Chrome、Firefox、Internet Explorerなどのブラウザにパスワードを保存したことがありますか?そうすれば、ログインしている間、コンピュータにアクセスできる人なら誰でもパスワードを見ることができる可能性があります。
ChromeとFirefoxの開発者は、そもそも他の人がコンピュータにアクセスできないようにする必要があるため、これは問題ないと考えていますが、これは多くの人にとって驚きとなるでしょう。
コンピュータにアクセスできる人は誰でもパスワードを表示する方法
パソコンをログインしたままにして他の人が使用しているとすると、そのユーザーはChromeの[設定]ページを開いて[パスワード]セクションに移動し、保存したすべてのパスワードを簡単に表示できます。
プラグを差し込むことができます chrome:// settings / passwords このページに簡単にアクセスできるように、Chromeのアドレスバーにアクセスします。パスワードフィールドをクリックし、[表示]ボタンをクリックします—追加のプロンプトなしでChromeに保存されたパスワードを表示できます。
Firefoxのデフォルト設定では、[オプション]ウィンドウを開き、[セキュリティ]ペインを選択して、[保存されたパスワード]ボタンをクリックできます。 [パスワードの表示]を選択すると、Firefoxに保存されているすべてのパスワードのリストがコンピューターに表示されます。
Firefoxでは、保存したパスワードを表示または使用する前に入力する必要のある「マスターパスワード」を設定できますが、これはデフォルトで無効になっており、Firefoxはユーザーに設定を求めるプロンプトを表示しません。
Internet Explorerには、保存されているパスワードを表示するための組み込みの方法はありません。ただし、この明らかなセキュリティは誤解を招く可能性があります。無料のようなユーティリティで いえ ぱっsゔぃえw 、現在のユーザーアカウントに保存されているすべてのIEパスワードを表示できます。ソフトウェアをインストールせずにパスワードを表示することもできます。パスワードが自動的に入力されるWebサイトにアクセスして、次のようなものを使用するだけです。 パスワードを明らかにするブックマークレット 自動的に入力されたパスワードを表示します。
何が起きてる?これはセキュリティの脆弱性ですか?
これが本当にセキュリティの脆弱性であるかどうかについて、オタクの間で激しい議論がありました。 Chromeの開発者(およびInternet Explorerやデフォルト設定のFirefoxなどの他のブラウザの開発者)はこの動作を変更する必要がありますか?ブラウザがこの動作についてユーザーに警告しないことを考えると、ユーザーは開発者に裏切られたことがありますか?
一方では、現在の動作についていくつかの良い議論があります。
- ChromeとInternetExplorerはどちらも、保存したパスワードをWindowsユーザーアカウントのパスワードで保護します。ログインしていない場合、パスワードにアクセスできません。攻撃者がWindowsアカウントのパスワードを変更すると、パスワードにアクセスできなくなります。強力なWindowsパスワードを使用し、それを使用していないときにコンピューターをロックすると仮定すると、理論的には安全です。
- 攻撃者がコンピュータに物理的にアクセスしたり、悪意のあるプログラムがバックグラウンドで実行されている場合、攻撃者はキーストロークをログに記録し、FirefoxまたはLastPassなどの専用パスワードマネージャーでパスワードを保護するために使用される「マスターパスワード」を取得する可能性があります。 Chromeのマスターパスワードは、誤った安心感をもたらします。
- マスターパスワードは、とにかくそれを無効にすることを選択する平均的なユーザーに不便をかける追加のセキュリティ方法です。ユーザーは、保存したパスワードを使用する前にマスターパスワードを入力する必要はありません。
- ブラウザがすでにWebサイトのアカウントにログインしている場合、攻撃者がブラウザにアクセスできると、そのWebサイトのアカウントにアクセスできる可能性があります。
一方、ユーザーは現実の世界では完全なセキュリティ慣行に従っていません。
- 多くの人は、Windowsユーザーアカウントを共有したり、コンピューターを自動的にログインするように設定したり、ゲストが肩越しに見ずにコンピューターを使用できるようにしたりします。これにより、保存されたパスワードへのアクセスが簡単になります。リモートで好奇心が強い人でも、パスワードを一瞥することができます。
- マスターパスワードを使用すると、ユーザーはパスワードデータベースをさらに保護できるため、ゲストがコンピューターを使用していることを心配したり、パスワードを一瞥したりすることなく、パスワードを保存できます。
- 多くのWindowsユーザーアカウントのパスワードは非常に弱いため、パスワードはほとんど保護されません。また、多くの人は、離れるたびにコンピュータをロックするわけではありません。
- Chromeは複数のユーザープロファイルを提供し、ユーザーが単一のユーザーアカウントでChromeプロファイルを共有することを推奨しますが、これらのプロファイルを分離し、他のChromeユーザープロファイルが他のアカウントパスワードにアクセスするのを防ぐ方法は提供しません。
- 攻撃者がすでにログインしているWebサイトにアクセスしたが、パスワードを持っていなかった場合、攻撃者はパスワードを変更したり、アカウントを削除したりすることはできません。
- 平均的なユーザーは、おそらく自分のパスワードが見づらいと思っています。コンピューターにアクセスできる人なら誰でも保存済みのパスワードを表示できることや、強力なWindowsパスワードを設定して、コンピューターから離れるときにコンピューターをロックする必要があることを通知する警告はありません。
では、どちら側が正しいのでしょうか?理想的なセキュリティ手順に従えば、Chromeはパスワードを保護します。とはいえ、Chrome(およびデフォルト構成のIEとFirefox)も、Chromeの動作に関する十分な情報をユーザーに提供していません。現実の世界では、マスターパスワードは多くの人に役立つ可能性があります。
保存したパスワードを保護する方法
保存したパスワードが心配な場合は、パスワードを詮索好きな目から守るためのヒントをいくつか紹介します。
- 専用のパスワードマネージャーを使用する 、 お気に入り LastPass 。これらのパスワードマネージャーはすべてのブラウザで動作し、ログアウト時にパスワードへのアクセスをロックするマスターパスワードを提供します。 Chromeの開発者はマスターパスワード機能を提供したくないかもしれませんが、Chromeのデフォルトのパスワードマネージャーの代わりにLastPassを使用して自分で追加することができます。 KeePassのような他のパスワードマネージャーと同様に、これは万能でより強力なオプションです。
- Firefoxを使用している場合は、マスターパスワード機能を有効にします。 Firefoxの開発者はユーザーエクスペリエンスを好まないため、これはデフォルトでオフになっていますが、マスターパスワードを使用すると、単一のメインパスワードでパスワードデータベースを「ロック」できます。その後、ユーザーアカウントを他の人と共有すると、他の人があなたのパスワードを一瞥することができなくなります。確かに、彼らはあなたが見ていないときにキーロガーをインストールすることができますが、あなたのパスワードを覗き見したくなるかもしれない多くの人々は、キーロガーをずっと使いたくないでしょう。これが私たちがドアをロックする理由です。ロックは完璧ではありませんが、正直な人々を正直に保ちます。
- ChromeまたはInternetExplorerを使用していて、組み込みのパスワードマネージャーを引き続き使用する場合は、適切なセキュリティ対策を講じてください。強力なWindowsユーザーアカウントのパスワードを設定し、離れるたびにコンピューターをロックします。ログイン中にコンピュータにアクセスできる人は、特にChromeの場合、パスワードをすぐに確認できます。
保存したパスワードが使用しているブラウザでどの程度安全であるかについて、より詳細な情報が必要ですか?詳細をご覧ください Chromeのパスワードセキュリティ そして InternetExplorerのパスワードセキュリティ 。
