パスワード管理ツール Part17

!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください


パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part16
https://itest.5ch.net/egg/test/read.cgi/software/1700726576

スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/
https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured

英語版の方かー申し訳ない🥴
ん～ただやはり保管庫だけでパスの流出はないらしいですね

>>767
保管庫をコピーされても問題ないだろ。
総当たりされたところで、保管庫に登録されているパスワードを変更する時間は十分にある。

ブルートフォースでロックされたっていうのは問題ないけど保管庫のダウンロードは無条件に問題ないとは言えないんじゃない？
この件はすぐ発覚しててユーザーも少数だから対処できるだろうけど

>>763
あるネット銀行でスマホの端末一つで送金出来てしまうアプリをかなり強く押してきたところがあってスレがメチャクチャ荒れてたわ
「利便性が上がった、これに反発してるのは老害」みたいなのと「スマホなんか使いたくない・スマホで送金しない・スマホ単独で送金出来てしまうのは無理」みたいなのの間でレスバになるしスレは分裂するし酷いもんだった

>>770
こういうインシデントをすぐに検知して、影響範囲を特定して報告してくれるのは、
それで金を取ってる専門サイトだからこそだろうな

保管庫が流出する→流出対象者が保管庫内の登録サイトの個人情報を更新しない
→偶然総当たりでCrackできた犯人がその個人情報を悪用するみたいなパターンは微レ存だとは思うけどあるか？
ん～保管庫の総当たりとか有料AIやスパコンみたいなの欲しいだろうし長時間かけてやる犯罪者なんているの？

>>772
仮想通貨なり証券口座ある人はこういうのに通知用のMailとか登録してるのかな～
それ以外の人でも普通に使用してる人はいるかな？

>>771
う～ん電子通貨(仮想含む)や株ガチ勢とかなら利便性の向上とも言えるが評価が短絡的すぎるかな.....
端末の侵害が起きた時にちと怖いかな =犯罪者の利便性ともいえるし....

>>773
1. LastPassの情報漏洩事件では何が起こったのか？
2022年、攻撃者がLastPassに保存されていた暗号化された保管庫データにアクセスしました。ユーザーがパスワードのローテーションや保管庫のセキュリティ強化を行わなかったため、攻撃者は数年後も脆弱なマスターパスワードを解読し続け、2025年後半にウォレットからの資金流出が発生しました。

https://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement

あ～LastPassのやつがそれか3年くらいで解析できたのか
どんな方式でマスターパス解析したんだろ？後は流出保管庫がマスターパスのみの保護だったのかな？

ここによると>>776の犯罪者はロシア系だとさ
https://jp.beincrypto.com/russian-actors-linked-to-lastpass-crypto-funds-laundering

>>777
LastPassは暗号方式PBKDF2でGPU解析に弱い
流出保管庫はマスターパスワードのみの保護

流出保管庫の総当たりに強いのはキーファイル対応ソフト、 1Password(SecretKey)

結局暗号アルゴリズム自体が強力でもパスワードが弱かったら破られる
一般ユーザーにパスワードを決めさせること自体がリスク

>>775
投資やってる人たちはむしろ反対してましたね、人によりますけど
札束持ち歩かさせれるようなものなので

>>779
既存のクラウド系だと総当たり対策は1Passwordだけが頭1つ抜けてるんですね
BitwardenはマスターパスのみでArgon2idにしてないと総当たりに弱いのか～
Dashlaneはまだまだらしいので1Passいいかもですな

>>780
そうですけどパスワードマイスターみたいな職業でも作るんですか？
というのは冗談としてパスワード作成マネージャとかですかね～
一般層にはパスワードマネージャ自体がまだまだ身近じゃないらしいので～

>>781
スマホはUSのセキュリティサイトも言ってましたがモバイルは紙同然のセキュリティだとか
それで厳重な認証無しの即送金とか頭おかしいとは思いますわ～

オンライン型は1Passwordが一番ええみたいやなー
ただオフライン型のKeePassもかなりええんとちゃう？Secret Keyみたいなのは
キーファイルやYubiKeyを入れればかなり総当たりにも強いぞい
ただ利便性が1Passwordより落ちるだろうけどねー

