パスワード管理ツール Part17 (820レス)
上下前次1-新
767(1): 警備員[Lv.0][新芽] (ワッチョイW 8ef1-vNWI) 06/03(水)17:30 ID:sRNora5H0(1/3) AAS
>>765
攻撃者は20名未満の個人プランユーザーの暗号化された保管庫のコピーをダウンロードすることに成功しました。
外部リンク:support.dashlane.com
768: 警備員[Lv.2][新芽] (ワッチョイ 41cd-Ou44) 06/03(水)17:33 ID:mA/iNhy50(3/3) AAS
英語版の方かー申し訳ない🥴
ん~ただやはり保管庫だけでパスの流出はないらしいですね
769: 警備員[Lv.0][新芽] (ワッチョイ 41c8-uKHO) 06/03(水)20:41 ID:FHbtuLxc0(1) AAS
>>767
保管庫をコピーされても問題ないだろ。
総当たりされたところで、保管庫に登録されているパスワードを変更する時間は十分にある。
770(2): 警備員[Lv.0][新芽] (JP 0H09-Vn96) 06/03(水)21:06 ID:wztpr0YDH(1/2) AAS
ブルートフォースでロックされたっていうのは問題ないけど保管庫のダウンロードは無条件に問題ないとは言えないんじゃない?
この件はすぐ発覚しててユーザーも少数だから対処できるだろうけど
771(1): 警備員[Lv.8][新] (ワッチョイW e6bf-Mbjy) 06/03(水)21:33 ID:J66hIyKq0(5/6) AAS
>>763
あるネット銀行でスマホの端末一つで送金出来てしまうアプリをかなり強く押してきたところがあってスレがメチャクチャ荒れてたわ
「利便性が上がった、これに反発してるのは老害」みたいなのと「スマホなんか使いたくない・スマホで送金しない・スマホ単独で送金出来てしまうのは無理」みたいなのの間でレスバになるしスレは分裂するし酷いもんだった
772(1): 警備員[Lv.0][新芽] (ワッチョイW e62c-9Ue7) 06/03(水)21:57 ID:LMA4D8F+0(1) AAS
>>770
こういうインシデントをすぐに検知して、影響範囲を特定して報告してくれるのは、
それで金を取ってる専門サイトだからこそだろうな
773(1): 警備員[Lv.0][新芽] (ワッチョイ dd8a-ZxEu) 06/03(水)22:22 ID:Rt201loK0(1/2) AAS
保管庫が流出する→流出対象者が保管庫内の登録サイトの個人情報を更新しない
→偶然総当たりでCrackできた犯人がその個人情報を悪用するみたいなパターンは微レ存だとは思うけどあるか?
ん~保管庫の総当たりとか有料AIやスパコンみたいなの欲しいだろうし長時間かけてやる犯罪者なんているの?
774: 警備員[Lv.0][新芽] (ワッチョイ dd8a-ZxEu) 06/03(水)22:23 ID:Rt201loK0(2/2) AAS
>>772
仮想通貨なり証券口座ある人はこういうのに通知用のMailとか登録してるのかな~
それ以外の人でも普通に使用してる人はいるかな?
775(1): 警備員[Lv.1][新芽] (ワッチョイ 7a8a-qxQ9) 06/03(水)22:28 ID:2VptsG6M0(1/2) AAS
>>771
う~ん電子通貨(仮想含む)や株ガチ勢とかなら利便性の向上とも言えるが評価が短絡的すぎるかな.....
端末の侵害が起きた時にちと怖いかな =犯罪者の利便性ともいえるし....
776(1): 警備員[Lv.5][新芽] (ワッチョイW 8ef1-vNWI) 06/03(水)22:42 ID:sRNora5H0(2/3) AAS
>>773
1. LastPassの情報漏洩事件では何が起こったのか?
2022年、攻撃者がLastPassに保存されていた暗号化された保管庫データにアクセスしました。ユーザーがパスワードのローテーションや保管庫のセキュリティ強化を行わなかったため、攻撃者は数年後も脆弱なマスターパスワードを解読し続け、2025年後半にウォレットからの資金流出が発生しました。
外部リンク:www.trmlabs.com
777(1): 警備員[Lv.2][新芽] (ワッチョイ 7a8a-qxQ9) 06/03(水)22:44 ID:2VptsG6M0(2/2) AAS
あ~LastPassのやつがそれか3年くらいで解析できたのか
どんな方式でマスターパス解析したんだろ?後は流出保管庫がマスターパスのみの保護だったのかな?
