◎正当な理由による書き込みの削除について: 生島英之とみられる方へ:
パスワード管理ツール Part17 ->画像>1枚
動画、画像抽出 ||
この掲示板へ
類似スレ
掲示板一覧 人気スレ 動画人気順
このスレへの固定リンク: http://5chb.net/r/software/1724456979/
ヒント:5chスレのurlに http://xxxx.5chb.net/xxxx のようにbを入れるだけでここでスレ保存、閲覧できます。
!extend:checked:vvvvv:1000:512:donguri=3/1
!extend:checked:vvvvv:1000:512:donguri=3/1
次スレを建てる場合は上記のコマンドをスレ立て時にコピペし3行にしてください
パスワード管理ツール(ソフトウェア)について語るスレです。
前スレ
パスワード管理ツール Part16
http://2chb.net/r/software/1700726576 スクリプト対策のために、どんぐりシステムを導入しています。
どんぐりがわからない方は、次のページを参照してください。
https://nanjya.net/donguri/ https://megalodon.jp/2024-0804-1031-16/https://nanjya.net:443/donguri/
VIPQ2_EXTDAT: checked:vvvvv:1000:512:donguri=3/1: EXT was configured
>>1 前スレで勉強になったレス
294 名無しさん@お腹いっぱい。 sage 2024/04/06(土) 21:56:31.33 ID:9I08FCKc0
パスワード管理
有料
1Password
無料
Bitwarden / KeePass系
無料TOTP専用アプリ
2FAS (Android / iOS)
Aegis (Android)
Ente Auth (Android / iOS / Linux / macOS / Windows)
Zoho OneAuth (Android / iOS
/ watchOS / macOS / Windows)
パスワードなんか使うのやめてパスキー使いなよ。ログイン時に毎回パスワード送信するなんてセキュリティ的に大問題だし、時代錯誤も甚だしいよ
パスワードでサインインするのはパスキーが使えない非常時や移行時だけにすべき
>>6 パスキー未対応のサイトのほうが多いのにそれ言うの
Googleとかgithubのアカウントでソーシャルログインできるサイトは多いから実質的にパスキー使えるサイトは多いかもしれない
>>6 サーバー側が公開鍵を漏洩しても、直ちには被害が起きないというのも大きいね
>>1 乙。
パスキー、デバイス紛失した時はどうなっちゃうのん。
その辺り良く判らなくて利用に踏み切れない。(情弱感
パスキーはbluetooth対応してるやつがいいけど種類がないし高いんだよな
あってもfido2非対応とかだし
keepassxからLight FXへのotp自動入力が昨日から出来なくなったのだけど、解決方法分かる人おりますか?
>>15 SETTING.TXTのBBS_ACORNのことなら一度も設定されていないと思うけど
そろそろパスワード管理ソフトを使おうと思うけど何を使っていいものやらよく分からん
WindowsとiPhoneで同期できること、登録数は無制限、
無料で利用可能(サブスク期限切れなどでパスワードを人質に取られない)、
パスワードだけでなくメモ単体も保管できればいい(必須ではない)、
Webページ等のフォームへの自動入力はなくてよい、動作が安定している
という要件で探すと、ID Manager+PManagerでXMLファイルを扱うのが
一番いいのかと思うけど一番なのかは自信がない
>>17 定番のKeePass系おすすめ
iOSだとKeePassiumになるのかな
無料プランだとデータベースファイルは1つしか扱えないみたいだけど
ぽんぽん切り替えるものでもない
ID Manager同様データベースファイルは自分の管理領域に置けるので
そのアプリが提供されなくなったら 別のKeePass系アプリに乗り換えればいい
このスレ的には釈迦に説法か
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG:Innovative Tech - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2410/07/news054.html >>19 NISTが2017年にSP800-63第3版を正式発表して
この前までSP800-63第4版第2次公開草案で意見募集していた
みたいな背景が書かれてない記事だから、何で今更SP800-63B?って思った
KeePass 2.57.1 released
2024-10-08
https://keepass.info/ 本家のKeepassとKeepassXCって何が違うんですか?
自分でざっと調べてみましたが
KeePass→Windows版だけで、プラグインが豊富
KeePassXC→マルチプラットフォームで、基本機能でほぼ賄っている
セキュリティ的にはどっちも同じ、という認識で合っているでしょうか?
