![見出し画像](https://assets.st-note.com/production/uploads/images/121024737/rectangle_large_type_2_414555b062503ae814fd54ffc91b4725.jpeg?width=1200)
ブラウザのパスワード保存機能、使っても大丈夫?
Malwarebytesはブラウザにパスワードを記憶させるべきか否かについて説明しました。
参照:TECH+ マイナビニュース
一般的に認証に用いるパスワードは強力で一意なものが推奨されており、比較的安全にこれを実現するためにパスワードマネージャが利用されています。
ブラウザにもパスワードマネージャと呼ばれるパスワードの管理機能がありますが、Malwarebytesはこのブラウザのパスワードマネージャの是非について考察しています。
■メリット・デメリット
Maiwarebytesはブラウザのパスワードマネージャのデメリットとして以下を挙げています。
【暗号化】
ブラウザのパスワードマネージャを使用する場合、プライマリパスワードを設定しないとブラウザにアクセスできるユーザは誰でもパスワードを閲覧できる
一部のブラウザで長時間ログインを維持する設定を行った場合、攻撃者はブラウザからパスワードを窃取できる可能性がある
【正規のサイトに類似したフィッシングサイト】
パスワードの自動入力は行われないため、ユーザは保護される
【同期】
複数のデバイス間でブラウザの設定を同期する場合、パスワードも同期される
これは潜在的なリスクを増幅させる
【オフライン】
ブラウザのパスワードマネージャではオフライン時にパスワードの管理ができないことがある
【業務用のデバイス】
企業の情報管理部にとって、誰が何のパスワードを保存しているかを追跡するのは困難
【パスワードの窃取】
ブラウザのパスワードマネージャから資格情報を窃取するマルウェアが存在する
【データ侵害】
ユーザの資格情報が悪用されていることが判明しても、ブラウザのパスワードマネージャは警告しない
【強力なパスワード】
一部のブラウザは強力なパスワードを生成する機能がある
【サイドチャンネル攻撃】
攻撃者はブラウザの資格情報を自動入力する機能を悪用して、Webサイトの資格情報を収集することが可能
これは自動入力を無効にすることで対策できる
■多要素認証、推奨
結論として、ブラウザのパスワードマネージャは使いやすさを提供するが、セキュリティを犠牲にしているとして推奨していません。
ただし、自動入力を無効にし、重要な情報が保存されていない安全なWebサイトの資格情報に限れば問題ないとしています。
また、パスワードマネージャを利用するか否かに関わらず、多要素認証の使用を推奨しています。
パスワードはいつ、どこから漏洩するかわからないため、多要素認証による保護が重要とされています。
なお、近年ではパスワードを必要としない新しい認証方式として「パスキー」を採用するサイトが増えています。
Webサイトがパスキーをサポートしている場合は、パスキーの利用が望まれます。
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
![](https://assets.st-note.com/img/1699324834836-x6AikT0qOz.png?width=1200)
⇒ 専用ページはこちら
★-------------------------------------------★