778: 警備員[Lv.2][新芽] (ワッチョイ ce5b-8dVa) 06/03(水)23:00 ID:AzKzMbd30(1) AAS
ここによると>>776の犯罪者はロシア系だとさ
外部リンク:jp.beincrypto.com
779(1): 警備員[Lv.0][新芽] (ワッチョイ 8ef1-DM5e) 06/03(水)23:27 ID:sRNora5H0(3/3) AAS
>>777
LastPassは暗号方式PBKDF2でGPU解析に弱い
流出保管庫はマスターパスワードのみの保護
流出保管庫の総当たりに強いのはキーファイル対応ソフト、 1Password(SecretKey)
780(1): 警備員[Lv.4][新芽] (JP 0H09-Vn96) 06/03(水)23:27 ID:wztpr0YDH(2/2) AAS
結局暗号アルゴリズム自体が強力でもパスワードが弱かったら破られる
一般ユーザーにパスワードを決めさせること自体がリスク
781(1): 警備員[Lv.9][新] (ワッチョイW e6bf-Mbjy) 06/03(水)23:40 ID:J66hIyKq0(6/6) AAS
>>775
投資やってる人たちはむしろ反対してましたね、人によりますけど
札束持ち歩かさせれるようなものなので
782: 警備員[Lv.0][新芽] (ワッチョイ a556-QENA) 06/04(木)00:00 ID:uftBhe/C0(1/3) AAS
>>779
既存のクラウド系だと総当たり対策は1Passwordだけが頭1つ抜けてるんですね
BitwardenはマスターパスのみでArgon2idにしてないと総当たりに弱いのか~
Dashlaneはまだまだらしいので1Passいいかもですな
783(1): 警備員[Lv.0][新芽] (ワッチョイ a556-QENA) 06/04(木)00:01 ID:uftBhe/C0(2/3) AAS
>>780
そうですけどパスワードマイスターみたいな職業でも作るんですか?
というのは冗談としてパスワード作成マネージャとかですかね~
一般層にはパスワードマネージャ自体がまだまだ身近じゃないらしいので~
784: 警備員[Lv.0][新芽] (ワッチョイ a556-66yq) 06/04(木)00:03 ID:uftBhe/C0(3/3) AAS
>>781
スマホはUSのセキュリティサイトも言ってましたがモバイルは紙同然のセキュリティだとか
それで厳重な認証無しの即送金とか頭おかしいとは思いますわ~
785: 警備員[Lv.1][新芽] (ワッチョイ a656-66yq) 06/04(木)00:13 ID:xS+0YHep0(1) AAS
オンライン型は1Passwordが一番ええみたいやなー
ただオフライン型のKeePassもかなりええんとちゃう?Secret Keyみたいなのは
キーファイルやYubiKeyを入れればかなり総当たりにも強いぞい
ただ利便性が1Passwordより落ちるだろうけどねー
786: 警備員[Lv.5][新芽] (JP 0H09-Vn96) 06/04(木)00:21 ID:9E/BzEqRH(1) AAS
>>783
だからパスキーでそもそもパスワードを使わせない方向にシフトしてる
パスマネ使えと言って使ってくれるなら最初から困ってないし、パスマネのパスワードだけはパスマネで管理できないですからね
787: 警備員[Lv.4][芽] (ワッチョイ 6de0-uKHO) 06/04(木)09:06 ID:wx/lgw0x0(1) AAS
>>770
問題ないというのは語弊があるだろうけど、
クラウドサービスから保管庫をダウンロードされた=直ちにパスワードがすべて流出したと思ってる層が多い
788: 警備員[Lv.0][新芽] (ワッチョイ 1656-LkA6) 06/04(木)09:15 ID:IKjvJWaw0(1) AAS
1Passwordの2022年のインシデントは特殊な事例でいいのかね?
保管庫(Vault)流出+解析成功で資金流出なんてパターンは大分特殊だよね?
PBKDF2とはいえ総当たりも時間かかるでしょ?