>>24 だいたい合ってる
セキュリティで脆弱性は片方だけ指摘される事もある
パスキー対応のXCすすめとく
keePassってむりょうでも十分使えるんだねkeePassとbitwardenってどっちがいいの
>>26 KeePassは全部自己責任、クラウドも自分で用意(オフライン運用でもいいけど)
比較する前提が違う気がする
LinuxだけどKeePass使ってる…のでWin版だけってことでもないかと
bitwardenよりDropboxのセキュリティのほうを信頼してるからkeepass使ってるな
>>26 KeePass系はオフライン前提のアプリ
パスワード等が記録されるデータファイルの置き場所はユーザが決める
ローカルストレージに保存するのが基本(完全オフライン運用可能)だけど
ユーザ自身が契約しているオンラインストレージに保存してもいい
そうすればPC~スマフォ間で同期できる
そのためのプラグインやファイルピッカーがある
データファイルの仕様は存在するけど アプリとしての実装は自由なので
本家だけでなく有志によってもいろんなアプリが作られている
Bitwardenはオンライン前提のサービス
パスワード等が記録されるデータはBitwardenのサーバ上に置かれる
PCでもスマフォでも同じアカウントを使えば見えるデータは同じ
サーバにアクセスできない状態では(基本的には)使えない
サービスを使うためのアプリは ブラウザ拡張機能 デスクトップ用 スマフォ用 CLI用等 いろいろある
機密情報の塊となるデータを(ユーザ自身ではない)他者に預けることになるので
セキュリティ上問題視されたりする
もちろん運営は万全を期していると言う
サーバを自分で運営するためのツールも公開されている
前述の問題を払拭するため 猛者はセルフホストでサーバを立てる
このような違いがあるので
>>27のように
そもそもの前提が異なると言われることが多い
>>30 > サーバにアクセスできない状態では(基本的には)使えない
というのはきついな。仮に短時間でもサーバの調子が悪い時に当たったら
情報を参照できない(ユーザー名やパスワードを記憶していない限り
サービスにログインできない)のだし
>>30 なるほどな ありがとう
KeePassのほうが柔軟だしセキュリティも高められそうだけど
詳しくない人に勧めるには難易度高そうだ
KeePass系を使用する際
データファイルの保存先をオフラインにしようがオンラインにしようが
データファイル自身にパスワードとキーファイルによる暗号化を施すのはお約束
>>31 一応アプリ側にキャッシュが残っていれば
サーバへのアクセス障害(経路上のネットワーク障害含む)時にはそちらを読みに行って
その時点での情報を参照できる可能性はあるけど
その辺はアプリ側の実装次第
データをオンラインストレージに保存する設定にしたKeePass系でも
ストレージサービスへのアクセス障害時に情報を参照できなくなるのは同じ
でもだいたいのKeePass系アプリは常時ローカルバックアップを取っていると思う
>>32 詳しくない人にこそ KeePass系の方がお勧めともいえる
ローカルに保存したデータファイル
ならびにその暗号化パスワードとキーファイルの管理をできればOK
仕組みとしてはローカルにおける文書作成・編集と大差ない
なお機器自身の故障への対策が別途必要だけど
それはPCやスマフォにおける日常の運用の範疇かと
逆に詳しくない人こそ Bitwardenというか
パスワード管理系のオンラインサービスを使うべきではない
そのサービス自身のアカウント情報を漏らしたら1発アウト
…にならないように多重認証がデフォルトになっているサービスばかりではあるけど
あと前述の障害の話もあるので そもそもの仕組みを理解できていないと対応が難しい
1passwordやLassPass 最近ではそれこそBitwardenを導入する企業が多いけど
利便性やコスト削減ばかり重視(セキュリティポリシー等を軽視)して
従業員に適当に使わせてしまっているので大変
KeepassでもDropboxとかでローカルにも保存設定しとけばサーバーアクセス気にしなくていいし便利よね
Cryptomatorとかも使って3重に暗号化されてるから万が一クラウドがやられて流出しても問題ない
詳しくない人ならkeepassでも、bitwardenでもどっちでもいいよ。
>>31 LAN内からしかアクセスできないBitwarden鯖を立ててるけど
スマホ版は鯖と通信できない外出中でも使えるよ
うっかりデータ更新をしようとすると流石にエラーが出るけど
完全に同期なしのPCローカル運用ならkeepass最強だけど、スマホとか多数のPCも同期するとなるとなー
最初からサーバー管理前提のbitwardenには全然かなわんのよな、まあしょうがないが
AndroidはDropbox自動同期させるアプリあるけどね
iPhoneは面倒くさい
iPhone使いは1Password使っとけ
Apple社員も使ってるから
iPhoneとGalaxyでシームレスに使えるからBitwarden使ってるわ
Bitwarden 1択だろ。日本語対応、無料、iPhoneとWindowsでその場で一瞬同期。BitwardenはNPO団体開発アプリで安心、どう考えてもBitwarden以外選択肢にないわ
NPOなのか?普通に営利企業だと思ってた。あと、NPOだから安心という理屈もよくわからない。
keepassだって日本語使える、無料、windowsやiPhoneでデータ同期できるじゃない
Enpassって昔は主流だったけどなんか問題あって使う人減ったよね
どんな問題だったか忘れたけど
1passとかいうゴミアプリ使いガイジってまだ存在したんだ.....
