Bizコンパス

ブラウザにパスワードを保存するのはアリなのか?
2019.01.29

今知っておきたいITセキュリティスキルワンランクアップ講座第7回

ブラウザにパスワードを保存するのはアリなのか?

著者 北河 拓士

 Webサイトへのログインのためにパスワードを入力した時に、「パスワードを保存しますか?」などのメッセージが出ることを経験したことがあると思います。この機能は「オートコンプリート」などとも呼ばれ、一度ブラウザにパスワードを記憶させれば次回からログインする時にキーボードから打ち込まなくても自動的にブラウザが入力してくれるもので、IE/Edge、Chrome、Firefoxなどの各ブラウザでは既定で有効になっています。

Edgeでのパスワード保存の例

 この機能は非常に便利ですが、その反面、セキュリティ上の問題があるとする意見もあります。例えば、内閣サイバーセキュリティセンター(NISC)が公開している、「インターネットの安全・安心ハンドブック Ver 4.00」では、「ブラウザの自動入力にパスワードを覚えさせない」(p.31)とされています。

 今回は、この「ブラウザにパスワードを保存する」機能について、実際にどのようなリスクがあるのか、本当に使ってはいけないのかについて考えてみたいと思います。なお、環境は基本的にWindowsを想定しています。

 

ブラウザにパスワードを保存するリスクは?

 ブラウザにパスワードを保存することにどのようなリスクがあるのでしょうか?1つ目のリスクは、ブラウザに保存したパスワードにより他人に勝手にサービスを利用されてしまうことです。

 まず問題になるのは、ホテルのロビーや図書館などの公共の場所にあるPCでの利用です。このような場所のPCではそもそもログインが必要となるようなサービスを利用すべきではありませんが、やむを得ず利用する場合は、パスワードは絶対に保存せず、利用後は必ずサービスからログアウトするようにしてください。あとから来た人にサービスにログインされてしまう危険性があります。職場で1台のPCを複数人が共通アカウントで使用している場合も同じ問題があるでしょう。

 職場で1人1台のPCを使用している場合はどうでしょうか?職場の環境にもよりますが、周囲の目がある中で、勝手に他人のPCを操作してサービスを利用することは、発覚のリスクを考えるとなかなか難しいのではないでしょうか?離席するときはPCを必ず画面ロック(Windowsでは「Windowキー+L」)するようにすれば、他人に勝手にPCを操作されることを防げますし、スクリーンセーバーでロックが掛かる時間を短く設定しておくのも良いでしょう。

 また、最近のサービスでは一度ログインをすれば明示的にログアウトしない限りはログイン状態を維持し、ブラウザのタブを閉じても再度サービスにアクセスすればログインした状態でアクセスできるものも多くなっています。この場合は、ブラウザにパスワードを保存していなくてもブラウザを操作できればサービスを利用されてしまうため、やはり短時間でもPCの前を離れるときは画面ロックをするしかないでしょう。

 自宅で、自分や家族しかPCに触れられない場合は、他人に勝手にサービスを利用されるリスクは考えなくて良いでしょう(家族が信用できる限り)。ただし、ノートPCをカフェなどで使用する場合は、ちょっとした離席でもPCを持ち歩くなど盗難に気をつけましょう。

 これらを考えると、共有のPCを使うのでない限り、ブラウザにパスワードを保存することにより、他人に勝手にサービスを利用されるリスクはそれほど増える訳ではないように思えます。

 2つ目のリスクは、ブラウザに保存されたパスワードを平文で表示させて見られるリスクです。ブラウザの設定画面などから、保存してある平文のパスワードを表示させ、メモするだけなら、短時間で済むため、発覚するリスクは小さいかもしれません。

 以前のChromeでは、… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

セキュリティ対策の「As-is」「To-be」の考え方とは

2018.11.22

グローバルなIT基盤を最適化する仕組み

セキュリティ対策の「As-is」「To-be」の考え方とは

本当に便利なIDアクセス管理基盤とは!?IDaaSの理想と現実

2018.12.14

複雑かつ多様なアプリケーション環境におけるID・アクセス管理

本当に便利なIDアクセス管理基盤とは!?IDaaSの理想と現実

高木浩光氏が解説「パスワード定期変更は都市伝説」

2018.08.27

情報セキュリティの「常識」を検証する前編

高木浩光氏が解説「パスワード定期変更は都市伝説」

「暗号化ファイルのパスワード別送」は無意味である

2018.02.16

このセキュリティ対策、本当に効果あるの?

「暗号化ファイルのパスワード別送」は無意味である

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは