[過去ログ] パスワード管理ツール Part10 (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
1(1): 2020/04/02(木)16:22 ID:FCfy+SDh0(1) AAS
パスワード管理ツール(ソフトウェア)について語るスレです。
前スレ
パスワード管理ツール Part9
2chスレ:software
903: 2020/10/05(月)20:27 ID:YElkM4pS0(1) AAS
syncthing使って端末間でミラーリング同期したら?
keepassのデータベースを同期してるけど便利だよ
904: 2020/10/05(月)20:38 ID:orDMH+2T0(1) AAS
syncthingはp2pだから使えない人も多そう
905: 2020/10/09(金)21:42 ID:AWUNniKC0(1) AAS
resilio syncは起動させたままだと
電池食いまくって閉口したんだけど
syncthingは大丈夫?
906: 2020/10/09(金)22:04 ID:+FFO1l5F0(1) AAS
自分の端末にsyncthing入れて1年ぐらい使ってるけど電力消費の問題とかは無い
ただ同期しているデータは合計100MBぐらいでデータ容量と通信量が少ないぶん電力消費も少なめで済んでいるだけなのかも…?
907: 2020/10/09(金)23:07 ID:r1+0s+Rj0(1) AAS
resilioは泥版がサイレントクラッシュするしsyncthingはNASのユーザー権限管理が面倒だしでなかなか一本化できん
今は resilio(NAS-PC間) + SMBSync2(NAS-泥間) でやってる
908: 2020/10/10(土)18:05 ID:hQTPX1zZ0(1) AAS
管理の手間とか考えたらなるべくシンプルな構成にしたいよね
自分はVPSと各端末にSyncthingを導入して [端末<-->VPS<-->端末] みたいな構成でVPSを介して各端末と同期してる
いろいろ試行錯誤してこの形に落ち着いた
909: 2020/10/10(土)20:09 ID:SSUTReA00(1) AAS
enpassの同期機能(dropbox)に落ち着いた
910: 2020/10/11(日)11:10 ID:ws3kX34j0(1) AAS
自分も今日からEnpassに
公式のTwitterアカウントがRTしてたので、こちらからlifetime licenseを購入
Twitterリンク:marshawright
Twitterリンク:5chan_nel (5ch newer account)
911: 2020/10/11(日)13:20 ID:SXVtIIaX0(1) AAS
Make your digital life more secure and more convenient. Normally $59, a lifetime license to Enpass Password Manager is now 58 percent off at just $24.99.
なるほど
悩む
912(1): 2020/10/11(日)13:52 ID:TQd9Dm8j0(1) AAS
Enpassユーザーにちょっと聞きたいんだけど他のメジャーなパスワードマネージャーと比べてEnpass独自の長所とか利点って何かあるの?
今セールやってるみたいだし買ってみようか悩んでる
913: 2020/10/11(日)15:22 ID:0hmWIEEb0(1) AAS
KeepassXCでええわ
914(1): 2020/10/11(日)15:35 ID:jsJIlE4A0(1/2) AAS
Enpassは買い切り版がある、ローカル保存がメリット
同期は他社クラウド等で運営会社信用してない人向け
前試した時、WindowsとandroidはKeepassXC + ブラウザアドオンとkeepass2androidの方が使いやすかった
iPhoneとiOSはEnpassの方がいいかも
915: 2020/10/11(日)15:49 ID:ID4+UepK0(1) AAS
Enpassは無料でもTOTPが使えて公式にPortable版もあるので
俺はその辺だけを適当に活用してる
916: 2020/10/11(日)16:31 ID:dd1eRlom0(1/2) AAS
なるほどiPhoneだったらEnpass使うのもアリって感じなのね
Androidユーザーだけど試しにちょっとだけ触ってみるかな…
917(1): 2020/10/11(日)16:42 ID:jOHF2h2d0(1) AAS
パスワードマネージャー自体でTOTPを管理するのは微妙だが
918: 2020/10/11(日)17:04 ID:noA+edE40(1) AAS
>>912
買い切りが一番有難い。
ローカル管理のソフトだとプラットフォーム毎に買わなきゃいけないソフトが多い中、
何れか1つ買えばいいのも助かる。
PC、iPhone、AndroidをGoogleDriveで同期して使ってる。
919: 2020/10/11(日)17:08 ID:jsJIlE4A0(2/2) AAS
>>914
間違えた
×iPhoneとiOSはEnpass
〇iPhoneとmacOSはEnpass
920: 2020/10/11(日)20:48 ID:fhKrl/7k0(1) AAS
enpassって課金する程便利で安全なものなの?
