パスワード管理ツール Part17

dashlaneというパスワード管理アプリで数名のユーザーの保管してたパスワードがブルートフォース攻撃で流出したらしいけど
もし自分の身に起こったとしたら怖いな
銀行のパスワードが盗まれたら金も取られちまうんだろうか

dashlane試したことあるけど使いにくくてすぐやめたわ

>>751
今どき、新しい端末からのアクセスでパスワードのみで送金できるところなんてないだろ

やっぱ生体認証とパスキーが強いわな
物理でやってくる闇バイトが来ない限り

マスターパスってどこに保存してる？
sms認証とか、救済措置あるといいよな
keepassだから救済措置がない

物理でやってこなくても
自分が物理的に持ち歩いていると怖いわ、パスキーは

パスワードとはまた違ったデメリットがある

>>756
悪い人に指や目玉を切り取られたりが怖いってこと？

>>757
そんなところだね

裏路地で刃物突きつけられて
銀行のパスキー入れろって言われたら俺は即入れるよ

スマホぶん盗られて画面見せつけられたら顔認証なら解除されちゃうね

そうだね

しかしリアルな話すると
最近まで顔認証の端末を部屋置きっ放し認証用にしていたんだが
最近お安い端末で更新したらパスキーは指紋認証使うようになっていて
「これ俺の指詰めて持ったいったらロック解除できちゃうんじゃ・・
首切り落として運ぶよりだいぶハードル低いし」
と思っている

ハードボイルドな世界に住んでらっしゃるのね

臆病なんです

管理がめんどくさいからとネット銀行に全財産いれて
全財産もって歩いてると気がついていない人がたまにいる

闇金ウシジマくんやWorst？だっけの世界観じゃあるまいし一般人がそんな連中に絡まれるのはｗ
今時だと闇バイトくん達が怖いかもな～栃木のごぼう農家の人が狙われたし(´・ω・｀)

>>751
多分この件だと思うけど認証試行であってデータ侵害は今の所確認がないらしいぞいｂ
https://mainichisecu.jp/2026/06/02/dashlane%E5%88%A9%E7%94%A8%E8%80%85%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%83%AD%E3%83%83%E3%82%AF%E7%99%BA%E7%94%9F%E3%80%81%E3%83%96%E3%83%AB%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC/

>>763
ネット銀行じゃなくもネットバンキングで金動かせるから何も変わらんぞ

>>765
攻撃者は20名未満の個人プランユーザーの暗号化された保管庫のコピーをダウンロードすることに成功しました。
https://support.dashlane.com/hc/en-us/articles/36038764990866-Security-advisory-Brute-force-attack-on-Dashlane-user-accounts

英語版の方かー申し訳ない🥴
ん～ただやはり保管庫だけでパスの流出はないらしいですね

>>767
保管庫をコピーされても問題ないだろ。
総当たりされたところで、保管庫に登録されているパスワードを変更する時間は十分にある。

ブルートフォースでロックされたっていうのは問題ないけど保管庫のダウンロードは無条件に問題ないとは言えないんじゃない？
この件はすぐ発覚しててユーザーも少数だから対処できるだろうけど

>>763
あるネット銀行でスマホの端末一つで送金出来てしまうアプリをかなり強く押してきたところがあってスレがメチャクチャ荒れてたわ
「利便性が上がった、これに反発してるのは老害」みたいなのと「スマホなんか使いたくない・スマホで送金しない・スマホ単独で送金出来てしまうのは無理」みたいなのの間でレスバになるしスレは分裂するし酷いもんだった

>>770
こういうインシデントをすぐに検知して、影響範囲を特定して報告してくれるのは、
それで金を取ってる専門サイトだからこそだろうな

保管庫が流出する→流出対象者が保管庫内の登録サイトの個人情報を更新しない
→偶然総当たりでCrackできた犯人がその個人情報を悪用するみたいなパターンは微レ存だとは思うけどあるか？
ん～保管庫の総当たりとか有料AIやスパコンみたいなの欲しいだろうし長時間かけてやる犯罪者なんているの？

>>772
仮想通貨なり証券口座ある人はこういうのに通知用のMailとか登録してるのかな～
それ以外の人でも普通に使用してる人はいるかな？

>>771
う～ん電子通貨(仮想含む)や株ガチ勢とかなら利便性の向上とも言えるが評価が短絡的すぎるかな.....
端末の侵害が起きた時にちと怖いかな =犯罪者の利便性ともいえるし....

>>773
1. LastPassの情報漏洩事件では何が起こったのか？
2022年、攻撃者がLastPassに保存されていた暗号化された保管庫データにアクセスしました。ユーザーがパスワードのローテーションや保管庫のセキュリティ強化を行わなかったため、攻撃者は数年後も脆弱なマスターパスワードを解読し続け、2025年後半にウォレットからの資金流出が発生しました。

https://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement

あ～LastPassのやつがそれか3年くらいで解析できたのか
どんな方式でマスターパス解析したんだろ？後は流出保管庫がマスターパスのみの保護だったのかな？

ここによると>>776の犯罪者はロシア系だとさ
https://jp.beincrypto.com/russian-actors-linked-to-lastpass-crypto-funds-laundering

>>777
LastPassは暗号方式PBKDF2でGPU解析に弱い
流出保管庫はマスターパスワードのみの保護

流出保管庫の総当たりに強いのはキーファイル対応ソフト、 1Password(SecretKey)

結局暗号アルゴリズム自体が強力でもパスワードが弱かったら破られる
一般ユーザーにパスワードを決めさせること自体がリスク

>>775
投資やってる人たちはむしろ反対してましたね、人によりますけど
札束持ち歩かさせれるようなものなので

>>779
既存のクラウド系だと総当たり対策は1Passwordだけが頭1つ抜けてるんですね
BitwardenはマスターパスのみでArgon2idにしてないと総当たりに弱いのか～
Dashlaneはまだまだらしいので1Passいいかもですな

>>780
そうですけどパスワードマイスターみたいな職業でも作るんですか？
というのは冗談としてパスワード作成マネージャとかですかね～
一般層にはパスワードマネージャ自体がまだまだ身近じゃないらしいので～

>>781
スマホはUSのセキュリティサイトも言ってましたがモバイルは紙同然のセキュリティだとか
それで厳重な認証無しの即送金とか頭おかしいとは思いますわ～

オンライン型は1Passwordが一番ええみたいやなー
ただオフライン型のKeePassもかなりええんとちゃう？Secret Keyみたいなのは
キーファイルやYubiKeyを入れればかなり総当たりにも強いぞい
ただ利便性が1Passwordより落ちるだろうけどねー

>>783
だからパスキーでそもそもパスワードを使わせない方向にシフトしてる
パスマネ使えと言って使ってくれるなら最初から困ってないし、パスマネのパスワードだけはパスマネで管理できないですからね

>>770
問題ないというのは語弊があるだろうけど、
クラウドサービスから保管庫をダウンロードされた＝直ちにパスワードがすべて流出したと思ってる層が多い

1Passwordの2022年のインシデントは特殊な事例でいいのかね？
保管庫(Vault)流出+解析成功で資金流出なんてパターンは大分特殊だよね？
PBKDF2とはいえ総当たりも時間かかるでしょ？

AIに聞いてみたらPBKDF2でも弱いパスワードにしてないと実際のCrackはそこそこ難しいみたい
2022年以降の資金流出は弱いパス設定してた人が抜かれたのかな？