>>783
だからパスキーでそもそもパスワードを使わせない方向にシフトしてる
パスマネ使えと言って使ってくれるなら最初から困ってないし、パスマネのパスワードだけはパスマネで管理できないですからね

>>770
問題ないというのは語弊があるだろうけど、
クラウドサービスから保管庫をダウンロードされた＝直ちにパスワードがすべて流出したと思ってる層が多い

1Passwordの2022年のインシデントは特殊な事例でいいのかね？
保管庫(Vault)流出+解析成功で資金流出なんてパターンは大分特殊だよね？
PBKDF2とはいえ総当たりも時間かかるでしょ？

AIに聞いてみたらPBKDF2でも弱いパスワードにしてないと実際のCrackはそこそこ難しいみたい
2022年以降の資金流出は弱いパス設定してた人が抜かれたのかな？

1年前「 グーグルが20億ユーザーに警告、『パスワード』ではなく『パスキー』方式に変更を 」
もうパスキーの流れは止められなくて大手企業もその流れてパスキー必須化やパスキー移行を促してる現状で
ヤフーのサービス全般は来年の春からパスキーだけになるから注意と手順を説明しているYoutubeのコメントを見たら
ヤフーだからって叩く日本人は終わってるな

大手の証券サイトでパスキーエラー出まくって問い合わせ殺到してる繋がりませんって見たな
安定してないパスキー使いたがるのなんでなん

X 安定してないパスキー
O 安定してない証券サイト

日本人のIT技術者のレベルが低くてすみません。

>>790
君も十分ヤフーコメント欄の住人ぽい...w
Googleのエンジニアとかはバリバリパスワードマネージャ使うんだろうが
日本のIT企業内でパスワードマネージャ使用者はどれくらいいるんやろ？

>>792
技術者叩きするんじゃなくて多重下請けとか叩きなｗ

>>791
去年不正送金が何件か起きただろ？
当局から対応を求められた時に「パスキーで対策します」って言えば簡単に通るから
言い換えるとパスキーにしないと客のパスワードがpasswordだったとしても
証券会社側が不正送金の責任を追及されかねないから

>>791
上であったように昔のメールのIMAPのように正しく実装しているアプリやサービスが少ないから

>>793
YoutubeのWindowsとLinuxなどの新情報を紹介するチャンネルを見てると
おすすめでスマホの新情報の動画が出てくるからたまに見るんだけど
ヤフーを使っている人への注意喚起動画なのにそこのコメントでヤフーが叩かれてたから書いた

パスワードを123456にしたりやフィッシングに引っかかるユーザーの根絶など無理なので仕方なく介護としてパスキーを導入せざるを得ないというのが実情
どうしてもパスキーがいいんだパスキーは素晴らしいんだとは誰も言ってません

簡易的なパスワードは知らんけどフィッシングは鴨リストなどがあるのかもなー
ただの妄想だけど闇金ウシジマくんとか裏社会系のマンガに出てくる名簿屋みたいなのがいるのかも？
フィッシング向けの名簿がダークウェブとかに売られてるのかもね

実情はわかるけど、パスキーをどうしても入れたい人や素晴らしいと言ってる人はたくさんいるよ

パスキー（Passkey）の導入は、オンラインセキュリティにおいて「フィッシング詐欺」という最大の弱点をほぼ完全に封じ込めるため、非常に劇的な効果を上げています。

1. Google：フィッシング被害が「ゼロ」に
最も有名な例はGoogleです。彼らは全社員（10万人以上）に対して、パスキーの基盤技術である「FIDOセキュリティキー」の使用を義務付けました。
・導入前の状況: 社員を狙った高度なフィッシング攻撃が絶えませんでした。
・導入後の結果: 物理キーによる認証を必須にして以来、全社員においてフィッシングによるアカウント乗っ取り被害が「0件」になったと報告されています。
・一般ユーザーへの展開: 2023年から一般ユーザーにもパスキーを導入した結果、パスワード認証に比べてログイン成功率が4倍ログイン速度が2倍向上しました。