789: 警備員[Lv.1][新芽] (ワッチョイ 41cd-DQ6j) 06/04(木)09:26 ID:ql8GhkH00(1) AAS
AIに聞いてみたらPBKDF2でも弱いパスワードにしてないと実際のCrackはそこそこ難しいみたい
2022年以降の資金流出は弱いパス設定してた人が抜かれたのかな?
790(1): 警備員[Lv.54] (ワッチョイ 0e88-BIcI) 06/05(金)04:40 ID:Jm5ycr/60(1/2) AAS
1年前「 グーグルが20億ユーザーに警告、『パスワード』ではなく『パスキー』方式に変更を 」
もうパスキーの流れは止められなくて大手企業もその流れてパスキー必須化やパスキー移行を促してる現状で
ヤフーのサービス全般は来年の春からパスキーだけになるから注意と手順を説明しているYoutubeのコメントを見たら
ヤフーだからって叩く日本人は終わってるな
791(2): 警備員[Lv.23] (ワッチョイW ce54-NCQ5) 06/05(金)05:36 ID:NXLwOc4S0(1) AAS
大手の証券サイトでパスキーエラー出まくって問い合わせ殺到してる繋がりませんって見たな
安定してないパスキー使いたがるのなんでなん
792(1): 警備員[Lv.0][新芽] (ワッチョイ e6d9-nNNp) 06/05(金)06:06 ID:c3Wvyh1g0(1) AAS
X 安定してないパスキー
O 安定してない証券サイト
日本人のIT技術者のレベルが低くてすみません。
793(1): 警備員[Lv.5][新] (ワッチョイ c1b9-EOZR) 06/05(金)07:46 ID:isWRTFms0(1/2) AAS
>>790
君も十分ヤフーコメント欄の住人ぽい...w
Googleのエンジニアとかはバリバリパスワードマネージャ使うんだろうが
日本のIT企業内でパスワードマネージャ使用者はどれくらいいるんやろ?
794: 警備員[Lv.5][新] (ワッチョイ c1b9-EOZR) 06/05(金)07:47 ID:isWRTFms0(2/2) AAS
>>792
技術者叩きするんじゃなくて多重下請けとか叩きなw
795: 警備員[Lv.93][SSR武][UR防][苗] (ワッチョイW e661-Ocyy) 06/05(金)08:10 ID:qoVz0nTc0(1) AAS
>>791
去年不正送金が何件か起きただろ?
当局から対応を求められた時に「パスキーで対策します」って言えば簡単に通るから
言い換えるとパスキーにしないと客のパスワードがpasswordだったとしても
証券会社側が不正送金の責任を追及されかねないから
796: 警備員[Lv.4][新芽] (ワッチョイ 4107-oS6p) 06/05(金)10:41 ID:Rps6IHjb0(1) AAS
>>791
上であったように昔のメールのIMAPのように正しく実装しているアプリやサービスが少ないから
797: 警備員[Lv.54] (ワッチョイ 0e88-BIcI) 06/05(金)10:44 ID:Jm5ycr/60(2/2) AAS
>>793
YoutubeのWindowsとLinuxなどの新情報を紹介するチャンネルを見てると
おすすめでスマホの新情報の動画が出てくるからたまに見るんだけど
ヤフーを使っている人への注意喚起動画なのにそこのコメントでヤフーが叩かれてたから書いた
798: 警備員[Lv.0][新芽] (JP 0H09-VrmV) 06/05(金)13:50 ID:dgaI1AR9H(1) AAS
パスワードを123456にしたりやフィッシングに引っかかるユーザーの根絶など無理なので仕方なく介護としてパスキーを導入せざるを得ないというのが実情
どうしてもパスキーがいいんだパスキーは素晴らしいんだとは誰も言ってません
799: 警備員[Lv.8][新] (ワッチョイ 411d-IW5e) 06/05(金)17:50 ID:3ye168KW0(1) AAS
簡易的なパスワードは知らんけどフィッシングは鴨リストなどがあるのかもなー
ただの妄想だけど闇金ウシジマくんとか裏社会系のマンガに出てくる名簿屋みたいなのがいるのかも?
