探検

パスワード管理ツール Part17

1名無しさん@お腹いっぱい。 (ワッチョイ d1dd-FzYF)
垢版 |
2024/08/24(土) 08:49:39.59ID:NoRxuDa00
!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください


パスワード管理ツール(ソフトウェア)について語るスレです。

前スレ
パスワード管理ツール Part16
https://itest.5ch.net/egg/test/read.cgi/software/1700726576

スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/
https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/
VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured
2026/05/30(土) 21:34:37.44ID:q9xCeNSh0
>>735
確かに端末自体が標的なら護衛や専門家に相談やなw
>>737
解除に必要な情報類が揃ってる可能性が微レ存?
740名無しさん@お腹いっぱい。 警備員[Lv.6][新] (ワッチョイW ab2a-I4oh)
垢版 |
2026/05/30(土) 22:22:21.92ID:gfwYbbKL0
>>738
windows機だとpin設定すれば生体認証なくても使えた記憶
linuxはどうなんだろうね?chromeだとgoogleアカウントに記憶させる形で使えそうだけど
2026/05/30(土) 23:18:58.98ID:H5dR2Oc20
複雑にするほど障害点は増えるし、個人が狙われるより企業側のおもらしのほうが遥かに大規模に起きるんだから
クラウド同期しかインポート/エクスポートの方法がないのも怖い
現状長文パスワードのほうが遥かに取り回しがいいとしか言えないな
2026/05/31(日) 00:38:42.61ID:xah0MLHO0
いまどきパスワードて
冷やかしはよそでやれ
743名無しさん@お腹いっぱい。 警備員[Lv.7][新] (ワッチョイW e62a-Mbjy)
垢版 |
2026/05/31(日) 00:48:12.44ID:1il2yqBk0
使ったことないけどkeepass系で使えるならクラウドに頼らなくても同期は取れるんじゃない?
2026/06/01(月) 10:54:33.04ID:QFvn1yy80
>>702
その条件だと、ID・パスワード・TOTPなどのコードは手入力と考えられるけど、その場合はホモグラフ攻撃とかリアルタイムフィッシング攻撃でやられるんじゃないかな
2026/06/01(月) 16:22:26.61ID:R+/HOyRd0
>>744
いやKeePassなどのローカルやクラウド型は使うんでしょ
ブラウン内製の奴は使わんだけでさ
746名無しさん@お腹いっぱい。 警備員[Lv.13] (ワッチョイW 7ae8-O3nH)
垢版 |
2026/06/01(月) 19:32:23.55ID:fCEzW6RQ0
ブラウンってシェーバー?
2026/06/01(月) 19:45:44.70ID:R+/HOyRd0
ブラウザぁ!!
748名無しさん@お腹いっぱい。 警備員[Lv.0][新芽] (ワッチョイW e654-O3nH)
垢版 |
2026/06/02(火) 12:36:01.62ID:vbhv8yLe0
俺はパナソニック派
2026/06/02(火) 12:54:45.78ID:F+hVUVgm0
僕はマクセルイズミ派
750名無しさん@お腹いっぱい。 警備員[Lv.0][新芽] (JPW 0Hd9-j7XW)
垢版 |
2026/06/02(火) 12:55:19.85ID:HbFrLZymH
結局ジレット
751名無しさん@お腹いっぱい。 警備員[Lv.0][新芽] (ワッチョイW 8eb0-YrhO)
垢版 |
2026/06/03(水) 08:15:45.69ID:7ZEcjGmN0
dashlaneというパスワード管理アプリで数名のユーザーの保管してたパスワードがブルートフォース攻撃で流出したらしいけど
もし自分の身に起こったとしたら怖いな
銀行のパスワードが盗まれたら金も取られちまうんだろうか
2026/06/03(水) 08:26:02.89ID:ZD7m4I1g0
dashlane試したことあるけど使いにくくてすぐやめたわ
2026/06/03(水) 08:53:49.62ID:tknkNDHh0
>>751
今どき、新しい端末からのアクセスでパスワードのみで送金できるところなんてないだろ
2026/06/03(水) 10:03:51.62ID:Al7839cm0
やっぱ生体認証とパスキーが強いわな
物理でやってくる闇バイトが来ない限り
755名無しさん@お腹いっぱい。 警備員[Lv.15] (ワッチョイ 75e4-etCG)
垢版 |
2026/06/03(水) 10:08:19.16ID:PqvL24Q90
マスターパスってどこに保存してる?
sms認証とか、救済措置あるといいよな
keepassだから救済措置がない
756名無しさん@お腹いっぱい。 警備員[Lv.0][新芽] (ワッチョイW e6bf-Mbjy)
垢版 |
2026/06/03(水) 12:37:10.56ID:J66hIyKq0
物理でやってこなくても
自分が物理的に持ち歩いていると怖いわ、パスキーは

