1. まとめトップ

ブラウザに記録するのは危険!?ID管理・パスワード管理の落とし穴

仕事やプライベートでサイトやアプリを使用する時、付きまとうID管理やパスワード管理のわずらわしさ。毎回入力するのが面倒だからと、ブラウザの自動入力機能(オートコンプリート)を使うのは、実は危険なのです。まさか職場や公共の場で使ってませんよね?その危険性と、今更聞けない対処法や対策を調べてみました。

更新日: 2017年08月24日

1 お気に入り 7561 view
お気に入り追加

この記事は私がまとめました

id_stiyさん

ブラウザの自動入力機能(オートコンプリート)はなぜ危険?

IDやパスワードをいちいち打ち込むのが面倒だからと、ブラウザに保存してる方は多いと思います。

IDやパスワードだけでなく、個人情報なども記憶してくれる自動入力機能(オートコンプリート)は大変便利なものですが、思わぬ危険が潜んでいます。

この自動入力(オートコンプリート)を使って保存したパスワードは、実は簡単に閲覧出来てしまうのです。

Internet Explorerは暗号化した状態でレジストリに保存されています。ブラウザの設定画面上から参照できることはなく、また暗号化されているため、通常レジストリエディタを見ても、何が入力されているのか知ることはできません。ただし、これは外部ツールを利用すれば簡単に参照することができます。

Google Chromeは、実はブラウザの設定画面から丸見えになります。そして保護する機能は実装しない、とGoogle Chrome開発元が断言していますので、今後も丸見えのままでしょう。

ちなみにFireFoxはマスターパスワードの設定は出来ますが、マスターパスワード入力後には一覧表示が可能です。

いずれにせよ、どのブラウザもデータはハードディスクに保存されるので、パソコン自体にアクセス可能な状態であれば、だれでも閲覧出来てしまいます。

職場やネットカフェなど公共の場や、複数人で同じパソコンを使う場合は特に、いつ誰にIDやパスワードを見られてしまうかわかりません。

また、自動入力ではIDやパスワードだけではなく、個人情報も記憶されます。

正規のサイトに見せかけたフィッシング詐欺で、カード情報などが抜き取られる可能性も、無いとは言い切れません。

自分だけの私用のパソコンであっても、油断は禁物なのです。

対処法や対策は?

結論から言ってしまえば、「自動入力を使わない」ということが最善の策となります。この動きは任意のテキストボックスが画面から隠されているため、自動入力が動作して情報をサイト上に送信してしまうことに気づかない、ということが最大の特徴になるためです。

多くの人がパスワードを複数持たない。どのメールアドレスにも、どのアカウントにも同じパスワード、類似したパスワードを使うと一つ抜き取られた時に非常に危険である。パスワードは流用せず、定期的に変えることが重要である。

私用であっても公用であっても、「パスワードは保存しない」「自動入力は使わない」のがひとつの対策といえます。

また、当然のことながらパスワードも推測しやすいものを避け、同じものを使いまわさず、定期的な変更を行うのが好ましいです。

既に自動入力機能を使用している場合は、自動入力設定の解除と、履歴の削除をおすすめいたします。

自動入力の解除と履歴の削除方法

・GoogleChromeの場合

▼自動入力の解除方法
ブラウザの「設定」⇒「詳細設定」⇒「パスワードとフォーム」⇒「自動入力の設定」をオフにします。住所やクレジットカードもここで確認できます。

▼パスワード履歴の削除方法
ブラウザの「設定」⇒「詳細設定」⇒「パスワードとフォーム」⇒「パスワードを管理」「自動ログイン」をオフにします。「保存したパスワード」に表示されるパスワードを削除してください。

・InternetExplorer(ver.11)の場合

▼自動入力の解除方法
ブラウザの「設定」⇒「インターネットオプション」⇒「コンテンツ」タブの「オートコンプリート」設定⇒「オートコンプリートの設定」画面で「アドレスバー」「フォーム」「フォームのユーザー名およびパスワード」の中から、解除したいもののチェックを外し[OK]⇒「インターネットオプション」画面で[OK]

▼オートコンプリート履歴を削除
ブラウザの「設定」⇒「セーフティ」⇒「閲覧履歴の削除」⇒「フォームデータ」「パスワード」にチェックを入れ[削除]

※デスクトップ版で履歴を削除した場合、ストアアプリ版の履歴も削除されますが、ストアアプリ版で削除した場合は、キャッシュ・閲覧履歴・Cookieも同時に削除されてしまうのでご注意ください。

毎回手入力にしなきゃいけないの?

ブラウザに記憶しないことによって、パスワードを知られる危険性は減りましたが、次は管理方法が問題になります。

個人で使えるパスワード管理方法といえば、代表的なものはトレンドマイクロの有料のパスワードマネージャーや、1Passwordなどのアプリでしょう。

ただしマスターパスワードを忘れてしまった場合や、端末の故障でパスワードを紛失する可能性があります。

また、企業など複数のシステムやアプリを使用している場合は、より膨大な量のパスワードを管理しなければいけなくなります。

そこで企業向けには一度のユーザー認証で、複数のコンピュータやサービスを利用出来る機能が取り入れられています。

それがシングルサインオンです。

シングルサインオンとIDaaS

シングルサインオンとは、1つのIDとパスワードで認証を行い、複数のWebサービスやクラウドサービスにアクセスする仕組みです。”SSO”と省略することもあります。

シングルサインオンをより多くの人の間で利用する際にはIDaaSがおすすめです。シングルサインオン機能はもちろん、サービスにアクセスできるユーザーを制限する機能、パスワードの変更を監視する機能があります。

IDを一つにまとめるので、IDaaSのIDに不正アクセスがあれば被害は深刻です。しかし、『同じパスワードやログイン情報の使い回し』によるリスト攻撃を防ぐこともでき、多要素認証も可能な『IDaaS』を利用していただいたほうが、安全性は大幅にアップします。

情報漏洩問題が話題にのぼる昨今、ID管理やパスワード管理は企業でも重要視されています。

セキュリティ面での安心と、ID管理やパスワード管理のわずらわしさを解消する企業向けIDaaSツールは年々進化しています。

既にIDaaSを導入している企業にお勤めの方もいらっしゃると思いますが、まだ浸透していないのが現状です。

IDaaSのおすすめツール『SKUID』

出典boxil.jp

もしまだ企業で導入していないのなら、GMOのIDアクセス管理クラウド『SKUID』がおすすめです。

シングルサインオンやID・パスワード管理が基本無料で即日導入でき、システムに詳しくない方でも始められる敷居の低さが魅力です。

少人数規模の企業から大企業まで、企業向けIDaaSのサービスを展開しており、サポートが手厚いと評判も高いそうです。

アカウント数、SaaS登録数無制限なのに基本料金ずっと0円
直感的なUIで誰でも簡単に利用
SSL国内シェアNo.1「GMOグローバルサイン」の提供サービス

一度ログインするだけで、複数サービスをパスワードの入力なしに利用することができ、国内クラウドサービスを中心に約1,000サービスとSSO連携を検証しています。

利用ユーザ側の利便性向上、管理者側の管理工数の削減及び、情報漏えいのリスク回避にも繋がります。 無料ですので、部門単位などスモールスタートで始め、後から全社展開することも可能です。

1 2