初めて使ったパスワード管理ソフトのbitwardenをそのまま使い続けてるからわからん。
921: 2020/10/11(日)20:57 ID:ohUkcqcJ0(1) AAS
それなりに広く利用者がいて悪評がないのなら
とりあえずいいんじゃね?
こだわるなら自分で勉強するしかない
922: 2020/10/11(日)23:33 ID:dd1eRlom0(2/2) AAS
>>917
確かに
でも2FAアプリとパスワードマネージャーを別々に使うのだんだん面倒くさくなってきて結局Keepassで一緒に管理してるわ
923: 2020/10/12(月)17:05 ID:E5Y1DsFk0(1) AAS
TOTP 使うのはセキュリティのためじゃなくて
パスワードは合ってるのに不正アクセスと誤認されて最悪ログインをブロックされるというリスクを下げるためなので
普通にKeePassで一元管理してる
TOTP をちゃんと運用するなら、シークレットキーのバックアップは厳禁、バックアップコードは紙に印刷して保存、って感じでかなり面倒くさい
そこまでして知識、所有の厳密な2要素にこだわるよりは、KeePassの暗号強度(と流出対策)を信頼するね
924: 2020/10/12(月)17:17 ID:1vaY9qRz0(1) AAS
暗号化して保管しとけばいいだろ
925(1): 2020/10/13(火)04:37 ID:V6obex+h0(1) AAS
暗号を過信するのは良くないけどね
解けない暗号は無いから
926: 2020/10/13(火)07:10 ID:ONb4YLIZ0(1) AAS
MOに入れてネットワークから切り離して保管してる
927: 2020/10/13(火)20:11 ID:2Iola7qW0(1/2) AAS
>>925
マスターキーが推測不能かつ20文字以上なら、国家権力レベルを仮に想定したとしても解けない暗号と言っていいでしょ
まあ、PCに特殊なマルウェア仕込まれるとか、入力画面を盗み見されるとか、凶器で脅されるとか、
暗号化では守れないリスクはいろいろあるが、その辺は利便性とのバーターで諦める
928: 2020/10/13(火)21:15 ID:imI9KuSP0(1/2) AAS
暗号に穴がないとは言えない。
数学の大発見があればそれで終わる可能性もある。
金庫で例えれば、
鍵が盗難される可能性、
錠の複雑さ、
金庫自体の堅牢さ、
これはまったく別の問題。
929: 2020/10/13(火)21:19 ID:wjxssEye0(1) AAS
所詮は時間稼ぎのツールだから
寿命まで逃げきれば勝ち
930: 2020/10/13(火)23:30 ID:2Iola7qW0(2/2) AAS
多少の高速化はあり得るだろうし、安全マージン加えて鍵を複雑にするくらいはやるが
暗号化が無意味になるレベルの数学的発見まで脅威と捉えるなら、インターネット捨てるしかないね
個人のパスワード管理なんてどうでもいいくらい影響範囲が大きすぎる
931: 2020/10/13(火)23:53 ID:imI9KuSP0(2/2) AAS
ドイツのエニグマもまさかコンピュータ使って解読されるとは思っていなかった。
そして解いたイギリスも解いた事はずっと伏せていた。
つまり、解かれても何事もなかったようにインターネットは継続するのよ。
932: 2020/10/13(火)23:59 ID:9Oi/DmTM0(1) AAS
ネット銀行のワンタイムパスワードの暗号方式が漏れてるとかなんとか言ってた人いたけど漏れてるなら暗号方式変えないの?
ワンタイムパスワードが漏れてワンタイムパスワード端末がなくても数字わかるとかヤバない?