>>25,35
PassKey処理をインターセプトするの気持ち良過ぎだろ
>>48-49 ある意味真理
XCがAndroid番出してくれたら最高なんだけどなあ
KeePassを試しに使ってみようかと思って少し触ってみたけど
データの登録がめんどくさいな…(当然、KeePassだからというわけではないけれど)
これまではプレーンテキストのファイルに自由なフォーマットで書いていたから
KeePassの各項目ごとに振り分けて登録するのが大変
>>55 件数多いなら元のテキストをcsvに整形してインポートしたら楽なんじゃない?
>>55 KeepassXCとブラウザアドオン入れる
ブラウザでウェブサイトに手動ログインしてID保存画面出すのが楽
>>54 DXが似たような使い心地じゃない?
凝った使い方するなら知らんけど
Bitwarden以外使ってるアホって自殺する前にちゃんとアマギフのコードここに書いとけよ
このスレ的にはSafe In Cloudってどういう評価ですか?
>>60 たまに好きな人が名前をあげるくらい。
ほとんどの人はよく知らないんじゃないの。
>>63 誰のことをおっしゃっているか分かりかねますが別人です。
私はたまにしか書き込みませんから。
>>60 クローズドソース、セキュリティ監査無し
昔PC版試用したが使い勝手悪かった
AI評価
機能面では高評価を得ていますが、企業の透明性や信頼性に関して懸念があります。多くのユーザーは使いやすさと機能の豊富さを評価していますが、セキュリティに特に敏感なユーザーは、より情報公開の多い他のアプリを選ぶ傾向があるようです
>>61-62,65
おおむねわかりました、ありがとうございます。
やはりキーファイルが使えるKeePass系の方が良いみたいですね。
重ね重ねありがとうございます。
>>12 アリエクで買うとかぼくはやっぱりLastPass一択
みんな生体認証って使ってる?
ドコモのDアカウントのパスキーをWindowsに設定するため指紋リーダーかWebカメラ導入するのだけど
管理ツールのほうで生体認証を使うのはセキュリティや障害リスク的に本末転倒なような気がしてならないど
>>73 セキュリティとしては
複数の要素が揃わないと成立しないという点において
他の多要素認証と同じだよ
その人のdアカウント←その人の生体情報
となるのではなく
その人のdアカウント←その人所有のWindowsPC内のdアカウント専用パスキー←WindowsHello(その人の生体情報)
という関係性になる
つまりPCだけあっても あるいは生体情報だけあっても駄目で
その両方が揃う必要がある
障害リスクとしても他と同じかなあ
WindowsPCが壊れたり生体情報が失われたりしたら終了という事態を避けるため
- 別のパスキーも設定しておく 別のPCやスマフォ YubiKeyやKeePassXCとか
- WindowsPCそのものの あるいはパスキーのバックアップを取っておく
- 従来のパスワード+OTP認証の設定は残しておく
などの運用としての対策は必要
ただし運用次第ではそれこそ本末転倒になる
WindowsPCごと盗まれるとかバックアップが漏洩するとか…
LastPassアプリにマスターパスワードでログインできなくなった
パスワード変更はできたので変更したが、変更後のパスワードでもログイン不可
無償利用していてモバイル版、PC版のどちらかしか使えない
PC版に切り替えてWebブラウザでログインして
パスワードのパックアップを保存した
keepassに乗り換えるか
keepassのブラウザ拡張機能のおすすめありますか?
>>79 今日ログインできるようになった
でもデータ消失が怖いからkeepassに乗り換える
以前、LastPassで漏洩騒ぎもあったし愛想がつきた
Bitwarden使ってないゴミってまだいたんだ...
>>80 PCで使うなら
KeePassXC本体とKeePassXC拡張機能の組み合わせがベスト
>>83 ありがとう。すごい良さげだ。
BITWARDENみたいに企業にデータ預けるのは万が一漏洩すると怖いからな。
>>85 ロボフォームのほうがいいぞ
お気に入りみたいに使えたり直前に使った順に並び替えられたり
選択するだけでログインボタンまで押してくれるぞ
ID:bPnxNhQx0
↑
このガイジBitwarden使ったことなくて草
>>84の直後に
>>85の書き込みは頭おかしすぎる
状況と目的に合わせて適切なツールを使い分けられる人が最強
俺はばかの一つ覚え
めんどくさいし
データ預けたくない人向けに自鯖立てられるのってBitwardenくらいじゃね?
