Fediver

パスワードマネージャにTOTPを入れている。
不自由なスマホにトークンを閉じ込めたくないので

AndroidでもKeeperパスワードマネージャーとVivaldiの相性がよくないので、結局ブラウザはBraveに

FIDO2クレデンシャルをクラウド同期することの、従前のパスワードマネージャに対する利点は、パスワードを手動入力できないことによるフィッシング耐性とパスワードを手動生成できないことによる脆弱な鍵や使い回しの防止。

パスワードマネージャが乗っ取られたらっていってもそもそも大半のサービスはメール認証にフォールバックできるから (gmailもデフォルトでそう) クラウド同期されたFIDO2クレデンシャルによる認証を使わずに完全ローカルでクレデンシャル管理しててもだいたい弱点はある。

現在のパスキーは単一障害点である
https://zenn.dev/malt03/articles/3f5dbee5301ddd

要するにPasskeyを保存するパスワードマネージャーがクラウド同期前提で、（特にAppleの標準機能を念頭に）ローカルのみに保存するオプションを用意すべきであって、ローカルのみに保存されるような実装を用意したという話なのだが、はてなブックマークのコメント ではそこを気にするならYubiKeyを使うべきなのでは？とのツッコミ多数。

以前触れたとおり、AIエージェントが人間に成り代わってトランザクションを行える仕組みはやり過ぎと思っているが、一方で今見ている記事をその場で要約したり関連するトピックについて質問できるという仕組みは学びを広げるために有用と考えている。
あとは職場環境との兼ね合いや、AndroidにおけるKeeperパスワードマネージャーの動作安定性なども考慮して、自分は現在保有全端末でMicrosoft Edgeをデフォルトブラウザにしている。

Edgeのパスワードマネージャーからの自動入力は生体認証通さないと許可しない設定に変更

ブラウザビルトインのパスワードマネージャーとかがページを閲覧した瞬間にパスワード入れようとするの、こういうの考えるとあまり行儀のいい挙動ではないなあとは思う

Keeper Security、Windows端末へのメモリベース攻撃を防ぐエンドポイントセキュリティ製品を発表（2025/11/07 EnterpriseZine）
https://enterprisezine.jp/news/detail/23099

Windowsで実行しているKeeperパスワードマネージャーやブラウザ（Chrome, Edge, Firefox, Opera, Brave, Vivaldi）を対象とした情報窃取型マルウェアによるメモリベース攻撃を防止するコンポーネントとのこと。
Keeperパスワードマネージャーをすでに使っている人はアップデートすれば有効化でき、単体導入もできるそうだ

基本的にKeeperパスワードマネージャーのPasskeyで対応
Keeperパスワードマネージャーの認証で生体認証が使えるデバイスでは生体認証のPasskey、使えないデバイスではGoogle Titan Security Key (FIDO U2F) で対応
基本的に持ち運ぶものを増やしたくないので（自宅と実家と会社と自宅キャビネットの鍵がキーケースに入っているので、Titan Security Keyがキーケースに入らないし）

ブラウザのパスワードマネージャーは進化した。それでも使うべきではない理由（2025/11/23 WIRED）
https://wired.jp/article/browser-password-managers/

ChromeやSafariのパスワードマネージャーは安全性は高いが、一つのアカウントに全てを集中させることで狙われやすくなるリスクはある。パスワードを自動入力する際に生体認証を求める機能はあるが、「ユーザー体験の摩擦」を理由に必須とはされていない
（とはいえ、あまりにも安全性に寄せすぎてハードルを上げすぎてしまうと、リテラシーの低いユーザーに使ってもらえなくなるわけで、それがインターネット全体の安全性にどう影響するかを考えなければいけないという側面があることを忘れてはいけない）
ゼロ知識認証や付加機能などによるセキュリティの高さを求めるならばサードパーティーのパスワードマネージャーを使ったほうがよい。

パスキー設定しているFIDOセキュリティキーとか、パスキーを格納したパスワードマネージャーを実行している端末の故障・紛失が事例として該当するのでは

Android版のGoogle Chromeがビルトインの（Googleの）パスワードマネージャーを使うかサードパーティーのパスワードマネージャーを使うかをオプションで選択できるようにした影響か、AndroidのChrome・Edge・Firefox以外のブラウザではサードパーティーのパスワードマネージャーがうまく動作しないようだ

あとKeeperパスワードマネージャーのChrome拡張、ローカルで生体認証が使えるマシンだと拡張機能のほうでパスキー認証してくれるんだけど、そうじゃないマシンだとパスワード入力→新しいタブでOTP入力もしくはFIDOセキュリティーキー確認になってワンステップ増えるんだよね

ちなみにサービスによっては、生体認証ではない手段（PIN・物理セキュリティキー・パスワードマネージャー）でのパスキー認証を許可していない場合がある

ブラウザやパスワードマネージャーに「脆弱なパスワード」と指摘されていても「そのサイトの仕様上これ以上強いパスワードにできない」というケースが結構ある。。。

パスワードマネージャーのベンダロックインを防ぐためにブラウザのベンダロックインが発生してしまう、何とも言えない状態ではあるけど、それ以外にもAndroidでマイナンバーカードを使った手続きを行う際にはChrome以外のブラウザを使うとセッションエラーが起きるなど、最近AndroidではChrome以外を使うデメリットがかなり大きくなってしまっているように感じている

ええっ
パスワードマネージャーが打ち込んでくれたダミーアカウントのIDに数文字書き足すと真のアカウントのIDになるですって！？

なんならパスワードマネージャーにはダミーのアカウントのID/PWを

pixivはシークレットモードでしか見ないしパスワードマネージャーにもID/PW入れてませんよね

それはそれとして、GoogleのパスワードはAndroid OSの初期設定、つまりパスワードマネージャーを使う前段階で必要なやつなので、やけに複雑にするとめんどくさいんだよな…
最近はパスキーとかGoogleアプリによるログイン承認ができるようになったから日常的にタイプするものではなくなったけど