フィッシング向けの名簿がダークウェブとかに売られてるのかもね
800: 警備員[Lv.0][新芽] (ワッチョイ 0952-GQlS) 06/08(月)13:52 ID:8x/feRF60(1) AAS
実情はわかるけど、パスキーをどうしても入れたい人や素晴らしいと言ってる人はたくさんいるよ
801: 警備員[Lv.0][新芽] (ワッチョイ 8b85-P7Zm) 06/08(月)18:16 ID:0jbPc0P80(1) AAS
パスキー(Passkey)の導入は、オンラインセキュリティにおいて「フィッシング詐欺」という最大の弱点をほぼ完全に封じ込めるため、非常に劇的な効果を上げています。
1. Google:フィッシング被害が「ゼロ」に
最も有名な例はGoogleです。彼らは全社員(10万人以上)に対して、パスキーの基盤技術である「FIDOセキュリティキー」の使用を義務付けました。
・導入前の状況: 社員を狙った高度なフィッシング攻撃が絶えませんでした。
・導入後の結果: 物理キーによる認証を必須にして以来、全社員においてフィッシングによるアカウント乗っ取り被害が「0件」になったと報告されています。
・一般ユーザーへの展開: 2023年から一般ユーザーにもパスキーを導入した結果、パスワード認証に比べてログイン成功率が4倍ログイン速度が2倍向上しました。
2. メルカリ(Mercari):不正ログインの劇的減少
・課題: SMS認証を突破する「フィッシングサイト」や「SIMスワップ」による不正ログインが課題でした。
・対策: 2023年からパスキーを導入。
・効果: パスキーを利用しているユーザーにおいて、フィッシングに起因する不正ログイン被害が実質的に発生しなくなったと報告されています。また、SMSが届かないといったトラブルも減り、ユーザー体験も向上しました。
802: 警備員[Lv.0][新芽] (ワッチョイ 69e5-Iv2i) 06/08(月)21:49 ID:BOUsgtTK0(1) AAS
なんでみんなそんなにAIを盲信してるん?
今のAIなんて情報の入力と欲しい出力(それも酷いとネットソースレベル)が出るように繰り返し学習して、確実性はないけどそれっぽい答えを出すだけだぞ
開発会社は値段を上げる推論型とか格好つけたこと言い始めているけど理屈的には奴らは推論なんかできないぞ
803: 警備員[Lv.0][新芽] 警備員[Lv.0][新芽] (ワッチョイ 691a-7IeH) 06/09(火)00:45 ID:RjsjY7fl0(1) AAS
それはそうで、AIの答えはいっそう批判的に読むべき
Googleなんか物理キーの話じゃん
804: 警備員[Lv.3][新芽] (ワッチョイ 918a-bY8R) 06/09(火)02:09 ID:+zqrE4XM0(1) AAS
メルカリのパスキー登録しようとしたけど無理だったわ
アップルキーチェーンとか出てきて機種変のとき絶対トラブると思った
Googleアカウントに紐つけるならともかくApple製品にしか使えないアップル系パス管理はやべえ
805: ころころ [500] (ワッチョイ 8bdf-136e) 06/09(火)03:10 ID:IrZxgZf30(1) AAS
Windowsでも使えたような気がする
806(1): ころころ [500] (ワッチョイ 8b85-P7Zm) 06/09(火)03:12 ID:8wJoqnuF0(1) AAS
外部リンク[pdf]:www.fsa.go.jp
そりゃパスキーのせいで5000億円奪い取るチャンスがなくなるんだから必死よ
パスキー使うな工作し続けないといかん
807: 警備員[Lv.0][新芽] (アウアウウー Sa15-rrlL) 06/09(火)06:05 ID:Mg8/5DMna(1) AAS
Googleアカウント紐付けもアカウントが誤BANされたらおしまい🤭
808: 警備員[Lv.0][新芽] (ワッチョイW 8bf6-BiyV) 06/09(火)18:00 ID:kXaLAo900(1/2) AAS
>>806
去年の春頃は本当に震えてた
100-150アカくらいしか監視してなかったと思うけど
Xで3人やられててた、3人とも実害が出る前に気づいて止めてたけど
809: 警備員[Lv.0][新芽] (ワッチョイW 8bf6-BiyV) 06/09(火)18:00 ID:kXaLAo900(2/2) AAS
全部電話注文に切り替えてた人もいたなぁ・・
810: 警備員[Lv.0][新芽] (JP 0H2d-MSui) 06/09(火)18:08 ID:/Kg4PNl9H(1) AAS
ただAIにまとめさせただけの文章見ただけでいきなり盲信とか言い出す方がAIアレルギー極まってない?
