パスワード。多くのユーザーにとって、パスワードは悩みの種です。しかし、アカウントを保護する数少ない手段の一つであるにもかかわらず、アカウントは頻繁に不正アクセスされています。ITプロフェッショナルは常に、ユーザーに安全なパスワードの作成を強く求め、特定の要件を満たすパスワードプロファイルを作成するように求めています。
しかし、これらのアカウントをロックダウンするためにどれだけ努力しても、アカウントは依然として脆弱なままです。
参照: 情報セキュリティポリシーテンプレートのダウンロード (TechRepublic Premium)
なぜ?
まず第一に、何度も警告されているにもかかわらず、ユーザーは依然として「12345」や「password」といったパスワードを使い続けています。たとえ非常に複雑なパスワードを使用していたとしても、真に安全なネットワーク体験を楽しむ上で障害が存在します。その障害とは、ウェブブラウザがパスワードを保存することを許可されていることです。
確かに便利です。パスワードを求められるたびに毎回入力したい人なんていないでしょう? 多数のオンラインサービスを利用している場合、そのたびにパスワードを入力するのは生産性を低下させる可能性があります。さらに、パスワードが非常に複雑で、パスワードマネージャーを使わなければならない場合は、効率は最悪です。
それでも、生産性を犠牲にしても、ウェブブラウザにパスワードを記憶させてはいけない十分な理由があります。それは、現代のウェブブラウザではパスワードを簡単に閲覧できるからです。Linux(私が愛用しているプラットフォーム)では、Chrome を使えば、ユーザーパスワードを要求しなくても、保存されたログイン情報を閲覧できます(ユーザーパスワードが必要な Windows や macOS とは異なります)。一方、Firefox では、プラットフォームに関係なく、認証なしですぐにパスワードにアクセスできます(マスターパスワードが設定されていない場合)。Chrome と同様に、Safari も少なくともパスワードをユーザーのパスワードの背後に隠します。Firefox と Safari の違いは、Apple のブラウザではパスワードが必須である点です。
パスワードの有無にかかわらず、保存されたログイン情報は誰でも閲覧できます。
参照: フィッシング攻撃: IT プロフェッショナル向けガイド (TechRepublic ダウンロード)
保存したパスワードをどれくらい簡単に表示できますか?
追記: Windows 10またはmacOSプラットフォームをご利用の場合、Chromeに保存されているパスワードにアクセスするにはユーザーパスワードの入力を求められます。一方、Linuxでは認証を求めることなく即座にアクセスできます。ただし、iSumsoft Windows Password Refixerなど、Windowsのパスワードをリセットしてこのハードルを回避できるツールは数多くあります。Firefoxでは、プラットフォームに関係なく、認証なしでこれらのパスワードにアクセスできます。
しかし、WindowsやmacOSのオペレーティングシステムでも、パスワードプロンプトを回避する方法はあります。例えば、ブラウザの要素検証ウィンドウを使って、ページのコードを編集し、ユーザーパスワードのハッシュ値を解除することができます。手順は以下のとおりです。
- ウェブサイトのパスワード フィールドを右クリックします。
- 「要素の検査」を選択します。
- type=”password”をダブルクリックし、passwordをtextに置き換えます。
- Enter キーを押して、要素インスペクターを閉じます。
- パスワードはハッシュ化されず、全員に公開されます。
上記の手順は、ブラウザやプラットフォームに関係なく機能します。
先ほど挙げた3つのブラウザで保存したパスワードを表示する別の方法をご紹介します。ただし、この方法はブラウザに保存されているパスワードにのみ有効です。まずはChromeを見てみましょう。Chromeで保存したパスワードを表示するには、以下の手順に従います。
- Chromeを開きます。
- メニューボタンをクリックし、「設定」を選択します。
- 「自動入力」までスクロールし、「パスワード」をクリックします。
- 表示するパスワードを見つけて、「目」アイコンをクリックします (図 A )。
- Linux オペレーティングシステムでは、ユーザーパスワードの入力は求められません。macOS と Windows では、パスワードが表示される前にユーザー認証が必要になります。
- そのパスワードを楽しんでください。
図A
Firefox で同じことを実行するには、次の手順を実行します。
- Firefox を開きます。
- メニューを開き、「環境設定」を選択します。
- 左側のペインから「プライバシーとセキュリティ」をクリックします。
- 「ログインとパスワード」までスクロールします。
- 「保存されたログイン」をクリックします。
- 「パスワードを表示」をクリックします(図B)。
- パスワードをお楽しみください。
図B
Firefox での手順で唯一注意すべき点は、マスターパスワードを使用している場合です。マスターパスワードを使用している場合は、「パスワードを表示」をクリックした後に、マスターパスワードの入力を求められます。マスターパスワードがないと、保存されている認証情報を表示できません。
さて、Safariを見てみましょう。Appleのブラウザでパスワードを表示する手順は次のとおりです。
- Safari を開きます。
- 上部のバーにある Safari メニューをクリックし、「環境設定」を選択します。
- [パスワード]タブをクリックします。
- プロンプトが表示されたら、パスワードを入力するか、指紋センサー (使用可能な場合) を使用します。
- 表示したいWebサイトをクリックします(図C)。
- そのパスワードを楽しんでください。
図C
明らかにSafariの方がこの点で優位に立っています。それは、保存された認証情報を閲覧するためにパスワードが必要な点だけです。Firefoxに保存された認証情報がマスターパスワードでロックされているとすれば、Mozillaブラウザも同様の状況になります。Chromeに関しては、保存されたパスワードは誰でも自由に閲覧でき、制限も保護もされていません。
何をするか?
この質問への答えは簡単です。ブラウザにパスワードを保存させないでください。一つも、絶対に。保存してしまうと、パスワードは危険にさらされます。誰かがあなたのコンピュータ(リモートまたは物理的)にアクセスするだけで、SafariやFirefoxのマスターパスワード機能を使用しない限り、誰でもパスワードを見ることができるようになります。
ブラウザにパスワードを保存する必要がある場合、macOS以外のブラウザをご利用の場合は、Firefoxを使用し、マスターパスワード機能を有効にしてください。Chromeを使用すると、パスワードが危険にさらされる可能性があります。
ウェブブラウザにパスワードを保存する代わりに、パスワードマネージャーを活用しましょう。そうすることで、パスワードを他人に見られる可能性が大幅に低くなります。完璧ではありませんが、パスワードのセキュリティをウェブブラウザに委ねるよりははるかに優れています。
「後悔するよりは安全な方が良い」という格言はまさに当てはまります。
画像: ジャック・ウォーレン