2. メルカリ（Mercari）：不正ログインの劇的減少
・課題: SMS認証を突破する「フィッシングサイト」や「SIMスワップ」による不正ログインが課題でした。
・対策: 2023年からパスキーを導入。
・効果: パスキーを利用しているユーザーにおいて、フィッシングに起因する不正ログイン被害が実質的に発生しなくなったと報告されています。また、SMSが届かないといったトラブルも減り、ユーザー体験も向上しました。

なんでみんなそんなにAIを盲信してるん？
今のAIなんて情報の入力と欲しい出力(それも酷いとネットソースレベル)が出るように繰り返し学習して、確実性はないけどそれっぽい答えを出すだけだぞ
開発会社は値段を上げる推論型とか格好つけたこと言い始めているけど理屈的には奴らは推論なんかできないぞ

それはそうで、AIの答えはいっそう批判的に読むべき
Googleなんか物理キーの話じゃん

メルカリのパスキー登録しようとしたけど無理だったわ
アップルキーチェーンとか出てきて機種変のとき絶対トラブると思った
Googleアカウントに紐つけるならともかくApple製品にしか使えないアップル系パス管理はやべえ

Windowsでも使えたような気がする

ttps://www.fsa.go.jp/ordinary/chuui/chuui_phishing/20260608.pdf
そりゃパスキーのせいで5000億円奪い取るチャンスがなくなるんだから必死よ
パスキー使うな工作し続けないといかん

Googleアカウント紐付けもアカウントが誤BANされたらおしまい🤭

>>806
去年の春頃は本当に震えてた

100-150アカくらいしか監視してなかったと思うけど
Xで3人やられててた、3人とも実害が出る前に気づいて止めてたけど

全部電話注文に切り替えてた人もいたなぁ・・

ただAIにまとめさせただけの文章見ただけでいきなり盲信とか言い出す方がAIアレルギー極まってない？
Googleは物理キーっていうのもパスキーの仕組み自体は変わらんしスマホもある意味物理キーみたいなもん

パスキーを一般人にもわかりやすく説明するの難しいな
同じ仕組みの認証システムがこの世に存在してないから例え話にしようがない
Doctor Strange in the Multiverse of Madnessで例えたらかなり実態に近い説明ができるけど、ドクター・ストレンジの説明から始めないといけないから一般向けじゃない

「ただAIにまとめさせただけ」がいかに危険なことか
まとめというのは取捨選択に判断を要する高等技術かつ誘導の手段

AI自体には意味があるけど結果を貼り付けるのは意味がない
どうせ自分で確認が必要だし
wikiコピペ方がよっぽど意味あるわ

まとめた存在が違うだけでwikiコピペとAI貼り付け何が違うのって感じだし、Googleは物理キー(だから普通のパスキーとは違う)みたいな反応してる方がよっぽどヤバい

信頼性が全然違うぞ
wikiもたまに間違えているけど

そうやって信じるか信じないか基準だからAIまとめに対して具体的な指摘もないまま拒否しちゃうし、パスキーに関しても規格が統一されてないだとか安定してないだとか間違ったことを言っちゃうんだよ
これじゃAI使ってなくても悲惨というかAI丸投げよりひどい

信頼性は大切だろ?
おれもAIは私用でも仕事でも便利に使っているけど(仕事は会社の都合copilotだけど)、仕事のSE系については上陸から下流にまでは嘘が多すぎてかえって疲れる
会議の要約とかは事務処理については本当に優秀なんだけどね
数十分かかった議事録が勝手に出来て微修正をするだけですむのは本当に楽

でもシステム、プログラミングについては検索したときにトップにそれっぽく書かれるけど試してみたらはい嘘でした～が多すぎ
バイブコーディングまで行かなくても平気で変なことするし
謎のIT系会社がよく作る「分かりましたか?w」並みに嘘つき
というか、そういうのから学習しているのかもね