933: 2020/10/14(水)00:24 ID:RPFkJIiu0(1) AAS
初耳なんだけどそれホント?にわかには信じがたい話だなあ
実際にワンタイムパスワードが破られて不正送金された事例とか聞いたことないし
934: 2020/10/14(水)02:49 ID:HAmLovCQ0(1) AAS
「ワンタイムパスワードの暗号方式が漏れてる」
935: 2020/10/14(水)07:49 ID:VZYprdKe0(1) AAS
RFC 6238
936: 2020/10/14(水)12:14 ID:cFnI6luO0(1) AAS
秘密鍵が知られなければ何の問題もない。
937: 2020/10/14(水)18:29 ID:VEulbwq30(1) AAS
猟師コンピュータが出来れば、ズドンで終わる
938(1): 2020/10/14(水)18:30 ID:aPJUPNzO0(1) AAS
bitwardenの脆弱性がどうたらって結局どうなったんだ
939: 2020/10/14(水)18:42 ID:3NE5avuL0(1) AAS
嘘か本当か知らんがドコモ口座が問題になった時にワンタイムパスワードの事も触れてテレビにも出てる専門家が言ってたな
ワンタイムパスワードの規格を決めてる所がハッキングされて
暗号方式の中身が盗まれたからワンタイムパスワードも安心じゃないとかなんとか
940(3): 2020/10/14(水)19:07 ID:ux0Ld+f50(1/2) AAS
>>938
>>631だけどJPCERTに問い合わせ送った事すら忘れてて今メール覗いてみたけど、一切返信なかったわ
念の為にBitwardenにも送ってたけどこちらも返信なし
これって問題にならない程度の手法ってことか?
マスターパスワードさえ漏れなきゃ問題ないからどうとも言えんけど
941(1): 2020/10/14(水)20:15 ID:k0xQdkVE0(1) AAS
やはり時代は石板か
942(1): 2020/10/14(水)20:20 ID:IHfUQrvD0(1) AAS
>>940
捨てメールじゃなくて、本メール使ったんすか?
943: 2020/10/14(水)20:23 ID:ux0Ld+f50(2/2) AAS
>>942
フォームにはちゃんとGMailのアドレス入力したぞ
944: 2020/10/14(水)20:46 ID:X5uqLYlR0(1) AAS
そりゃ規格を決めてるところが秘密情報を持ってる暗号方式なんて
安心して使えないよな
945: 2020/10/14(水)21:02 ID:txH24ubu0(1) AAS
なんとなく話を聞いた印象だと初期パスワードを秘密鍵の生成に流用するとかの類なのかな
946: 2020/10/14(水)21:22 ID:McdE+eLb0(1) AAS
>>941
やっぱ完全記憶能力でしょ
947(1): 2020/10/14(水)22:33 ID:9P78+tWJ0(1/2) AAS
>>940
ずっと返信無いなら、Bitwardenの公式フォーラムかGitHubかでオープンにしようよ
話の通りだとしてもバレたらそ
948: 2020/10/14(水)22:39 ID:9P78+tWJ0(2/2) AAS
>>947
バレたら即ユーザが危険にさらされるわけではないし
正しくとも勘違いでも、オープンにならないと、ただの風説の流布
949: 2020/10/14(水)22:41 ID:LBcSKCpN0(1) AAS
スレチだけど一応
nano系の広告ブロックは速やかに削除しましょう
外部リンク:280blocker.net
950: 2020/10/15(木)00:19 ID:1365Y5gB0(1/2) AAS
メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
951(1): 2020/10/15(木)00:20 ID:1365Y5gB0(2/2) AAS
メールアドレスとパスワードわかれば、TOTPで固定6桁*6パターンを30秒毎にCLIでリクエスト送信してればいつか(大体2ヶ月以内、運が悪ければ即日)当たる問題
///ここから一番の問題点
なお、Bitwardenは1分間に一定回数までといった制限はあるが、何回失敗してもリクエスト自体に制限をかけることはせず、ユーザーへの連絡もない
///ここまで
ログインされた時にはメールが届くが、ユーザーが気づいた時には既に遅くログインされた瞬間にコマンド1つで全情報がCSVでぶっこ抜かれる
また、1分あたりの上限はアカウントごとなので複数アカウントに対して同時に攻撃が実行される可能性大
952: 2020/10/15(木)00:26 ID:gL5V5o790(1) AAS
そのBitwardenの脆弱性って最新のバージョンでも修正されてないの?
実はメールを読んでてすでに修正してるとか?もしかしたらだけど
953: 2020/10/15(木)00:30 ID:Rs35GMVy0(1) AAS
>>951
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする
954: 2020/10/15(木)00:30 ID:2CqtpzZB0(1) AAS
今流行りのリバースブルートフォース
955(2): 2020/10/15(木)00:40 ID:dwOrVfH90(1) AAS
取りあえず2FAはメール受信に切り替えた
さすがにメールならすぐ気がつくだろう
956: 2020/10/15(木)00:45 ID:xbc/CcoW0(1) AAS
>>955
メアドは別のにした?同じだとメアド乗っ取られたとき大変だよ
957: 2020/10/15(木)01:12 ID:axAmzWrq0(1) AAS
これはフォーラムに書いてもいいんじゃないかな
958: 2020/10/15(木)01:21 ID:T0WY0ukp0(1) AAS
皆が寝静まった深夜に爆弾落とすスタイル
959: 2020/10/15(木)01:41 ID:UuiICp/v0(1/2) AAS
bitwardenに限らずTOTPならどこでも?
