目次:
ChromeとFirefoxの開発者は、最初はユーザーがコンピュータにアクセスできないようにする必要があるので、これは問題ないと思っていますが、これは多くの人にとって驚くべきことです。
どのようにあなたのコンピュータへのアクセスを持つあなたのパスワードを表示することができます
あなたのコンピュータをログインしたままにして他の誰かがそれを使用すると、Chromeの設定ページを開き、[パスワード]セクションに移動し、保存したすべてのパスワードを簡単に表示できます。
Chromeのアドレスバーにchrome:// settings / passwordsを挿入すると、このページに簡単にアクセスできます。パスワードフィールドをクリックして[表示]ボタンをクリックすると、Chromeに保存されたパスワードを確認するメッセージが表示されます。
Firefoxでは、保存されたパスワードを表示または使用する前に入力する必要がある「マスターパスワード」を設定できますが、デフォルトでは無効になっています。
何が起きてる?これはセキュリティの脆弱性ですか?
これが本当にセキュリティ上の脆弱性かどうかに関して、オタクの間で激怒する議論がありました。 Chromeの開発者(およびInternet Explorer、Firefoxなどデフォルト設定の他のブラウザの開発者)がこの動作を変更する必要がありますか?ブラウザがこの動作についてユーザに警告しないので、開発者がユーザを裏切ったことはありますか?
一方では、現在の行動についていくつかの良い議論があります。
- ChromeとInternet Explorerは、保存されたパスワードをWindowsユーザーアカウントのパスワードで保護します。ログインしていない場合は、パスワードにアクセスできません。攻撃者がWindowsアカウントのパスワードを変更すると、パスワードにアクセスできなくなります。強力なWindowsパスワードを使用し、使用していないときにコンピュータをロックすると仮定すると、理論的には安全です。
- 攻撃者がコンピュータに物理的にアクセスしたり、悪意のあるプログラムがバックグラウンドで実行されていると、キーストロークを記録し、Firefoxでパスワードを保護するための「マスターパスワード」やLastPassのような専用パスワードマネージャを得ることができます。 Chromeのマスターパスワードは誤ったセキュリティを提供します。
- マスターパスワードは、平均的なユーザーに不便をもたらす追加のセキュリティ方法です。これは、とにかく無効にすることを選択します。ユーザーは、保存されたパスワードを使用する前にマスターパスワードを入力する必要はありません。
- ブラウザが既にWebサイトのアカウントにログインしている場合、攻撃者はブラウザにアクセスできる場合、そのWebサイトのアカウントにアクセスできます。
一方、ユーザーは現実世界で完璧なセキュリティプラクティスに従わない:
- 多くの人がWindowsのユーザーアカウントを共有したり、自動的にログインするようにコンピュータを設定したり、常駐していなくても自分のコンピュータを使用できるようにしています。これにより、保存されたパスワードに簡単にアクセスできます。リモートで好奇心を持っている人でも、パスワードを見ることができます。
- マスターパスワードを使用すると、ユーザーはパスワードデータベースをさらに保護することができ、コンピュータを使用しているゲストを心配することなくパスワードを保存したり、コンピュータを一目で見ることができます。
- 多くのWindowsユーザーアカウントのパスワードは非常に弱いため、パスワードの保護はほとんどありません。多くの人々は、踏み出すたびにコンピュータをロックしません。
- Chromeは複数のユーザープロフィールを提供し、ユーザーに単一のユーザーアカウントでChromeプロフィールを共有するよう推奨しますが、これらのプロフィールを分離して他のChromeユーザープロフィールが他のアカウントのパスワードにアクセスすることを防ぐ方法はありません
- 攻撃者がすでにログインしているWebサイトにアクセスしたのにパスワードを持っていなかった場合、パスワードを変更したりアカウントを削除することはできません。
- 平均的なユーザーは、おそらくパスワードを見るのが難しいと予想しています。彼らのコンピュータにアクセスできる人は誰でも、保存されたパスワードを見ることができるという警告や、強力なWindowsパスワードを設定して、離れたところからコンピュータをロックする必要があるという警告は表示されません。
それでどちら側が正しいの?あなたが理想的なセキュリティ手順に従えば、Chromeはあなたのパスワードを保護します。つまり、Chrome(とデフォルト設定のIEとFirefox)も、ユーザーに何をしているかについて十分な情報を提供していません。現実の世界では、マスターパスワードは多くの人々にとって有用なものになる可能性があります。
あなたの保存されたパスワードを保護する方法
保存されたパスワードを心配している場合は、以下のヒントを参考にして保護してください。
- LastPassのような専用のパスワードマネージャを使用してください。これらのパスワードマネージャはすべてのブラウザで動作し、ログアウトしたときにパスワードへのアクセスをロックするマスターパスワードを提供します。 Chromeの開発者はマスターパスワード機能を提供したくないかもしれませんが、Chromeのデフォルトのパスワードマネージャの代わりにLastPassを使用して自分で追加できます。これは、KeePassのような他のパスワードマネージャーと同様、オールラウンドの強力なオプションです。
- Firefoxを使用している場合は、マスターパスワード機能を有効にしてください。 Firefoxの開発者はユーザーエクスペリエンスが気に入らないので、これはデフォルトではオフですが、マスターパスワードを使用すると、パスワードデータベースを1つのメインパスワードで「ロック」することができます。その後、ユーザーアカウントを他のユーザーと共有することができます。パスワードを確認することはできません。確かに、彼らはあなたが見ていない間に重要なロガーをインストールすることができますが、あなたのパスワードを覗いてみたくなる多くの人々は、重要なロガーで一生懸命に行きたいとは思わないでしょう。これが私たちのドアをロックする理由です。ロックは完璧ではありませんが、正直な人々は正直なままです。
- ChromeまたはInternet Explorerを使用していて、内蔵のパスワードマネージャを引き続き使用する場合は、適切なセキュリティ対策を講じてください。強力なWindowsユーザーアカウントのパスワードを設定し、離れるたびにコンピュータをロックします。ログイン中にコンピュータにアクセスできるユーザーは、特にChromeを使用してパスワードをすばやく確認できます。
保存したパスワードの安全性に関する詳細な情報を、使用しているブラウザに表示したいですか? ChromeのパスワードセキュリティとInternet Explorerのパスワードセキュリティに関する詳細をご覧ください。
