アカウント名:
パスワード:
ご冗談を(笑)それとも宣伝?
専門家はそのくらいみんな自分で作るって話じゃないんですか?
サイトごとにランダム生成したパスワード使ってるからいちいち覚えてられねーわ
同じく。サイト毎に強固なパスワードを用意するとなると、この手のツールがないとやってられません。あと記憶すべきパスワードの数が激減するので、手入力するしかないパスワード(PCのログインとか、管理ツールのパスワード等)を長く複雑にしても、なんとか憶えていられるんですよね。このへんもパスワード管理ツールを使うメリットになるかと。
一般人は全部覚えると聞いて管理ツールを開いたら、アカウントが300個近くあった [twitter.com]とか400個近くあった [twitter.com]といった声が寄せられております。まあWi-FiのWPA鍵なんかも含めてでしょうけど、400個のIDとパスワードの組を覚えておける記憶力か、ポストイットに書いて貼れる広い壁があれば、それでもいいのかもしれませんな。
こっち [kingjim.co.jp]の話だったり
完全オフライン動作なら大丈夫だろ。ネットワーク機能を持ってたら使うのは論外だが。
ところがオンラインストレージに入れるのが最強!とかのたまう奴がたくさんいるですよ。
例えば KeePass だとパスワードの他に鍵ファイルも指定出来るので、オンラインストレージにパスワードDB放り込んでも鍵ファイルがないと解読は事実上不可能なんですよ。だから、パスワードDBはオンラインへ。鍵ファイルはローカルにだけ保持。って運用で問題ない。OSS なので、ソースいじって多重鍵ファイル化するというのも手です。
アプリ自体にトロイがしこまれる危険を言っているならほとんど何も使えなくなるローカルで管理するアプリでやられてたらはポストイットつかっててもキーロガーで抜かれそうだし
おそらく「充分複雑なパスワードを使う」ための、組み合わせとして必要、ということなのでしょう。#あと管理ツールが自作かどうかも不明、という逃げ方もあるかもしれぬ。
例えば選択肢が以下だとして、(1) ディスプレイにポストイット(2) パスワード管理ツール(3) 自分で覚えられるパスワード
家のPCであれば、「家の管理が充分強固であれば」(他人は入れない前提)だと(1)が最強かもしれない。
持ち歩いて出先で使うPCやスマホなら、(1)よりは(2)の方がマシだろう。
自分がデバイスの管理状況を把握できないのであれば、涙をのんで(3)を選ぶことになる。
・・・みたいな?
最近では8文字でも短いって言われるし、数十、そのうち百超えるんじゃないかって数だし、家PCでも、いちいち手書き手入力手動生成とか面倒臭すぎてやってられない。
その書き方ですと、画面横の付箋もセキュアではないとお考えのようですねソフトウェアを使うのもダメ、物理的もダメいったいどのように、サイトごとに異なるそれなりに複雑なパスワードを管理されているのか参考までに教えていただけますでしょうか
共通のパスワードとサイトのFQDNを文字列連結してMD5を脳内計算とか。
MD5じゃ暗算で解読されるからSHA256くらいにしておきませんか
大文字も混ぜたいので、 base64 エンコードしましょうよ
信頼のおけるメーカーのアプリを選ぶしかないね。
Macの場合だと、OSにKeyChainというパスワード管理機能があるから、それが使える(ほぼウェブでしか使えないけど)。さすがにOSメーカーのソフトなら信じるしかない。これ疑うとパソコン使えない。ウェブブラウザのパスワード保存機能も同様か。サイトでパスワードを入力するわけだから、抜こうと思えば抜ける。ので信じるしかない。
オープンソースのものを選んで自分でコード確認して使うのがベストだろうけど、普通は無理だよね。まぁ有名どころのものなら実績もあるし、もし変なことしたら事業が終了するリスクあるから、変なことはしにくいとは思う。自分は1password使ってる。Windows時代はKeypass使ってたけど。
AppStoreなどに、無名メーカーのパスワード管理アプリがいろいろあるけど、怪しすぎて絶対使わない。けど、"一般ユーザー"は気にせず使ってるようだ。あいつら、無料で便利だったらセキュリティ気にしないからな。
それは個人で判断すればいいだけの話。そもそも信用を担保なんて、どんなものでも不可能。
ポストイットだったら信用できるかというとそうじゃない。他人に見られるかもしれないし、紛失するかもしれないし。金庫に入れるなら、その金庫に信用がおけるか、どう担保する?