無料&自分でホストして全機能を利用できるオープンソースの高機能パスワードマネージャー「Psono」レビュー
二段階用でSMS使うと、電話番号が失効したら終わり
Google Authenticatorなどのスマホアプリは、オンラインで情報が無料維持されるが、デバイス盗難やハッキングに弱い
WinAuthなどのPCアプリはポータブル化が必須で、アプリと復元コードのバックアップ必須なのでデバイス破壊に弱い
もっと革新的な手法が欲しい
Bitwardenってネットじゃなくってローカルで使えるって聞いたけど簡単にできるの??
>>97 Self-hosting(Bitwarden公式ドキュメント)
https://bitwarden.com/ja-jp/help/self-host-an-organization/ 派生(軽量化等有志による改良)のVaultwarden
https://github.com/dani-garcia/vaultwarden/ 個人で立てるならVaultwardenの方がお勧め
日本語の解説は"Vaultwarden サーバ"とかで検索すればいくらでも出てくる
簡単かどうかは人による
Docker前提なので 各種サーバをそれぞれ構築していた昔に比べれば 簡単になったといえるかもしれない
失敗したところで誰にも迷惑をかけないという点で自動車の運転よりは簡単
keepassからbitwardenに移行しようと、ちょっと使ってみたけど気がついたらkeepassXCに着地してた
roboform2goの買いきり版を持ってたけど、久しぶりに起動したら、無料版として起動して、活性化するためのページがアクセス出来なくなってた。
ここは信用できんな。
どんなに優秀なパスワード管理ツールを使っても
ブラウザにパスワードを保存していなくても悪意のあるブラウザにはパスワードが筒抜けになるのではないかと不安
>>109 ログイン画面で入力したIDやパスワードをログインボタンを押したタイミングで盗めるのではないのかということ
>>111 それはもともとブラウザが受け取ってサイトに送り出すものだから、パスワードはブラウザには筒抜けでしょ
信頼できないブラウザや拡張機能か入っている可能性があったらパスワード入れちゃだめ
>>111 そんなブラウザ使わなければいいだけなのでは?
ブラウザがダメだったらパスワードマネージャーとか関係なく全部筒抜けやん
>>112-114 やはりブラウザには筒抜けですか
となると個人開発のブラウザで特にスマホのブラウザは沢山あるので怖いですね
素人なのでhttpsならブラウザ側にもわからない仕組みなのかなと淡い期待をしていました
>>115 アプリで扱う情報はそのアプリに筒抜けなので
信用ならない あるいは 自分の制御下に置けないアプリは使うべきではないですよ
ブラウザに限った話ではありません
業務上のクレデンシャルをLINEとかのチャットツールで伝達とかとんでもない
>>115 パス管理ツールを除けばブラウザが一番危ない
>>116-117 好みだしパスワードはブラウザに保存させなければいいかと思い
中華の無名な会社のブラウザを使っていました...
勉強になりましたありがとうございます
悪意のあるブラウザがインストールされている
= 悪意のあるソフトウェアがインストールされている
だから悪意のあるソフトがインストールされてしまっている時点で
そのPCのキーボード入力、画面のキャプチャ、ファイルなどの
あらゆる情報が盗まれる可能性が高い。
FirefoxにBitwardenの拡張。このコンビが最強
google検索の上位にフィッシング、ショッピング詐欺サイトが出てくるけど
警察は危機感ないの?
>>119 スマホで自分がインストールした知名度の低いブラウザが
パスワードを盗めるのかって話です
Bitwardenを使っているためブラウザに保存はしません
>>122 ・その知名度の低いブラウザ上でパスワードを入力したりコピペしない。
・パスワードをクリップボードにコピーしない。
のであれば盗むのは難しいかもしれないが。
>>123 やっぱりそれしかないですよね
使い勝手は好きなブラウザなのですがログイン等はしないことにします
ブラウザ名を書けよ
特定アプリで~しないって対策も有効だけど
端末から使い分けたほうが安心か
いろんな場面で勉強頑張るしかない
アベノミスクが大失敗だったように見えないしセンター分けは変わらない
ブルートフォースって下手な鉄砲じゃなくて的が見えないんだよな
PCとスマホ連携できて「Windows Helloでマスターログイン」
できる無料ソフトってまだないんですかね
PCのKeePassはHelloで「最小化から復帰」できるのに
起動時のログインはパスワードを打ち込まないとあかんよね
スマホは顔認証でいけるのに
>>131 あほか?
Windows Helloで許可してたらザルにもほどがある
でも「有料」のKeeperはHelloログイン可能だよね?