960: 2020/10/15(木)01:49 ID:Gjno9AQp0(1) AAS
対策されてなければどこでも
961: 2020/10/15(木)01:51 ID:hXcnFnoe0(1) AAS
>>940
IPAに出したのかい?
外部リンク:www.ipa.go.jp
外部リンク[html]:isec-vul-form.ipa.go.jp
962: 2020/10/15(木)02:33 ID:UuiICp/v0(2/2) AAS
TOTPが弱いからダメ、という点ではなく
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか?
963: 2020/10/15(木)07:15 ID:R+sDkxST0(1) AAS
りょうここんぴゅーたーならあっという間っていうてた
964(1): 2020/10/15(木)08:52 ID:AD0hJjYg0(1) AAS
昨日からbitwarden使い始めたってのに…
965: 2020/10/15(木)09:59 ID:bsdwCdmu0(1) AAS
暫定対応は>>955でいい感じかな
966: 2020/10/15(木)10:01 ID:4ZdWsDXE0(1) AAS
bitwarden使ってないしTOTPの脆弱性もピンとこないが
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる
967: 2020/10/15(木)10:35 ID:2/naAJao0(1) AAS
よくわからんけどbitwardenのマスターTOTPは暗号鍵が固定でパターンが6個しかないってこと?
暗号鍵の再発行ができるようになってないなら確かに問題だが
チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし
968: 2020/10/15(木)11:15 ID:U23NcZ6M0(1) AAS
>>964
だからenpassにしろとあれほど・・・
969: 2020/10/15(木)12:13 ID:SeTnZEGS0(1) AAS
OTPの別入力を許すサービス設計は昔からあって
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ
慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・
脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど
970(1): 2020/10/15(木)13:25 ID:meAthy8q0(1) AAS
許容するにしても警告なしは普通にマズくね?
例えば5回連続で失敗したら一時的(1時間位)にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは...
971: 2020/10/15(木)13:28 ID:I+nUsbAy0(1) AAS
>>970
それな
実際TOTPロストした奴がこの手法でアカウントにアクセスできてる時点で何らかの対策をとる必要があると思う
972: 2020/10/15(木)13:32 ID:atqAmJsS0(1) AAS
二段階認証をメール方式にする
※Bitwarden登録に使用したメールアドレス以外
無料会員の暫定対応はこれであってるかな?
有料会員ならもっと選択肢ありそうだけど
973: 2020/10/15(木)13:35 ID:Mq+AOywu0(1) AAS
慣例ってこわい
974: 2020/10/15(木)13:44 ID:idkH8bgp0(1) AAS
2段階認証してないわいには逆に関係なかった
975: 2020/10/15(木)16:39 ID:lgoUEM0H0(1/2) AAS
Nanoまじか削除してくる
976: 2020/10/15(木)17:47 ID:maeuJBWI0(1) AAS
自分が「こうあるべき」「これが必要」と思うのは自由だし
利用を中止するのも気にしないのも緩和策を選ぶのも運営元に要望を出すのも自由だけど
公的機関が脆弱性として扱うかどうかは自分がどう思うかとは別問題ってこと
977(1): 2020/10/15(木)18:22 ID:oAsYSWiG0(1) AAS
まあその方針を貫いた結果が今問題の地銀アタックなんだけどな
978: 2020/10/15(木)18:32 ID:KXpZXLhb0(1) AAS
パスワードマネージャーはKeepassが安定最強って認識でOK?
979: 2020/10/15(木)18:39 ID:1+xwkoKB0(1) AAS
KeePassXCがさいつよ
980: 2020/10/15(木)18:49 ID:V95EAilK0(1) AAS
いまいち違いが分からない
981: 2020/10/15(木)20:26 ID:UGcNWuZy0(1) AAS
ウロボロスの2段階認証がどんどん複雑になってゆく
982: 2020/10/15(木)22:00 ID:3DGdTnlr0(1) AAS
自分で如何様にも強化できるKeepassだな!