どんなものにも100%の信頼や保証なんて不可能。これくらいなら大丈夫だろう、というのを個人で判断するしかない。
あなたはどうOSやブラウザの信頼性を担保してパスワードを入力してるのですか?Firewallで外に出るのをフィルタリングしてるのかもしれませんが、許可してるサーバーあてにどんな内容を送ってるのか、毎回中身までチェックしてるのですか?
>信頼のおけるメーカーのアプリを選ぶその信頼性をどう担保するのか不明だからポストイットの方が安全ということになるのでしょう。
3M社の信頼性は、どのように評価されたのでしょうか?
サイトごとに異なるパスワードを使い、フィッシングサイトや他サイトへの誤入力を防ぐ観点から、専門家の間では多数派のようです。
使わないで済むぐらい簡単なパスワードなんですねわかります
使ったことないけど、パスワード管理ツール自体のセキュリティ強度とか、ツール自体が不意に使えなくなったときの復旧手段があるのかとかは調べた上で使いたい。
# え?クラウドでも共有できる?ご冗談を
半年毎だと、yearmaehoge0yearatohoge1とかやりそう > ジブン
良いハードウェアがあればいいのだけどなかなか無い。どれもこれもPCやられたら全部抜けそうなものばかり。
1000個のパスワード、10年前のパスワードは覚えられない。記録しておかないと自分がいくつパスワードを設定したかを忘れませんか?
間違いなく宣伝もしくはセキュリティ専門家(笑)とかなんじゃないかな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
パスワード管理ツールを使う? (スコア:0)
ご冗談を(笑)
それとも宣伝?
Re:パスワード管理ツールを使う? (スコア:1)
専門家はそのくらいみんな自分で作るって話じゃないんですか?
Re: (スコア:0)
サイトごとにランダム生成したパスワード使ってるから
いちいち覚えてられねーわ
Re:パスワード管理ツールを使う? (スコア:3)
同じく。
サイト毎に強固なパスワードを用意するとなると、この手のツールがないとやってられません。
あと記憶すべきパスワードの数が激減するので、手入力するしかないパスワード(PCのログインとか、管理ツールのパスワード等)を長く複雑にしても、なんとか憶えていられるんですよね。
このへんもパスワード管理ツールを使うメリットになるかと。
Re:パスワード管理ツールを使う? (スコア:2)
ディスプレイの脇にポストイットで張っておいた方がまだ安全な気がするが
Re:パスワード管理ツールを使う? (スコア:2)
一般人は全部覚えると聞いて管理ツールを開いたら、アカウントが300個近くあった [twitter.com]とか400個近くあった [twitter.com]といった声が寄せられております。
まあWi-FiのWPA鍵なんかも含めてでしょうけど、400個のIDとパスワードの組を覚えておける記憶力か、ポストイットに書いて貼れる広い壁があれば、それでもいいのかもしれませんな。
Re:パスワード管理ツールを使う? (スコア:1)
こっち [kingjim.co.jp]の話だったり
Re: (スコア:0)
完全オフライン動作なら大丈夫だろ。
ネットワーク機能を持ってたら使うのは論外だが。
Re: (スコア:0)
ところがオンラインストレージに入れるのが最強!とかのたまう奴がたくさんいるですよ。
Re:パスワード管理ツールを使う? (スコア:2)
例えば KeePass だと
パスワードの他に鍵ファイルも指定出来るので、
オンラインストレージにパスワードDB放り込んでも
鍵ファイルがないと解読は事実上不可能なんですよ。
だから、パスワードDBはオンラインへ。
鍵ファイルはローカルにだけ保持。
って運用で問題ない。
OSS なので、ソースいじって多重鍵ファイル化するというのも手です。
uxi
Re: (スコア:0)
アプリ自体にトロイがしこまれる危険を言っているなら
ほとんど何も使えなくなる
ローカルで管理するアプリでやられてたらはポストイットつかってても
キーロガーで抜かれそうだし
Re: (スコア:0)
おそらく「充分複雑なパスワードを使う」ための、組み合わせとして必要、ということなのでしょう。
#あと管理ツールが自作かどうかも不明、という逃げ方もあるかもしれぬ。
例えば選択肢が以下だとして、
(1) ディスプレイにポストイット
(2) パスワード管理ツール
(3) 自分で覚えられるパスワード
家のPCであれば、「家の管理が充分強固であれば」(他人は入れない前提)だと(1)が最強かもしれない。
持ち歩いて出先で使うPCやスマホなら、(1)よりは(2)の方がマシだろう。
自分がデバイスの管理状況を把握できないのであれば、涙をのんで(3)を選ぶことになる。
・・・みたいな?