Googleは物理キーっていうのもパスキーの仕組み自体は変わらんしスマホもある意味物理キーみたいなもん
811: 警備員[Lv.0][新芽] (JP 0H4d-bY8R) 06/09(火)19:15 ID:RQ1FeB29H(1) AAS
パスキーを一般人にもわかりやすく説明するの難しいな
同じ仕組みの認証システムがこの世に存在してないから例え話にしようがない
Doctor Strange in the Multiverse of Madnessで例えたらかなり実態に近い説明ができるけど、ドクター・ストレンジの説明から始めないといけないから一般向けじゃない
812: 警備員[Lv.5] (ワッチョイ 099e-bu3S) 06/09(火)20:06 ID:L44suNUS0(1) AAS
「ただAIにまとめさせただけ」がいかに危険なことか
まとめというのは取捨選択に判断を要する高等技術かつ誘導の手段
813: 警備員[Lv.0][新芽] (ワッチョイ 6957-Iv2i) 06/09(火)20:50 ID:CiwZTs/S0(1/2) AAS
AI自体には意味があるけど結果を貼り付けるのは意味がない
どうせ自分で確認が必要だし
wikiコピペ方がよっぽど意味あるわ
814: 警備員[Lv.3][新芽] (JP 0H75-MSui) 06/09(火)21:19 ID:Z9fUILS+H(1) AAS
まとめた存在が違うだけでwikiコピペとAI貼り付け何が違うのって感じだし、Googleは物理キー(だから普通のパスキーとは違う)みたいな反応してる方がよっぽどヤバい
815: 警備員[Lv.4][新芽] (ワッチョイ 6957-Iv2i) 06/09(火)22:27 ID:CiwZTs/S0(2/2) AAS
信頼性が全然違うぞ
wikiもたまに間違えているけど
816: 警備員[Lv.5][新芽] (JP 0H75-MSui) 06/09(火)22:38 ID:nSc3VKpFH(1) AAS
そうやって信じるか信じないか基準だからAIまとめに対して具体的な指摘もないまま拒否しちゃうし、パスキーに関しても規格が統一されてないだとか安定してないだとか間違ったことを言っちゃうんだよ
これじゃAI使ってなくても悲惨というかAI丸投げよりひどい
817: 警備員[Lv.0][新芽] (ワッチョイ 69c8-Iv2i) 06/10(水)00:48 ID:u0/kIFPR0(1/2) AAS
信頼性は大切だろ?
おれもAIは私用でも仕事でも便利に使っているけど(仕事は会社の都合copilotだけど)、仕事のSE系については上陸から下流にまでは嘘が多すぎてかえって疲れる
会議の要約とかは事務処理については本当に優秀なんだけどね
数十分かかった議事録が勝手に出来て微修正をするだけですむのは本当に楽
でもシステム、プログラミングについては検索したときにトップにそれっぽく書かれるけど試してみたらはい嘘でした~が多すぎ
バイブコーディングまで行かなくても平気で変なことするし
謎のIT系会社がよく作る「分かりましたか?w」並みに嘘つき
というか、そういうのから学習しているのかもね
後出しで悪いけどAI自体は嫌いじゃないよ
ただ盲信している人がIT業界でも多くてうんざりして苛立っちゃった
省3
818: 警備員[Lv.0][新芽] (ワッチョイ 8b26-P7Zm) 06/10(水)01:16 ID:9l2SzUyZ0(1) AAS
AI「パスキー(Passkey)の導入は、オンラインセキュリティにおいて「フィッシング詐欺」という最大の弱点をほぼ完全に封じ込める」
AIを盲信するな。信頼性ゼロ!!!ぎゃおおおん
819: 警備員[Lv.3][新芽] (ワッチョイ 69c8-Iv2i) 06/10(水)01:32 ID:u0/kIFPR0(2/2) AAS
ぎょおおん
820: 警備員[Lv.4][新芽] (ワッチョイW 8bf6-BiyV) 06/10(水)11:53 ID:QyhWWwIK0(1) AAS
おまいらにとっては常識だろうけど
enpass入っている環境でパスキーを登録しようとしたら
windows標準のパスキー登録画面の前に
enpassへの登録画面が出てきた
こういう挙動するのかー、と思ったわ
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.716s*