>>106 chromeに続きedgeでも一昨日から使えなくなった
定期払いをまた契約せな使えんのか?
スマホ用有料アプリにありがちだよな。PC用ソフトだと珍しい事例だけど
>>133 Keeperのそれは
KeeperのWindowsアプリがKeeperへのログインにおいて
Windows Helloに対応しているのであって
WIndows Helloそのものでデータに暗号化を施しているわけではない
やっていることはKeePassにおけるクイック解除と同じ
マスターパスワードとは別の概念
KeePassで似たようなことをしたいのなら
KeePassWinHello や WinHelloUnlock といったKeePassプラグインを使えばいい
プラグインあるいはWindows資格情報がマスターパスワードを記憶してくれて
その行使に対してWindows Helloが要求されるようになる
マスターパスワードそのものになるわけではなく記憶してくれているだけなので
変更された場合には改めて通常のログインが必要になることに注意
>>132と同じ理由で 全くお勧めはしないけどね
MICROSOFT の AUTHENTICATOR というスマホアプリいれてたら
そこにパスワード管理データがどさっと何故か入ってて焦ってちまちま全部けしたけど
いつ自分いれたんだ?
怖いんだけど
>>137 WindowsやMS EdgeをMicrosoftアカウントで使っていて
MS Authenticatorを同じMicrosoftアカウントで使っていると
記憶させたパスワード等の情報が同期されるよ
Android側のパスワード記憶をGoogleからMS Authenticatorに変えると更に連携が深くなる
無意識に、エッジブラウザにパスワードをインポートしてそれが反映されてたのかもな?
>>137 OTPはそれ使ってる
ブラウザにパス保存しないので変な挙動は見当たらないが
Microsoftの8文字OTPは一度も使ったことがない
使うことあるんだろうか
>>137 マイクロソフトの二段階認証、に使う目的で入れたんやろうか
ログイン履歴見ると世界中から一時間おきにアタックして失敗しとるから、何かあったほうが
LastPassのマスターパスワード、解読され攻撃に悪用される
news.mynavi.jp/techplus/article/20250318-3149283/
2022年の事件当時にセキュアノートへシードを保存していた人たちの暗号資産が盗まれたんだと。
サーバの場所はbitwarden.com と.euだと分散させるという意味ではeuのほうが良いのか?
例えばNSAが自国に本社のあるbitwardenに圧力かけて来た場合サーバがEUにあるほうが米国の主権が及ばない分より手間がかかるとか
>>143 どっちも大して変わらんよ
そこを気にするなら自分のサーバー使ったほうが良い
bitwardenはそれが簡単にできることも強味なんだから
楽天証券で大勢の顧客が乗っ取られて大金が動いた、と報道されてるな
>>142 漏洩したハッシュ値へのブルートフォース攻撃でマスターパスワードがバレた可能性があるとのこと
LastPassではマスターパスワードのハッシュ化の際のPBKDF2の反復回数が以前は10万回と少なかったようだ。
現在は1PASSWORDで65万回、LASTPASSで60万回、bitwadenで70万回とよりブルートフォース攻撃に時間がかかるようにしているらしい
ただハッシュ化の際の反復回数はブルートフォース攻撃のコストをリニアに増やすのに対して、パスワードの桁数を増やすと攻撃コストは指数関数的に増えるので強いマスターパスワードを使うのがより効果的らしい
1password導入した。ログインはスムーズだけど
金融機関の出金とかの別パスワードはコピペでやるしかないのか
思っていた便利さではないが、一元管理できるのがいいのかな。
最近Infostealerが話題になってるけど、
日本を狙ったInfostealerでもkeepassとか1Passwordのデータも盗むんだな
怖いな
KeepassXCの方が安全なんだろうか
ps://asec.ahnlab.com/jp/52719/
XCも大して違わんだろ
見た目は大違いだけど内部的にはkeepassと共通する部分が多いんじゃね
>>149 記事を読む限り、1Passwordからエクスポートした平文ファイルを探しているだけに見えるが
>>149 記事の中にある
検索するファイル名にkeepass 1.xの.kdb、バージョン2.xの.kdbxが対象とあり
XCの現物は触ってないからわからないがwikipediaの記述では
keepass 2.xと同じ.kdbx拡張子を使うとあるから対象内だろう
「メモ」とか「アカウント」とか「パス」ファイルも対象に含まれてるから
デスクトップにパスワードファイルおいてるのも抜かれる
keepassからkeepassXCに
Windowsは替えてみたけど
データベースはKeepassのからそのまま流用でいいのでしょうか
>>158 KeepassXCはkeepassのデータベース流用して使ってるけど
ChromeのkeepassXCプラグインが
何度試しても
データベースを開いていません
と出るんで困ってます
データベースを再度開くを選ぶとkeepassXCに推移するので連携は出来ているのですが