後出しで悪いけどAI自体は嫌いじゃないよ
ただ盲信している人がIT業界でも多くてうんざりして苛立っちゃった
情報工学系に行けば学卒レベルでも分かることに騙されている人多すぎて
かえって仕事を増やすし
ごめんね

AI「パスキー（Passkey）の導入は、オンラインセキュリティにおいて「フィッシング詐欺」という最大の弱点をほぼ完全に封じ込める」

AIを盲信するな。信頼性ゼロ！！！ぎゃおおおん

ぎょおおん

おまいらにとっては常識だろうけど
enpass入っている環境でパスキーを登録しようとしたら
windows標準のパスキー登録画面の前に
enpassへの登録画面が出てきた
こういう挙動するのかー、と思ったわ

ENPASS使ってるけどパスキー登録できるの知らんかった

みんなはパスワードマネージャーのマスターパスワード問題はどうしてる?
Googleアカウントも似た問題があったけどサブスマホを買ったら解決した

それは解決というか先延ばしでは？ｗ

一つくらいは覚えておけばヨシ
勿論簡単な物にしろと言うわけではなく

>>823
サブスマホをどう使っているのかわからないけど、
マスターパスワードのど忘れとサブスマホの文鎮化が重なったら終わりでは？

パスキーの話題が続いてるんでそろそろ移行見据えてメルカリでテストしたけど、iOSアプリからkeepassiumにパスキー登録→データベースクラウド同期→PCのkeepassでログインとあっさりいけたわ
その後YahooでPC登録→スマホログインもできるの確認したしこれで今までと同じ使い勝手でいつでも移行できる

>>825
再設定用のメールアドレス
再設定用の電話番号
1回限りのログインコードを発行して保存

設定しないとグーグルから早く設定しろと催促されるで

GoogleはTOTP設定しておくだけでバックアップコードを発行できるようになる
TOTP設定後にバックアップコード発行しようとしても電話番号も設定しろって言われるけど、一回セキュリティ管理画面に戻って、またバックアップコード発行画面に入ると電話番号スキップできる
スマホにパスキー登録したがスマホ壊れたって場合でも、そのバックアップコードがあれば10回はログイン試行チャンスができる
Appleも同じじゃなかろうか
GoogleやAppleアカウントがパスキーのマスターキーになる仕組みは正直怖いが、これによって他社サービスはバックアップコードなどの仕組みを用意しないで済むようになってる
マスターキーさえ復元できれば他社サービスのパスキーも復元できるから

そんなにアカウント保存が怖いならkeepass使おう

デイトレーダーワイは証券会社の推奨条件を満たすために仕方がなくアカウントに保存している
大体googleかappleのアカウントに保存しろって書いてあるんだよなぁ

>>830
まぁその二社がスマホ会の頭取だからなぁ

GoogleとAppleにベンダーロックインされている皆さん🤭

>>831
そうなんだよなぁ

推奨環境か外れていても動く場合もあるんだが
何かあった時に怖いので極力合わせている

スマホ会なんちゅー会は知らないです

protonのパスマネ使ってる人いたら感想教えて

>>835
数か月前試用したが
カスタムフィールド自動入力非対応で買うのやめた
https://www.reddit.com/r/ProtonPass/comments/1qvgs6y/protonpass_doesnt_recognize_additional_fields/

>>836
ありがとう
そこがないのは痛いな

自動入力使ったことないな
フィッシングサイト避けるためには設定したほうがいいのだろうか

>>838
コピペして入力してるってこと？
自動で入力までいかなくてもドメイン判定でパス表示はしたほうがいいかも
アルファベットの羅列は目視じゃ見分けにくい

PC windows スマホ Androidでどちらも頻繁に使う環境で、ずっとkeepass系を使っていました
スマホアプリにも自動入力できるのでprotonpassにも使い始めているのですが、入力フィールドのカスタマイズ性が低い、pcのときの自動入力ができないなど細かい点が不便です
PC、スマホアプリ共に自動入力可能なものってありますか？

>>840
PC: KeePassXC
Android: KeePassDX

KeePassXC用のブラウザ拡張機能をFirefox等に導入
Download – KeePassXC https://keepassxc.org/download/#browser

