Bizコンパス

ブラウザにパスワードを保存するのはアリなのか?
2019.01.29

今知っておきたいITセキュリティスキルワンランクアップ講座第7回

ブラウザにパスワードを保存するのはアリなのか?

著者 北河 拓士

 Webサイトへのログインのためにパスワードを入力した時に、「パスワードを保存しますか?」などのメッセージが出ることを経験したことがあると思います。この機能は「オートコンプリート」などとも呼ばれ、一度ブラウザにパスワードを記憶させれば次回からログインする時にキーボードから打ち込まなくても自動的にブラウザが入力してくれるもので、IE/Edge、Chrome、Firefoxなどの各ブラウザでは既定で有効になっています。

Edgeでのパスワード保存の例

 この機能は非常に便利ですが、その反面、セキュリティ上の問題があるとする意見もあります。例えば、内閣サイバーセキュリティセンター(NISC)が公開している、「インターネットの安全・安心ハンドブック Ver 4.00」では、「ブラウザの自動入力にパスワードを覚えさせない」(p.31)とされています。

 今回は、この「ブラウザにパスワードを保存する」機能について、実際にどのようなリスクがあるのか、本当に使ってはいけないのかについて考えてみたいと思います。なお、環境は基本的にWindowsを想定しています。

 

ブラウザにパスワードを保存するリスクは?

 ブラウザにパスワードを保存することにどのようなリスクがあるのでしょうか?1つ目のリスクは、ブラウザに保存したパスワードにより他人に勝手にサービスを利用されてしまうことです。

 まず問題になるのは、ホテルのロビーや図書館などの公共の場所にあるPCでの利用です。このような場所のPCではそもそもログインが必要となるようなサービスを利用すべきではありませんが、やむを得ず利用する場合は、パスワードは絶対に保存せず、利用後は必ずサービスからログアウトするようにしてください。あとから来た人にサービスにログインされてしまう危険性があります。職場で1台のPCを複数人が共通アカウントで使用している場合も同じ問題があるでしょう。

 職場で1人1台のPCを使用している場合はどうでしょうか?職場の環境にもよりますが、周囲の目がある中で、勝手に他人のPCを操作してサービスを利用することは、発覚のリスクを考えるとなかなか難しいのではないでしょうか?離席するときはPCを必ず画面ロック(Windowsでは「Windowキー+L」)するようにすれば、他人に勝手にPCを操作されることを防げますし、スクリーンセーバーでロックが掛かる時間を短く設定しておくのも良いでしょう。

 また、最近のサービスでは一度ログインをすれば明示的にログアウトしない限りはログイン状態を維持し、ブラウザのタブを閉じても再度サービスにアクセスすればログインした状態でアクセスできるものも多くなっています。この場合は、ブラウザにパスワードを保存していなくてもブラウザを操作できればサービスを利用されてしまうため、やはり短時間でもPCの前を離れるときは画面ロックをするしかないでしょう。

 自宅で、自分や家族しかPCに触れられない場合は、他人に勝手にサービスを利用されるリスクは考えなくて良いでしょう(家族が信用できる限り)。ただし、ノートPCをカフェなどで使用する場合は、ちょっとした離席でもPCを持ち歩くなど盗難に気をつけましょう。

 これらを考えると、共有のPCを使うのでない限り、ブラウザにパスワードを保存することにより、他人に勝手にサービスを利用されるリスクはそれほど増える訳ではないように思えます。

 2つ目のリスクは、ブラウザに保存されたパスワードを平文で表示させて見られるリスクです。ブラウザの設定画面などから、保存してある平文のパスワードを表示させ、メモするだけなら、短時間で済むため、発覚するリスクは小さいかもしれません。

 以前のChromeでは、… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連キーワード

SHARE

あなたへのおすすめ

セキュリティ対策の「As-is」「To-be」の考え方とは

2018.11.22

グローバルなIT基盤を最適化する仕組み

セキュリティ対策の「As-is」「To-be」の考え方とは

本当に便利なIDアクセス管理基盤とは!?IDaaSの理想と現実

2018.12.14

複雑かつ多様なアプリケーション環境におけるID・アクセス管理

本当に便利なIDアクセス管理基盤とは!?IDaaSの理想と現実

高木浩光氏が解説「パスワード定期変更は都市伝説」

2018.08.27

情報セキュリティの「常識」を検証する前編

高木浩光氏が解説「パスワード定期変更は都市伝説」

「暗号化ファイルのパスワード別送」は無意味である

2018.02.16

このセキュリティ対策、本当に効果あるの?

「暗号化ファイルのパスワード別送」は無意味である