パスワード管理ツール Part10

1 ：名無しさん＠お腹いっぱい。：2020/04/02(木) 16:22:32.91 ID:FCfy+SDh0.net

パスワード管理ツール（ソフトウェア）について語るスレです。

前スレ
パスワード管理ツール Part9
https://egg.5ch.net/test/read.cgi/software/1551079734/

952 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 00:26:41.93 ID:gL5V5o790.net

そのBitwardenの脆弱性って最新のバージョンでも修正されてないの？
実はメールを読んでてすでに修正してるとか？もしかしたらだけど

953 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 00:30:13.52 ID:Rs35GMVy0.net

>>951
脆弱性といえば脆弱性だけど運営の管理方法の問題な気がする

954 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 00:30:43.39 ID:2CqtpzZB0.net

今流行りのリバースブルートフォース

955 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 00:40:46.65 ID:dwOrVfH90.net

取りあえず2FAはメール受信に切り替えた
さすがにメールならすぐ気がつくだろう

956 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 00:45:26.10 ID:xbc/CcoW0.net

>>955
メアドは別のにした？同じだとメアド乗っ取られたとき大変だよ

957 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 01:12:06.46 ID:axAmzWrq0.net

これはフォーラムに書いてもいいんじゃないかな

958 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 01:21:08.56 ID:T0WY0ukp0.net

皆が寝静まった深夜に爆弾落とすスタイル

959 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 01:41:01.93 ID:UuiICp/v0.net

bitwardenに限らずTOTPならどこでも？

960 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 01:49:47.31 ID:Gjno9AQp0.net

対策されてなければどこでも

961 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 01:51:05.50 ID:hXcnFnoe0.net

>>940
IPAに出したのかい？
https://www.ipa.go.jp/security/vuln/report/
https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html

962 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 02:33:43.20 ID:UuiICp/v0.net

TOTPが弱いからダメ、という点ではなく
第一段階のパスワード認証に成功して第二段階のTOTPで失敗した場合の警告がないのがダメ
ということでしょうか？

963 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 07:15:54.60 ID:R+sDkxST0.net

りょうここんぴゅーたーならあっという間っていうてた

964 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 08:52:11.64 ID:AD0hJjYg0.net

昨日からbitwarden使い始めたってのに…

965 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 09:59:11.65 ID:bsdwCdmu0.net

暫定対応は>>955でいい感じかな

966 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 10:01:20.46 ID:4ZdWsDXE0.net

bitwarden使ってないしTOTPの脆弱性もピンとこないが
TOTPは手動登録コードがわかれば再現できるわけでパス管理と同じだと思ってる
各パスは1ヶ月毎に変更してるのでTOTPもその時に再登録してる

967 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 10:35:00.32 ID:2/naAJao0.net

よくわからんけどbitwardenのマスターTOTPは暗号鍵が固定でパターンが6個しかないってこと？
暗号鍵の再発行ができるようになってないなら確かに問題だが

チャレンジが永遠にできてしまう構造なのはTOTPが時限かつ手動入力な限りしょうがない気もする
操作に難がある人がゆっくりやれず何度も失敗するのはあり得るし

968 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 11:15:59.52 ID:U23NcZ6M0.net

>>964
だからenpassにしろとあれほど･･･

969 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 12:13:23.06 ID:SeTnZEGS0.net

OTPの別入力を許すサービス設計は昔からあって
サービスごとのリスク許容範囲によって選択するものってのが慣例だから
脆弱性とは見なされないんじゃないかなぁ

慣例なのに脆弱性扱いされてみんなびっくりってのも
少なからずあるが・・・

脆弱性じゃなくても自分には許容できないリスクだから
そのサービスを使わないとか
サービスにリスク許容範囲を狭めるように要望する
っていうのはもちろん各個人の自由だけど

970 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 13:25:06.19 ID:meAthy8q0.net

許容するにしても警告なしは普通にマズくね？
例えば5回連続で失敗したら一時的（1時間位）にアクセス制限してメールなり何なりで警告してマスターパスワード変更を誘導するべきでは...

971 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 13:28:16.73 ID:I+nUsbAy0.net

>>970
それな
実際TOTPロストした奴がこの手法でアカウントにアクセスできてる時点で何らかの対策をとる必要があると思う

972 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 13:32:58.98 ID:atqAmJsS0.net

二段階認証をメール方式にする
※Bitwarden登録に使用したメールアドレス以外

無料会員の暫定対応はこれであってるかな？
有料会員ならもっと選択肢ありそうだけど

973 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 13:35:09.38 ID:Mq+AOywu0.net

慣例ってこわい

974 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 13:44:28.00 ID:idkH8bgp0.net

2段階認証してないわいには逆に関係なかった

975 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 16:39:18.37 ID:lgoUEM0H0.net

Nanoまじか削除してくる

976 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 17:47:34.15 ID:maeuJBWI0.net

自分が「こうあるべき」「これが必要」と思うのは自由だし
利用を中止するのも気にしないのも緩和策を選ぶのも運営元に要望を出すのも自由だけど
公的機関が脆弱性として扱うかどうかは自分がどう思うかとは別問題ってこと

977 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 18:22:13.35 ID:oAsYSWiG0.net

まあその方針を貫いた結果が今問題の地銀アタックなんだけどな

978 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 18:32:46.52 ID:KXpZXLhb0.net

パスワードマネージャーはKeepassが安定最強って認識でOK?

