Security

ウェブブラウザのパスワード保存機能はサイトを限定して使う

投稿日:2018年12月17日 更新日:

1. はじめに

最近のウェブブラウザには、パスワード保存機能(管理機能)がついています。パスワードをブラウザに保存しておけば、自動で入力する作業も代行してくれる便利な機能です。

これはこれで良いのですが、やはりウェブブラウザはあくまでウェブサイトを利用するためのものであり、パスワード管理するためのものではありません。パスワードの管理は、パスワード管理ツールで行うのがベターなやり方であると思っています。パスワード管理ツールにも、自動入力機能はついていますので、大切な情報をブラウザに保存しておく必要もありません。本サイトでも、KeePass というパスワード管理ツールを紹介しています。

とはいえ、ウェブブラウザが備えている「サイトを表示すると、ユーザー名・パスワードのフィールドに自動的にログイン情報がセットされる」というパスワード自動入力機能は確かにラクです。例えば、KeePass の自動入力機能は、ショートカットキーを押すという手間が余分に掛かります。ですので、パスワード管理ツールを使うことを原則としつつ、よく使うウェブサイト(且つ、パスワード漏洩時のリスクが低いサイト)のログイン情報のみブラウザにも保存させておくという使い方が良いのではないかと考えています。

この考え方を元にした、パスワード保存機能の利用方法について説明します。

2. ブラウザのパスワード保存機能利用方針(お勧め)

  • パスワードの管理には、パスワード管理ツールを使用する。
  • 基本的には、ブラウザのパスワード保存機能は使わない。
    • パスワードを保存するつもありのないサイトにログインした時に、パスワードを保存するかどうか聞いてこられるのが面倒なので、普段はパスワード保存機能をオフにします。
    • パスワードを保存するかどうか聞いてきた時に、「このサイトでは保存しない」などの選択肢を選べば、それ以降そのサイトでは聞いてこなくなりますが、この操作自体も面倒です。
  • よく使うウェブサイトのみで、ブラウザのパスワードを保存する(自動入力機能も使う)。
    • 但し、銀行サイトなど、パスワードが漏れた場合のリスクが大きいサイトでは使わない。

3. ブラウザの設定と操作

Chrome ブラウザでの運用操作について説明します。

普段の設定

普段は、パスワード保存機能を「オフ」にしておきます。
(サイトログイン時に、ブラウザがパスワードを保存するか聞いてくるのを止めるため)

(1) Chrome の設定画面を開きます。

右上のアイコンを押し、[設定] を選択します
右上のアイコンを押し、[設定] を選択します

(2) [パスワード] を選択します。

[パスワード] を選択します
[パスワード] を選択します

(3) 以下のように設定しておきます。

設定項目
パスワードを保存できるようにする オフ
自動ログオン オン

こうしておけば、パスワードが保存されたウェブページでは、パスワードを自動入力してくれますし、その他のサイトのログインした時に、パスワードを保存するかどうか聞いてきません。

パスワードの設定項目
パスワードの設定項目

一時的にパスワードを保存させる場合の操作

パスワードをブラウザに保存させておきたいサイトがあれば、一時的に「パスワード保存機能」をオンにしてパスワードを保存させます。

(1) 前述の設定画面で、[パスワードを保存できるようにする] を「オン」にします。

[パスワードを保存できるようにする] を「オン」にします
[パスワードを保存できるようにする] を「オン」にします

上記のスクリーンショットでは見切れていますが、[常に保存しない] というところに、パスワードを保存したいサイトの URLが登録されていたら削除しておきます。

(2) パスワードを保存させたいサイトにアクセスしてログインします。

この時、パスワードをブラウザに保存するかどうか聞いてくるので、[保存]ボタンを選択して保存させます。

パスワードをブラウザに保存させます
パスワードをブラウザに保存させます

もし聞いてこない場合は、以下の鍵アイコンをクリックすると、パスワードを保存するか聞いてきます。

鍵アイコンを押すと、パスワードを保存するか聞いてきます
鍵アイコンを押すと、パスワードを保存するか聞いてきます

(3) [パスワードを保存できるようにする] を「オフ」に戻しておきます。

パスワードに関する設定を以下のように、「普段」用の設定に戻しておきます。

設定項目
パスワードを保存できるようにする オフ
自動ログオン オン

先程パスワードを追加したウェブサイトは、 のところに表示されているはずです。

パスワードの設定をもとに戻します
パスワードの設定をもとに戻します

4. おわりに

Chrome の場合は、Google アカウントでログインしておくと、各環境でパスワードを同期することもできます(他のメジャーなブラウザも同等の機能があります)。この同期機能を使う場合も、「ブラウザにパスワードを保存するのは、漏れた場合のリスクが低いサイトに限定する」という方針を守っていれば、危険な事態が起きる可能性は低いでしょう。

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

セキュリティ

Android で MD5 や SHA1 のハッシュ値をチェックする方法

追記 2021年, 気がつくと MD5 Checker は Google Play Store からなくなっていました。 目次1. はじめに2. 利用するアプリのインストール3. MD5 Checke …

no image

クロスサイト・スクリプティング対策 by IPA「安全なウェブサイトの作り方 第7版」

photo credit: XSS attack on YouTube via photopin (license) 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「クロスサイ …

no image

パス名パラメータの未チェック/ディレクトリ・トラバーサル by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「パス名パラメータの未チェック/ディレクトリ・トラバーサル」から一部抜粋する。(この資料はPDFでしか提供されていない) …

no image

セッション管理の不備 by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「セッション管理の不備」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次セッションIDの推測セッションIDの盗用 …

PHP

Laravel 5 でのセキュリティ対策 (PHP)

目次1. ユーザーによる入力値の検証入力パラメータ値のエンコーディングが正しいことをチェックするMiddlewareの例制御文字を禁止するバリデーションルールを追加する例1. バリデーション用のクラス …