なんかアドオン入れ直したりkeepassXC設定の連携し直しで連携取れた。
アドオンめちゃくちゃ便利だな、でもkeepassXC Androidで使えないAndroid側からブラウザの連携出来ないの惜しい。
AndroidでKeepass2Android使っているけど
稀に入力出来ないフォームあるよなあ
自動入力
って項目あるけどKeepass2Androidは選べなくて
>>162 Androidだけど尼のブラウザからのログインは自動入力選択しても
keepass入力が何故か出来なかった
でもBitwardenを入力に切り替えてみたら
Bitwardenの入力受け付けるんだよ。
KeepassからBitwardenへのデータインポートが出来るなら乗り換えてみたいが
Nvidia RTX 5090は、わずか3時間で8桁のパスコードを解読でき、パスワードクラッキングのベンチマークは驚異的なパフォーマンスを示しています
Nvidia RTX 5090 can crack an 8-digit passcode in just 3 hours — password cracking benchmarks show tremendous performance | Tom's Hardware
https://www.tomshardware.com/pc-components/gpus/nvidia-rtx-5090-can-crack-an-8-digit-passcode-in-just-3-hours >>167 金融関係はローカルでKeePassXC使ってるよ
それ以外はBitwardenだけどね
>>167 keepassXC使ってるよ。
パスワードとTOTPを別ファイルで管理してる。
投資やってます
証券会社のパスは頻度高いのは暗記していて打ち込んでるんだが
あんまり重要じゃないパスブラウザに記憶させている
ブラウザの機能で記録させると緩いからパスワードマネージャー使った方が良い
と聞いたのでここ見に来たんだが、使ってても抜かれるっていう話をちょっと上でしているね
1password導入済みでYubikey Bio購入予定。
パスワード管理ソフトだけだとまさにパスワード管理ソフトの動きを模倣する偽UI攻撃とかあるらしいからね、、、
Yubikey高いけどリスク考えたらやむを得ない感じだわ。
書いてから気づいたけど認証アプリで2要素認証出来たな、まあスマホ持って来るの面倒な時とかあるからいいけど。
いや、認証アプリじゃ駄目か。パスワード手で入れる必要あるし。
LastPassで、パスワードをいつ更新したかを一覧表示することはできる?
盗られた保管庫のマスパスが解読されないうちに一通り変えたい。
こんな公式記事もあるのに方法が見つからない。
昔はセキュリティチャレンジをやると古いパスワードが警告されていたそうな。
What Is Password Rotation, and Why Is It Important?
//blog.lastpass.com/posts/what-is-password-rotation
>>174 LastPass CLI
実際に出来るかは知らない
www.perplexity.ai/search/lastpasste-hasuwatowoitugeng-x-hX9Lz0u6Q0GjmE1AJToigg
>>174 >>175がエラー表示だからコピペ
CLI(コマンドラインツール)を使用した方法
LastPass CLI(コマンドラインインターフェース)を使用すると、より詳細な情報を取得できます。これはLastPassが公式にサポートするオープンソースのツールです。
まず、LastPass CLIをインストールする必要があります
CLIでログインします
lpass login USERNAME
(USERNAMEはLastPassのユーザー名/メールアドレス)
最終変更日時を含めた一覧を表示するには以下のコマンドを使用します
lpass ls --long
または
lpass ls -m
これにより、最終変更時間を含めたリストが表示されます
>>170 ちゃんとしたパスワード管理アプリなら、
保存されているファイルを見られたところで中の情報はわからないけどな
今の口座乗っ取り騒動は、メモ帳に保存してるパスワードをコピペで貼るのとパスワード管理ツールでのログインとは、どちらが危ういですか?
パスワード管理ツールのブラウザ拡張使ってれば偽サイトでは入力されないから回避できそうだけど
>>180 パスワード管理ツールでURLをちゃんと設定しておけば、
偽サイトでは入力候補に出てこないから、その時点で気づける
以前スマホを替えた時にはおサイフケータイとKeepassさえ使えるようにすれば各種サービスの移行作業はほぼ完了みたいな簡単さだったのに
今は2FAのサービスごとに手間のかかる操作が必要で非常にめんどくさい
とりあえず職場のは設定したけどゆうちょや銀行など、ぜんぜん完了しない
以前の機種での操作を要求するのとかほんと最悪よな。
AndroidのBitwardenインストールしてKeepassから移行しようとしたけど
変な挙動する、おま環かも知らんけど
Bitwarden起動中に上部のステータスバーが砂嵐みたいになるとか
Twitter起動中にパスワード保存しますかっていう謎の表示が出たり
lastpass切れ乗り換えるメリットなんかある?