パスワードとはまた違ったデメリットがある
757名無しさん@お腹いっぱい。 警備員[Lv.4][新芽] (ワッチョイW 415c-j6Hb)
垢版 |
2026/06/03(水) 14:08:14.45ID:9B5Lj8HP0
>>756
悪い人に指や目玉を切り取られたりが怖いってこと?
758名無しさん@お腹いっぱい。 警備員[Lv.5][新芽] (ワッチョイW e6bf-Mbjy)
垢版 |
2026/06/03(水) 15:00:37.62ID:J66hIyKq0
>>757
そんなところだね

裏路地で刃物突きつけられて
銀行のパスキー入れろって言われたら俺は即入れるよ
2026/06/03(水) 15:23:56.07ID:6YUfm2ol0
スマホぶん盗られて画面見せつけられたら顔認証なら解除されちゃうね
760名無しさん@お腹いっぱい。 警備員[Lv.5][新芽] (ワッチョイW e6bf-Mbjy)
垢版 |
2026/06/03(水) 15:43:16.75ID:J66hIyKq0
そうだね

しかしリアルな話すると
最近まで顔認証の端末を部屋置きっ放し認証用にしていたんだが
最近お安い端末で更新したらパスキーは指紋認証使うようになっていて
「これ俺の指詰めて持ったいったらロック解除できちゃうんじゃ・・
首切り落として運ぶよりだいぶハードル低いし」
と思っている
761名無しさん@お腹いっぱい。 警備員[Lv.5][新] (ワッチョイW 415c-j6Hb)
垢版 |
2026/06/03(水) 16:28:13.10ID:9B5Lj8HP0
ハードボイルドな世界に住んでらっしゃるのね
762名無しさん@お腹いっぱい。 警備員[Lv.7][新] (ワッチョイW e6bf-Mbjy)
垢版 |
2026/06/03(水) 16:50:27.36ID:J66hIyKq0
臆病なんです
2026/06/03(水) 17:00:11.32ID:TjO3x6Cp0
管理がめんどくさいからとネット銀行に全財産いれて
全財産もって歩いてると気がついていない人がたまにいる
2026/06/03(水) 17:12:15.13ID:mA/iNhy50
闇金ウシジマくんやWorst?だっけの世界観じゃあるまいし一般人がそんな連中に絡まれるのはw
今時だと闇バイトくん達が怖いかもな~栃木のごぼう農家の人が狙われたし(´・ω・`)
2026/06/03(水) 17:13:12.16ID:mA/iNhy50
>>751
多分この件だと思うけど認証試行であってデータ侵害は今の所確認がないらしいぞいb
https://mainichisecu.jp/2026/06/02/dashlane%E5%88%A9%E7%94%A8%E8%80%85%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%83%AD%E3%83%83%E3%82%AF%E7%99%BA%E7%94%9F%E3%80%81%E3%83%96%E3%83%AB%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC/
2026/06/03(水) 17:25:10.46ID:KX992YvK0
>>763
ネット銀行じゃなくもネットバンキングで金動かせるから何も変わらんぞ
2026/06/03(水) 17:30:04.91ID:sRNora5H0
>>765
攻撃者は20名未満の個人プランユーザーの暗号化された保管庫のコピーをダウンロードすることに成功しました。
https://support.dashlane.com/hc/en-us/articles/36038764990866-Security-advisory-Brute-force-attack-on-Dashlane-user-accounts
2026/06/03(水) 17:33:33.52ID:mA/iNhy50
英語版の方かー申し訳ない🥴
ん~ただやはり保管庫だけでパスの流出はないらしいですね
2026/06/03(水) 20:41:31.30ID:FHbtuLxc0
>>767
保管庫をコピーされても問題ないだろ。
総当たりされたところで、保管庫に登録されているパスワードを変更する時間は十分にある。
2026/06/03(水) 21:06:48.89ID:wztpr0YDH
ブルートフォースでロックされたっていうのは問題ないけど保管庫のダウンロードは無条件に問題ないとは言えないんじゃない?
この件はすぐ発覚しててユーザーも少数だから対処できるだろうけど
771名無しさん@お腹いっぱい。 警備員[Lv.8][新] (ワッチョイW e6bf-Mbjy)
垢版 |
2026/06/03(水) 21:33:46.21ID:J66hIyKq0
>>763
あるネット銀行でスマホの端末一つで送金出来てしまうアプリをかなり強く押してきたところがあってスレがメチャクチャ荒れてたわ
「利便性が上がった、これに反発してるのは老害」みたいなのと「スマホなんか使いたくない・スマホで送金しない・スマホ単独で送金出来てしまうのは無理」みたいなのの間でレスバになるしスレは分裂するし酷いもんだった
2026/06/03(水) 21:57:19.37ID:LMA4D8F+0
>>770
こういうインシデントをすぐに検知して、影響範囲を特定して報告してくれるのは、
それで金を取ってる専門サイトだからこそだろうな
2026/06/03(水) 22:22:07.07ID:Rt201loK0
保管庫が流出する→流出対象者が保管庫内の登録サイトの個人情報を更新しない
→偶然総当たりでCrackできた犯人がその個人情報を悪用するみたいなパターンは微レ存だとは思うけどあるか?
ん~保管庫の総当たりとか有料AIやスパコンみたいなの欲しいだろうし長時間かけてやる犯罪者なんているの?
2026/06/03(水) 22:23:48.52ID:Rt201loK0
>>772
仮想通貨なり証券口座ある人はこういうのに通知用のMailとか登録してるのかな~
それ以外の人でも普通に使用してる人はいるかな?
2026/06/03(水) 22:28:21.22ID:2VptsG6M0
>>771
う~ん電子通貨(仮想含む)や株ガチ勢とかなら利便性の向上とも言えるが評価が短絡的すぎるかな.....
端末の侵害が起きた時にちと怖いかな =犯罪者の利便性ともいえるし....
2026/06/03(水) 22:42:40.57ID:sRNora5H0
>>773
1. LastPassの情報漏洩事件では何が起こったのか?
2022年、攻撃者がLastPassに保存されていた暗号化された保管庫データにアクセスしました。ユーザーがパスワードのローテーションや保管庫のセキュリティ強化を行わなかったため、攻撃者は数年後も脆弱なマスターパスワードを解読し続け、2025年後半にウォレットからの資金流出が発生しました。