Androidの設定で自動入力プロバイダとしてKeePassDXを指定

こうすればどちらも自動入力されるはず

>>840
有料 1Password / Enpass
無料 Bitwarden / KeePass系

ProtonPass
Windowsアプリもブラウザ拡張もあるじゃん
自動入力出来るでしょ？
https://proton.me/ja/pass/download/windows

それが入寮欄の認識率が結構違うらしい

ProtonPass Windows Chromeアドオン
ログインで保存画面出ない、保存でIDかパスワード空になるサイト

三菱UFJ銀行
楽天銀行
auじぶん銀行
三井住友信託銀行
MyJCB等

手動設定は不可

おまいら銀行も保存してんのか

俺は怖くて紙に書いているわ
まぁ紙の方がフィッシングに弱いという考え方もあるのはわかっているんだが
銀行はかなり抵抗がある、俺は

銀行は気分的に無理だな
ましてchromeのアドオンとか・・・・ありえない
keepassなどに保存するにしても名称を銀行などにしないで
またく無関係なものにするし、場合によってはパスワードも分割したり
一部まったく関係ないファイルのコピペにしたりいろいろ足掻くと思う

>>841
>>842
ありがとうございます
keepass以外を初めて触ったのですが、bitwarden(pc版)はカスタムフィールドの横にボタンがあって視覚的に分かりやすくコピーできるのがいいですね
keepassだとアイテム上で右クリック→他のデータ→〇〇をコピーとめんどくさいかつ、フィールドの内容が見えないので不便だったと気付かされました
検索の弱さ、ソート不可、一括操作の弱さなど細かいところはkeepassが強いのでしばらく並行して使ってみたいと思います

keepassって種類があって公式以外のほうがかなり便利じゃなかったっけ？

PCはよほどのこだわりがない限りはKeePassXCがいいかな
わざわざ拡張機能入れなくても必要なことは一通りできる

edgeでkeepassxc使ってると
ブラウザ側にアドオン入れていても
ブラウザ側で新規パスワードを入力した際に
保存しますか？的なダイアログが出ないんだけど
あれは仕様？おまかん？結構不便

用途別にブラウザを使い分けている俺

>>846
銀行こそ自動入力に頼った方が安全だろ
絶対に偽サイトに行くことはないと自負しているなら別だけど

そんな心配ならセルフホストしろよ

>>851
今日はどんなブラ使っているの？

>>854
mae2c

パスワード自動生成にしてると、本当に使えるパスワードを作る力とか、自分を守ってくれることに対する感謝とか、ずっと使い続ける愛情みたいなのが無くなっていく気がする

>>856
KeePassXCもKeePassDXもGPLの自由ソフトウェアなので愛せる

商店街の外れに「手作りパスワードの店」はあった。店主は客の思い出や願いを聞き、一文字ずつ編み込む。忘れられない秘密ほど破られにくい、と彼は静かに微笑んだ。

無料版入れていた頃からの流れでロボフォームにしてる

>>859
満足してるならいいけどカスタム入力欄あると段違いに便利だぞ
どうせそ課金するなら同価格で色々ある

オフラインで通信しないのがいいってのならまずはXC
それ使っててやっぱりネットでも保存して利便性をもっと高めたいなと思ったら
Bitwardenとか無料で試せばいいんじゃね？

ワイはDBだけ外部非公開のNASに入れて
LAN経由で同期とってるわ
キーファイルはローカルに置いている

>>860
ロボフォーム
UIが古いだけで高機能、カスタム入力欄ある

詳細はしらんけどBitwardenちょっと前にやられてなかったっけ？

脆弱性はあったと思うけどやられたとかあったか？

利用率高くて脆弱性一度もないのとかあるの？

>>866
さすがに脆弱性0はどの既存のPWマネにもないんじゃない？
大規模流出やハッキング事件がないとかならありそう？

とりま結構前のレスで言われてたけど設計上Bitwardenの金庫は総当たりに弱いね
1Pass>>KeePass>>>Bitwardenみたいな感じだとさ