Re: (スコア:0)
最近では8文字でも短いって言われるし、数十、そのうち百超えるんじゃないかって数だし、家PCでも、いちいち手書き手入力手動生成とか面倒臭すぎてやってられない。
Re: (スコア:0)
その書き方ですと、画面横の付箋もセキュアではないとお考えのようですね
ソフトウェアを使うのもダメ、物理的もダメ
いったいどのように、サイトごとに異なるそれなりに複雑なパスワードを管理されているのか
参考までに教えていただけますでしょうか
Re:パスワード管理ツールを使う? (スコア:1)
共通のパスワードとサイトのFQDNを文字列連結してMD5を脳内計算とか。
Re: (スコア:0)
MD5じゃ暗算で解読されるからSHA256くらいにしておきませんか
Re: (スコア:0)
大文字も混ぜたいので、 base64 エンコードしましょうよ
Re: (スコア:0)
信頼のおけるメーカーのアプリを選ぶしかないね。
Macの場合だと、OSにKeyChainというパスワード管理機能があるから、それが使える(ほぼウェブでしか使えないけど)。
さすがにOSメーカーのソフトなら信じるしかない。これ疑うとパソコン使えない。
ウェブブラウザのパスワード保存機能も同様か。サイトでパスワードを入力するわけだから、抜こうと思えば抜ける。ので信じるしかない。
オープンソースのものを選んで自分でコード確認して使うのがベストだろうけど、普通は無理だよね。
まぁ有名どころのものなら実績もあるし、もし変なことしたら事業が終了するリスクあるから、変なことはしにくいとは思う。
自分は1password使ってる。Windows時代はKeypass使ってたけど。
AppStoreなどに、無名メーカーのパスワード管理アプリがいろいろあるけど、怪しすぎて絶対使わない。
けど、"一般ユーザー"は気にせず使ってるようだ。あいつら、無料で便利だったらセキュリティ気にしないからな。
Re: (スコア:0)
その信頼性をどう担保するのか不明だから
ポストイットの方が安全ということになるのでしょう。
「信じるしかない」とか、「変なことはしにくい」とか
何の保証にもならないです。
Re: (スコア:0)
それは個人で判断すればいいだけの話。
そもそも信用を担保なんて、どんなものでも不可能。
ポストイットだったら信用できるかというとそうじゃない。
他人に見られるかもしれないし、紛失するかもしれないし。金庫に入れるなら、その金庫に信用がおけるか、どう担保する?
どんなものにも100%の信頼や保証なんて不可能。
これくらいなら大丈夫だろう、というのを個人で判断するしかない。
あなたはどうOSやブラウザの信頼性を担保してパスワードを入力してるのですか?
Firewallで外に出るのをフィルタリングしてるのかもしれませんが、許可してるサーバーあてにどんな内容を送ってるのか、毎回中身までチェックしてるのですか?
Re: (スコア:0)
>信頼のおけるメーカーのアプリを選ぶ
その信頼性をどう担保するのか不明だから
ポストイットの方が安全ということになるのでしょう。
3M社の信頼性は、どのように評価されたのでしょうか?
Re: (スコア:0)
サイトごとに異なるパスワードを使い、フィッシングサイトや他サイトへの誤入力を防ぐ観点から、専門家の間では多数派のようです。
Re: (スコア:0)
使わないで済むぐらい簡単なパスワードなんですねわかります
Re: (スコア:0)
使ったことないけど、パスワード管理ツール自体のセキュリティ強度とか、ツール自体が不意に使えなくなったときの復旧手段があるのかとかは調べた上で使いたい。
# え?クラウドでも共有できる?ご冗談を
Re: (スコア:0)
みたいなアホなこと言ってきたから、会社のPCのパスワードはクラウドにプレーンテキストで置くことにしたわ。家からリモートログインするときも必要だし。
Re:パスワード管理ツールを使う? (スコア:1)
半年毎だと、
yearmaehoge0
yearatohoge1
とかやりそう > ジブン
Re: (スコア:0)
良いハードウェアがあればいいのだけどなかなか無い。どれもこれもPCやられたら全部抜けそうなものばかり。
Re: (スコア:0)
1000個のパスワード、10年前のパスワードは覚えられない。
記録しておかないと自分がいくつパスワードを設定したかを忘れませんか?
Re: (スコア:0)
間違いなく宣伝
もしくはセキュリティ専門家(笑)とかなんじゃないかな