https://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement
2026/06/03(水) 22:44:30.40ID:2VptsG6M0
あ~LastPassのやつがそれか3年くらいで解析できたのか
どんな方式でマスターパス解析したんだろ?後は流出保管庫がマスターパスのみの保護だったのかな?
2026/06/03(水) 23:00:43.83ID:AzKzMbd30
ここによると>>776の犯罪者はロシア系だとさ
https://jp.beincrypto.com/russian-actors-linked-to-lastpass-crypto-funds-laundering
2026/06/03(水) 23:27:36.02ID:sRNora5H0
>>777
LastPassは暗号方式PBKDF2でGPU解析に弱い
流出保管庫はマスターパスワードのみの保護

流出保管庫の総当たりに強いのはキーファイル対応ソフト、 1Password(SecretKey)
2026/06/03(水) 23:27:40.00ID:wztpr0YDH
結局暗号アルゴリズム自体が強力でもパスワードが弱かったら破られる
一般ユーザーにパスワードを決めさせること自体がリスク
781名無しさん@お腹いっぱい。 警備員[Lv.9][新] (ワッチョイW e6bf-Mbjy)
垢版 |
2026/06/03(水) 23:40:51.61ID:J66hIyKq0
>>775
投資やってる人たちはむしろ反対してましたね、人によりますけど
札束持ち歩かさせれるようなものなので
2026/06/04(木) 00:00:32.87ID:uftBhe/C0
>>779
既存のクラウド系だと総当たり対策は1Passwordだけが頭1つ抜けてるんですね
BitwardenはマスターパスのみでArgon2idにしてないと総当たりに弱いのか~
Dashlaneはまだまだらしいので1Passいいかもですな
2026/06/04(木) 00:01:50.94ID:uftBhe/C0
>>780
そうですけどパスワードマイスターみたいな職業でも作るんですか?
というのは冗談としてパスワード作成マネージャとかですかね~
一般層にはパスワードマネージャ自体がまだまだ身近じゃないらしいので~
2026/06/04(木) 00:03:21.40ID:uftBhe/C0
>>781
スマホはUSのセキュリティサイトも言ってましたがモバイルは紙同然のセキュリティだとか
それで厳重な認証無しの即送金とか頭おかしいとは思いますわ~
2026/06/04(木) 00:13:35.38ID:xS+0YHep0
オンライン型は1Passwordが一番ええみたいやなー
ただオフライン型のKeePassもかなりええんとちゃう?Secret Keyみたいなのは
キーファイルやYubiKeyを入れればかなり総当たりにも強いぞい
ただ利便性が1Passwordより落ちるだろうけどねー
2026/06/04(木) 00:21:31.38ID:9E/BzEqRH
>>783
だからパスキーでそもそもパスワードを使わせない方向にシフトしてる
パスマネ使えと言って使ってくれるなら最初から困ってないし、パスマネのパスワードだけはパスマネで管理できないですからね
2026/06/04(木) 09:06:40.36ID:wx/lgw0x0
>>770
問題ないというのは語弊があるだろうけど、
クラウドサービスから保管庫をダウンロードされた=直ちにパスワードがすべて流出したと思ってる層が多い
2026/06/04(木) 09:15:57.81ID:IKjvJWaw0
1Passwordの2022年のインシデントは特殊な事例でいいのかね?
保管庫(Vault)流出+解析成功で資金流出なんてパターンは大分特殊だよね?
PBKDF2とはいえ総当たりも時間かかるでしょ?
2026/06/04(木) 09:26:29.44ID:ql8GhkH00
AIに聞いてみたらPBKDF2でも弱いパスワードにしてないと実際のCrackはそこそこ難しいみたい
2022年以降の資金流出は弱いパス設定してた人が抜かれたのかな?
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況