訪れるウェブサイトのほとんどには、何らかのログイン情報が必要です。ログイン情報を管理したり記憶したりするのは事実上不可能なので、主要なウェブブラウザは利便性を考慮してパスワードを保存する機能を提供しています。しかし、ソフトウェア開発者は、特にGoogle Chromeをビジネスで使用している場合、この機密情報をブラウザに預けるのは賢明ではないことを発見しました。
Elliot Kember氏は、Chromeのパスワードセキュリティにおける重大な欠陥についてブログ記事を執筆しました。彼はSafariからChromeに乗り換えることを決め、Safariのブックマークをインポートして、2つのブラウザ間で同じサイトやコンテンツにアクセスできるようにしたいと考えていました。ところが、「ブックマークと設定をインポート」の「オプション」の一つに保存済みのパスワードをインポートするオプションがあることに気づき、愕然としました。しかし、このオプションはグレーアウトし、自動的にチェックマークが付いていました。つまり、必須設定になっており、保存済みのパスワードをインポートしないという選択肢がないのです。
明らかに必須項目にチェックボックスがあるという皮肉な状況に加え、インポート設定はKember氏にとっていくつかの懸念材料となりました。Chromeは保存したパスワードを一切保護していません。保存したパスワードの管理をロックするマスターパスワードがないのです。パスワードはプレーンテキストで保存されており、パスワード入力欄の横にある「表示」ボタンをクリックするだけで閲覧可能です。
ケンバー氏は自身の投稿で、「GoogleがYouTube、映画館のプレロール、看板などでブラウザを宣伝している世界では、明確なターゲットは開発者ではありません。それはマスマーケット、つまりユーザーです。圧倒的多数です。彼らはブラウザがこのように機能することを知りません。パスワードがこんなに簡単に見れるとは思っていません。毎日、何百万人もの普通のユーザーがChromeにパスワードを保存しています。これは許されません。」と述べています。
便利ではありますが、ブラウザ(どんなブラウザでも)にパスワード情報を保存させるのは一般的にはお勧めできません。確かに、ほとんどのブラウザはChromeよりも優れたセキュリティ対策を講じていますが、ブラウザはウェブサイトとウェブベースのアプリケーションのパスワードしか管理できないため、他のパスワード認証情報を管理するには別のツールが必要になります。
複雑さはセキュリティの敵です。著名なセキュリティ専門家であるグラハム・クルーリー氏は、LastPassや1Passwordなどのパスワード管理ユーティリティの使用を推奨しています。Mac OS Xユーザー(特にMavericksが正式リリースされた場合)の場合、iCloudキーチェーンの使用も代替ソリューションとなります。
しかし、セキュリティのもう一つの敵は利便性です。ログイン認証情報の記憶を容易にしたり、機密データにアクセスしやすくしたりする機能は、攻撃者がその利便性を悪用して不正行為を行うリスクも高めます。保存したパスワードを保護するためにマスターキーを使用する方が、ないよりはましですが、マスターキーは攻撃者がマスターキーを解読する方法を見つけ出せば、すべてのパスワードにアクセスできてしまうという弱点も抱えています。
Chrome(および他のブラウザ)にとって公平を期すために言うと、これはリモートからの脆弱性ではありません。保存されたパスワードにアクセスして閲覧するには、誰かがChromeブラウザをインストールしたPCまたはデバイスに物理的にアクセスする必要があります。考えられる解決策の一つは、使用していないPCまたはモバイルデバイスをロックし、他の人に貸さないようにするか、少なくとも別の「ゲスト」アカウントでログインさせて、個人のブラウザ設定にアクセスできないようにすることです。
しかし、パスワードはすぐになくなるわけではなく、一見すると終わりのない複雑なパスワードのリストを何とか管理しなければなりません。パスワード管理ツールは効果的な解決策であり、Webブラウザのパスワード保存機能を使用するよりも優れたアイデアです。企業のセキュリティとコンプライアンスの観点から、このような方法でのパスワードの保存を禁止するポリシーをユーザーに適用する必要があります。
ケンバーは最後に、ある挑戦状を叩きつけた。「今日は、技術に詳しくない人に近づいて、パソコンを借りてもらいましょう。chrome://settings/passwords にアクセスして、いくつかの行の「表示」をクリックしてください。相手が何を言うか聞いてみてください。」