979 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 18:39:20.08 ID:1+xwkoKB0.net

KeePassXCがさいつよ

980 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 18:49:10.02 ID:V95EAilK0.net

いまいち違いが分からない

981 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 20:26:30.33 ID:UGcNWuZy0.net

ウロボロスの2段階認証がどんどん複雑になってゆく

982 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 22:00:46.88 ID:3DGdTnlr0.net

自分で如何様にも強化できるKeepassだな！

983 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 22:11:25.51 ID:lgoUEM0H0.net

Keepassは情弱には厳しいから初心者はEnpassでも買っとけ

984 ：名無しさん＠お腹いっぱい。：2020/10/15(木) 23:25:24.15 ID:qevqA5bl0.net

KeePass新規はKeePassXCがいいぞ、UIがよりスッキリしててわかりやすい
Android も iOS も UI 良くした新規アプリが続々出てきてて、やはり熱気あるコミュニティは良い

985 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 01:09:18.76 ID:uTvbmw3G0.net

>>977
あれがやらかしたのは
「TOTPがあるからマスターパスワードは廃止してもいいよね」
レベルだからダメさの桁が違う

986 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 02:40:34.95 ID:yVBOay6s0.net

https://www.keepassdx.com/
AndroidアプリでKeepassDXってのが最近出てきたけどこれイイよ
ずっとKeepass2Android使ってて特に不満はなかったけど見た目はDXの方が今風で好みだからこっちに換えた

987 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 05:16:21.41 ID:TyURB4g+0.net

>>986
試したけどUIはシンプルでこっちの方がいいな

データベースマージ機能無し？でPCとクラウド同期してると上書きされてデータ消えそうで様子見

988 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 06:57:11.12 ID:sXWXcC6v0.net

>>986
KeePassDXイイネ Googleアンケートで残高貯まってたからさっそくPro版買ったわ

989 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 07:16:42.39 ID:tWohs8bd0.net

次スレたのんます

990 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 08:26:15.72 ID:x3ty1czn0.net

keepassはプラットフォームや
プラグイン毎に全部作者が違うのがちょっとね
他は不満無かったけどそれが嫌で
enpassに切り替えた

991 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 08:38:49.93 ID:VMocCjMr0.net

>>988
pro版は開発支援版だから、普段使いは今のところ無料版のほうがいいかも
違いはSteam TOTPに対応して、2つテーマが増えるだけで
無料版のBeta版基準で更新されるから、まれに安定してないときがある
（今はBeta版出てないから、無料版と有料版は同じバージョンだけどね）

992 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 10:45:44.99 ID:eZh7p+OD0.net

うめちゃん

993 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 12:21:38.13 ID:VSLIVYjE0.net

androidはオープンソースで優秀なアプリがあるからいいな

994 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 14:59:20.36 ID:VMocCjMr0.net

KeePass クライアントに限っては Strongbox も KeePassium もオープンソース
とはいえGPLライセンスとApp Storeの規約は非互換なので、事実上改造も再配布も禁じられているようなものだが

995 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 17:43:49.54 ID:w0I+fWIg0.net

>>987
データベースのバックアップ機能などはまだまだ発展の余地はありそうだね
自分は個人利用の環境だけど各端末とクラウド同期しても使用上の不具合は起きてないよ
>>988
自分も気に入ったから応援の意味も込めてPro版購入したよ〜

996 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 18:16:38.60 ID:5F0KAgQJ0.net

次スレ
パスワード管理ツール Part11
https://egg.5ch.net/test/read.cgi/software/1602839772/

997 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 18:27:16.13 ID:sXWXcC6v0.net

>>991
>無料版のBeta版基準で更新されるから
これは知らなかったけど、あとはわかった上で金払ったよ >>995と同じく応援したかったから

998 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 19:47:20.12 ID:oJ3XKi2s0.net

iOS用のKeePassクライアントはなにがいいんだろ

999 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 19:55:23.69 ID:/NI3f/ow0.net

埋め宮アンナ

1000 ：名無しさん＠お腹いっぱい。：2020/10/16(金) 19:57:41.36 ID:VMocCjMr0.net

>>995
作者はバックアップ機能の実装には消極的っぽい
バックアップには Syncthing とか外部アプリを使うことを推してる感じ
とはいえ、競合したらデータベースのマージができるようにはしようとしてるみたい
>>997
自分も応援で金払ってるし、テスターのつもりで Pro 版使ってるけど
前安定版から現バージョンまでそこそこバグ出してたからね、一部端末で起動時クラッシュとか
個人開発で機能追加も活発だと品質保証までリソースが回らないのも当たり前だし、ベータテスターの確保なしには安定版はリリースできないけど
Proという名前で不安定なのはええんか？と思わなくもない

1001 ：2ch.net投稿限界：Over 1000 Thread

2ch.netからのレス数が1000に到達しました。