証券会社の不正アクセス結局フィッシングサイトに情報送信したというオチだってね
ここの連中なら被害に遭う心配はないわ
例えばブラウザのブックマークを書き換えて、ブックマーク押下で証券会社のサイトを偽装した画面を開いて、パスワード管理ソフトの挙動っぽい動きをしてマスタパスワードを入力させてパスワードリストをごっそり頂く、というのはどうだろうか。
いや、どうだろうかじゃないけどさ。
証券会社のサイトはブクマに登録せずパスワード管理ツールに登録したURLからアクセス
もちろん普段使いのブラウザではなくセーフブラウザを呼び出すのが安全
Outlookメール使いだけど
2004年ぐらいに作った古いメールアカウントで
Microsoft Authenticatorに紐付け出来ないんだけどやり方が悪いのかな、2段階認証はしたい。
excelからselenium使ってパスワードが必要なサイトをスクレイピングすることがあって
パスワードが書かれたxlsxファイルにパスワードをかけておいて
スクレピング絡みのコードの書かれた別のシートからユーザーフォームでそのファイルのパスワードを打ち込んでメモリに格納させて
パスワードが書かれたxlsxファイルを読み込んでこれもメモリに格納して即ファイルをクローズした後動作
という事をやっていたんだけど、これってセキュリティ的にはどう思う?
xlsxファイルって基本的にはzipだと認識しているけど、zipの暗号化って比較的強度が弱いと聞いたことがあるような・・
パスワードマネージャーを使ってローカルにデータを保存している状態と比べて脆かったりする?桁長くすれば大丈夫?
selenium経由でもパスワードマネージャー使えるのかね?
ブラウザのselenium用のプロファイルにlastpass拡張入れて自動入力させてるわ
>>194 XLSXなら弱いZipCryptoじゃなくてAESだけど、Seleniumのスクリプトにパスワード書くのは危ないと思う
>>196 書いた後ググってたらデフォルトの設定でAESの128ビットってやつで暗号化されていて脆い方ではないみたいね
seleniumのスクリプトに直書きしているやつもあるけど、もれてもいいやつだけですわ
>>197 暗号化強度自体は脆くはないけど
設定しているパスワードが貧弱であれば突破されることに変わりはないので
そこは気を付けて
MS Officeは公開鍵暗号化方式をそろそろ公式に実装しても良いと思う
二つインストールしてんだけど主要なのであらたにパスワードとかいれたら
使ってないほうに同期すればいいんだが
どっちもマスターパスワードとかいれてCSVインポートするのめんどくさい
【悲報】パスワードマネージャーBitwardenに脆弱性🫨🫨🫨 [175344491]
http://2chb.net/r/poverty/1748271550/ >>200 フフフ…CVE!
www.cve.org/CVERecord?id=CVE-2025-5138
>>193 あれ?マイクロソフトのはサービス終了するんじゃなかった?
Windows10をアップデートしたらKeepassXCが自動起動しなくなった
設定にチェックは入ったままだしスタートアップにも登録されているのに
更新あるのかな
16 billion passwords exposed in colossal data breach | Cybernews
ps://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/
>>206 これ見てパスキー導入考えてるけど、リアルタイムでメールや端末認証する必要があるから、yubikeyみたいなバッテリーレスデバイスは使えなくて、事実上スマホ限定の認証方式になるな
安全を考慮するならメインスマホ以外に格安Androidを2,3年おきに契約してパスキー専用にするって使い方になるか
パスキーってさ
ローカルのやつやクラウドでもサードパーティパスワードマネージャーのやつならフィッシングに強そうだけど (いくらなんでもパスワードマネージャーのログインをフィッシングで要求してこないだろうし怪しいと気づく)
chromeのパスワードマネージャーだとフィッシングでgoogleアカウントのログインは引っかかって抜かれるやつとかいそう
あれってGoogleアカウントがぶっこ抜かれたらアウトだよね?
>>209 パスキープラス2要素でやっとこログインか?
それなら硬そうだけどクソ面倒そうだな
個人のidとパスワードを預かっておきながら
セキュリティが甘いからgoogleはたちが悪い
せめて、パスワードマネージャでid、パスワードを自動入力させたいなら
2重セキュリティを必須にするとか、idパスワードをインポートも暗号化しろと思う
このせいで沢山の企業に迷惑がかかっている
メルカリでパスキー登録でポイントもらえるからiPhoneでやろうとしたけど、説明通りの設定画面出てこないし、下手に設定するとAndroidへの機種変更したときにクソ面倒な手順が必要になるみたいだし、パスキーはトラブル呼び込む元になってないか?