983: 2020/10/15(木)22:11 ID:lgoUEM0H0(2/2) AAS
Keepassは情弱には厳しいから初心者はEnpassでも買っとけ
984: 2020/10/15(木)23:25 ID:qevqA5bl0(1) AAS
KeePass新規はKeePassXCがいいぞ、UIがよりスッキリしててわかりやすい
Android も iOS も UI 良くした新規アプリが続々出てきてて、やはり熱気あるコミュニティは良い
985: 2020/10/16(金)01:09 ID:uTvbmw3G0(1) AAS
>>977
あれがやらかしたのは
「TOTPがあるからマスターパスワードは廃止してもいいよね」
レベルだからダメさの桁が違う
986(2): 2020/10/16(金)02:40 ID:yVBOay6s0(1) AAS
外部リンク:www.keepassdx.com
AndroidアプリでKeepassDXってのが最近出てきたけどこれイイよ
ずっとKeepass2Android使ってて特に不満はなかったけど見た目はDXの方が今風で好みだからこっちに換えた
987(1): 2020/10/16(金)05:16 ID:TyURB4g+0(1) AAS
>>986
試したけどUIはシンプルでこっちの方がいいな
データベースマージ機能無し?でPCとクラウド同期してると上書きされてデータ消えそうで様子見
988(2): 2020/10/16(金)06:57 ID:sXWXcC6v0(1/2) AAS
>>986
KeePassDXイイネ Googleアンケートで残高貯まってたからさっそくPro版買ったわ
989: 2020/10/16(金)07:16 ID:tWohs8bd0(1) AAS
次スレたのんます
990: 2020/10/16(金)08:26 ID:x3ty1czn0(1) AAS
keepassはプラットフォームや
プラグイン毎に全部作者が違うのがちょっとね
他は不満無かったけどそれが嫌で
enpassに切り替えた
991(1): 2020/10/16(金)08:38 ID:VMocCjMr0(1/3) AAS
>>988
pro版は開発支援版だから、普段使いは今のところ無料版のほうがいいかも
違いはSteam TOTPに対応して、2つテーマが増えるだけで
無料版のBeta版基準で更新されるから、まれに安定してないときがある
(今はBeta版出てないから、無料版と有料版は同じバージョンだけどね)
992: 2020/10/16(金)10:45 ID:eZh7p+OD0(1) AAS
うめちゃん
993: 2020/10/16(金)12:21 ID:VSLIVYjE0(1) AAS
androidはオープンソースで優秀なアプリがあるからいいな
994: 2020/10/16(金)14:59 ID:VMocCjMr0(2/3) AAS
KeePass クライアントに限っては Strongbox も KeePassium もオープンソース
とはいえGPLライセンスとApp Storeの規約は非互換なので、事実上改造も再配布も禁じられているようなものだが
995(2): 2020/10/16(金)17:43 ID:w0I+fWIg0(1) AAS
>>987
データベースのバックアップ機能などはまだまだ発展の余地はありそうだね
自分は個人利用の環境だけど各端末とクラウド同期しても使用上の不具合は起きてないよ
>>988
自分も気に入ったから応援の意味も込めてPro版購入したよ〜
996: 2020/10/16(金)18:16 ID:5F0KAgQJ0(1) AAS
次スレ
パスワード管理ツール Part11
2chスレ:software
997(1): 2020/10/16(金)18:27 ID:sXWXcC6v0(2/2) AAS
>>991
>無料版のBeta版基準で更新されるから
これは知らなかったけど、あとはわかった上で金払ったよ >>995と同じく応援したかったから
998: 2020/10/16(金)19:47 ID:oJ3XKi2s0(1) AAS
iOS用のKeePassクライアントはなにがいいんだろ
999: 2020/10/16(金)19:55 ID:/NI3f/ow0(1) AAS
埋め宮アンナ
1000: 2020/10/16(金)19:57 ID:VMocCjMr0(3/3) AAS
>>995
作者はバックアップ機能の実装には消極的っぽい
バックアップには Syncthing とか外部アプリを使うことを推してる感じ
とはいえ、競合したらデータベースのマージができるようにはしようとしてるみたい
>>997
自分も応援で金払ってるし、テスターのつもりで Pro 版使ってるけど
前安定版から現バージョンまでそこそこバグ出してたからね、一部端末で起動時クラッシュとか
個人開発で機能追加も活発だと品質保証までリソースが回らないのも当たり前だし、ベータテスターの確保なしには安定版はリリースできないけど
Proという名前で不安定なのはええんか?と思わなくもない
1001(1): 1001 ID:Thread(1/2) AAS
このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 197日 3時間 35分 9秒
1002(1): 1002 ID:Thread(2/2) AAS
5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
省4
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.340s*