抜かれたのかな？

1年前「 グーグルが20億ユーザーに警告、『パスワード』ではなく『パスキー』方式に変更を 」
もうパスキーの流れは止められなくて大手企業もその流れてパスキー必須化やパスキー移行を促してる現状で
ヤフーのサービス全般は来年の春からパスキーだけになるから注意と手順を説明しているYoutubeのコメントを見たら
ヤフーだからって叩く日本人は終わってるな

大手の証券サイトでパスキーエラー出まくって問い合わせ殺到してる繋がりませんって見たな
安定してないパスキー使いたがるのなんでなん

X 安定してないパスキー
O 安定してない証券サイト

日本人のIT技術者のレベルが低くてすみません。

>>790
君も十分ヤフーコメント欄の住人ぽい...w
Googleのエンジニアとかはバリバリパスワードマネージャ使うんだろうが
日本のIT企業内でパスワードマネージャ使用者はどれくらいいるんやろ？

>>792
技術者叩きするんじゃなくて多重下請けとか叩きなｗ

>>791
去年不正送金が何件か起きただろ？
当局から対応を求められた時に「パスキーで対策します」って言えば簡単に通るから
言い換えるとパスキーにしないと客のパスワードがpasswordだったとしても
証券会社側が不正送金の責任を追及されかねないから

>>791
上であったように昔のメールのIMAPのように正しく実装しているアプリやサービスが少ないから

>>793
YoutubeのWindowsとLinuxなどの新情報を紹介するチャンネルを見てると
おすすめでスマホの新情報の動画が出てくるからたまに見るんだけど
ヤフーを使っている人への注意喚起動画なのにそこのコメントでヤフーが叩かれてたから書いた

パスワードを123456にしたりやフィッシングに引っかかるユーザーの根絶など無理なので仕方なく介護としてパスキーを導入せざるを得ないというのが実情
どうしてもパスキーがいいんだパスキーは素晴らしいんだとは誰も言ってません

簡易的なパスワードは知らんけどフィッシングは鴨リストなどがあるのかもなー
ただの妄想だけど闇金ウシジマくんとか裏社会系のマンガに出てくる名簿屋みたいなのがいるのかも？
フィッシング向けの名簿がダークウェブとかに売られてるのかもね