>>212 googleだったらパスキーを複数作成してどれか一つでログインできる。
バックアップキーを作って保存しておけばパスキーを無くしたときにバックアップキーでログインできる。
メルカリにはパスキーがなくなったときでもログインできるような仕組みが無いのかな。
>>211 信用ならないところには預けないという選択肢があるにもかかわらず
それでも預けるのはその沢山の企業とやらが悪い
KeePass 2.59 has been released today!
認証デバイスのおすすめをアマプラスレで聞いてみたけど誰も答えなかった
みんなスマホでパスキー認証してるのだろうか
Yubikey買うより認証専用でも中古スマホ買ったほうが安いしな
>>218 何のために認証デバイスを購入するのか
はっきりさせないと答えづらいと思う
パスキーを使いたいだけならPCやスマフォ等その端末だけで十分
認証デバイスを別途購入する必要はない
YubiKeyは電源も(遠隔)通信も不要かつ可搬性があるのがメリット
ICカードのような使い方が適している
ワイは使い古しのメジャーアップはされなくなったけど
セキュリティアップデートはまだ配信されていiPhoneに認証がらみを寄せたよ
ほぼ2段階認証用の電話、sms、メール、google authenticatorにしか使ってない
最近証券口座の乗っ取りがニュースになっていて対策した
3スレほどロムったけどkeeperって人気ないの?
試用してみた感じbitwaerdenの上位版ぽくて乗り換えようか迷い中
>>221 パスワード管理ソフトの中で日本法人まで持って日本語サポートしっかりしてるのはここくらいなので、コスト高くても日本語サポート重視とか、法人ならここがいいんじゃないかと思う。
1passwordのamazonセールや元々安いBitwardenに比べると大分コスト高にはなるけど。
>>222 もっとコスト高いのに名前出てたり専用スレあるの考えると機能がコストに見合ってないってことなのかな?
ありがとう検討します
Dropbox Passwords、10月28日に完全終了へ - ITmedia NEWS
www.itmedia.co.jp/news/articles/2507/31/news075.html
こんなのやってるなんて知らなかったし
話題にも上がらないから誰も使っていないんだろうなあ
ほとんどのパスワード管理アプリから機密情報を盗み出せる ~拡張機能を狙う攻撃手法が明らかに - 窓の杜
ps://forest.watch.impress.co.jp/docs/news/2040917.html
>>227 これらの脆弱性は2025年4月に報告済みで、内容の公表は2025年8月まで猶予された。しかし、「Bitwarden」や「1Password」、「iCloud Passwords」、「Enpass」、「LastPass」、「LogMeOnce」など、一部のベンダーはまだ脆弱性への対策が完了していないという(「Bitwarden」に関しては修正が完了し、アドオンストアへの掲載を申請中とのこと)
lud20250924045837このスレへの固定リンク: http://5chb.net/r/software/1724456979/
ヒント:5chスレのurlに http://xxxx.5chb.net/xxxx のようにbを入れるだけでここでスレ保存、閲覧できます。
TOPへ TOPへ
全掲示板一覧 この掲示板へ 人気スレ |
Youtube 動画
>50
>100
>200
>300
>500
>1000枚
新着画像
↓この板の人気?スレ↓(一覧)
・【高速】2ちゃんねるターボ 21壷目【禁断の壷】
・【Ryujinx】NintendoSwitchエミュ【Suyu】part17
・MediaMonkey Vol.04
・2chAPIProxy 22
・Mozilla Firefox質問スレッド Part181
・Mozilla Firefox 拡張機能スレッド Part123
・【ポータブル】Mozilla Firefox Portable Edition 3
・Mozilla Firefox Part318
・□□■x-アプリ / SonicStage V / CP 69th■□□
・【翻訳】 ATLAS V14 【富士通】
・Mozilla Firefox 拡張機能スレッド Part111
・Mozilla Firefox質問スレッド Part194
・2chAPIProxy12
・アーケードエミュレーターMAMEスレ 0.142b
・DRM解除 その49 【どんぐり】
・【地図】MapFan.Net 5駅目
・DVDFabってどうよ? 5
・StreamFabってどうよ? 17
・Jane Style (Windows版) Part254
・Opera12(Presto) Part7
・【ロシア】yandex browser 1【美女】
・高機能フリーメーラー QMAIL3 part5
・ソフトウェア開発者の雑談スレ
・ニコニコ動画関連ツール総合スレ part10
・Skype Part65
・AviUtl総合スレッド87
・Electronによる掲示板ビューア Siki Part25
・プレステ2エミュについて語ろう【PCSX2】vol117
・Mozilla Firefox質問スレッド Part197
