パスワードマネージャーをまだ使っていない方(もちろん使うべきではありますが)は、Google Chrome 69のアップデートでパスワード管理機能が強化され、パスワードジェネレーターまで搭載されたと聞いて、きっと喜ぶでしょう。ただし、この新機能によってChrome自体のセキュリティ強化がさらに重要になるので、ご注意ください。
Googleは、Smart Lock機能の一環としてブラウザ内にパスワードを保存する機能を提供し始めた2015年頃から、組み込みのパスワードマネージャーを提供しています。(Chromeはそれ以前からパスワードを保存していましたが、その方法は一部の人々から非常に安全ではないと考えられていました。)
しかし今、Googleはさらに一歩進んで、新しいサイトに初めてログインする際にランダムなパスワードを生成する機能を提供しています。
マーク・ハッハマン / IDGWeb サイトで新しいアカウントにサインアップすると、Google Chrome 69 では新しいランダムなパスワードを生成することが提案されます。
Chromeは、そのパスワードをブラウザ内に保存するかどうかを尋ねます。次回サイトにログインする際(許可した場合)、Googleは保存されたランダムなパスワードを使用してログインします。
当然のことながら、Chrome ユーザーは新しいサイトごとに「安全な」パスワードを非常に簡単に生成できます 。Chrome が生成するパスワードは基本的に数字と文字の寄せ集めだからです。(Chrome がサイトのルールに準拠したパスワードを自動的に生成するかどうかは不明です。一部のサイトで見られる「最低 XX 文字、数字 1 文字、特殊文字 1 文字」といったルールを想像してみてください。ただし、私がテストサイトで生成したパスワードはルールに準拠していました。)
Chromeが弱点ではないことを確認する
Chromeのロックボックスに保存するキーの数が増えるほど、Chrome自体のセキュリティをより確実に確保する必要が出てきます。まず、NetflixなどのサイトのランダムパスワードをChromeに保存した場合、Chromeをインターフェースとして利用していないアプリやストリーミングデバイスからNetflixにアクセスする際には、そのパスワードを入力する必要があります。幸いなことに、すべてのパスワードはpasswords.google.comからアクセスできるはずです。そこでサイト名を検索し、個々のパスワードを表示させて入力すればいいのです。
でも、そうしてみると、利便性のために Chrome 内に保存したパスワードの多さにきっと驚くでしょう。(いくつかは削除することを検討してください。)それらにアクセスするには、まず Google アカウントのパスワードを入力する必要があります。
マスターパスワードこそ、絶対に安全に保管する必要があります。必ず重複しないものにしてください。単に暗記する場合でも、ボットやスパイを欺くために、ランダム性を十分に含んだ長いパスフレーズにしてください。(「HowN0w,Browncat?numnumtime!」のようなパスワードは覚えやすく、複雑です。)このパスワードは、スプレッドシートや付箋、保存済みのメールなどには絶対に保存しないでください。
passwords.google.com は、マスターリストを公開する前に Google のパスワードを求めます。複数のブラウザを使用している場合、パスワードが他のブラウザと同様に保存される可能性があることに注意してください。例えば、Windows の Microsoft Edge ブラウザでは、Edge のパスワード マネージャーは保存されているパスワードを一切公開しません。しかし、 うっかり Edge に Google のパスワードをマスターリストに保存させてしまうと、攻撃者はたった 1 回のクリックで Google のマスターパスワードリストにログインできてしまいます。しかも、あなたが大切に記憶しているパスワードを一切知らないのです。攻撃者は数秒以内にあなたの銀行のパスワードを公開し、タブを閉じれば、あなたは何も気づかないままです。
マーク・ハッハマン / IDGWindows 10 のダイナミック ロックをオンにすると、PC をロックダウンすることができます。
(Edge の[設定] > [詳細設定] > [パスワードの管理]に移動し、特定のサイトを右クリックして [資格情報の削除]をクリックし、 保存されているパスワードを消去します。また、同期された電話が範囲外に出た場合に、Windows の機能である動的ロックを使用して PC が自動的にロックされるようにすることもできます。[設定] > [サインイン オプション] > [動的ロック]に移動します。)
利便性は二要素認証を弱める可能性がある
2段階認証について聞いたことがあるかもしれません。これは、パスワードなどの既知の情報と、スマートフォンなどの所有物を組み合わせる認証方法です。Googleアカウントではすでに2段階認証が有効になっているはずです。新しいPCでGoogleにログインすると、パスワードの入力が求められ、Google Authenticatorアプリからスマートフォンにコードが送信されます。
しかし、時間が経つにつれて、Googleに「このコンピュータを信頼」させたり、パスワードを入力しているのが 自分だと思い込ませたりする誘惑に駆られるかもしれません。時間は節約できる一方で、二段階認証が提供するセキュリティの一部を失うことにもなります。
マーク・ハッハマン / IDGGoogle のアカウント コントロールは、認証システム アプリを簡単にダウンロードする方法など、セキュリティ チェックの実行に役立ちます。
でもご心配なく。myaccount.google.com には、2 要素認証が有効になっていることを確認するためのコントロールと、ログインしているデバイスの信頼済みステータスを取り消すためのコントロールがあります。このコントロールは、信頼済みデバイスすべてのステータスを取り消すため、どれか 1 つを選択することはできません。ただし、Chrome がデータへのアクセス保護を強化していくにつれて、Chrome にさらなる安全対策を講じることになると考えられます。
2キー認証だけでは不十分な場合は、YubiKeyハードウェアドングルなどの追加のセキュリティレイヤーが5年ほど前から存在しています。しかし、多くのユーザーはChrome内ですべてを完結させる利便性を選ぶでしょう。
Chrome 69には、刷新されたUIや、検索結果や検索クエリの自動サジェスト機能を提供する「オムニボックス」検索ボックスなどの機能も含まれています。しかし、Chrome10周年を記念したリリースの中で最も重要な機能は、アップグレードされたパスワードマネージャーです。圧倒的な人気を誇るPCブラウザであるChromeは、近い将来、おそらく多くのユーザーが利用を求められることになるでしょう。
