ブラウザのパスワード保存機能、使っても大丈夫？

Malwarebytesはブラウザにパスワードを記憶させるべきか否かについて説明しました。

ブラウザのパスワード保存機能は使っても大丈夫か？

参照：TECH＋ マイナビニュース

一般的に認証に用いるパスワードは強力で一意なものが推奨されており、比較的安全にこれを実現するためにパスワードマネージャが利用されています。

ブラウザにもパスワードマネージャと呼ばれるパスワードの管理機能がありますが、Malwarebytesはこのブラウザのパスワードマネージャの是非について考察しています。

■メリット・デメリット

Maiwarebytesはブラウザのパスワードマネージャのデメリットとして以下を挙げています。

【暗号化】
ブラウザのパスワードマネージャを使用する場合、プライマリパスワードを設定しないとブラウザにアクセスできるユーザは誰でもパスワードを閲覧できる
一部のブラウザで長時間ログインを維持する設定を行った場合、攻撃者はブラウザからパスワードを窃取できる可能性がある

【正規のサイトに類似したフィッシングサイト】
パスワードの自動入力は行われないため、ユーザは保護される

【同期】
複数のデバイス間でブラウザの設定を同期する場合、パスワードも同期される
これは潜在的なリスクを増幅させる

【オフライン】
ブラウザのパスワードマネージャではオフライン時にパスワードの管理ができないことがある

【業務用のデバイス】
企業の情報管理部にとって、誰が何のパスワードを保存しているかを追跡するのは困難

【パスワードの窃取】
ブラウザのパスワードマネージャから資格情報を窃取するマルウェアが存在する

【データ侵害】
ユーザの資格情報が悪用されていることが判明しても、ブラウザのパスワードマネージャは警告しない

【強力なパスワード】
一部のブラウザは強力なパスワードを生成する機能がある

【サイドチャンネル攻撃】
攻撃者はブラウザの資格情報を自動入力する機能を悪用して、Webサイトの資格情報を収集することが可能
これは自動入力を無効にすることで対策できる

■多要素認証、推奨

結論として、ブラウザのパスワードマネージャは使いやすさを提供するが、セキュリティを犠牲にしているとして推奨していません。

ただし、自動入力を無効にし、重要な情報が保存されていない安全なWebサイトの資格情報に限れば問題ないとしています。

また、パスワードマネージャを利用するか否かに関わらず、多要素認証の使用を推奨しています。

パスワードはいつ、どこから漏洩するかわからないため、多要素認証による保護が重要とされています。

なお、近年ではパスワードを必要としない新しい認証方式として「パスキー」を採用するサイトが増えています。
Webサイトがパスキーをサポートしている場合は、パスキーの利用が望まれます。

Should you allow your browser to remember your passwords? | Malwarebytes

★-------------------------------------------★
【アルテミスBP　パートナー様募集！】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。

私たちだからできる「ワンストップサービス」も魅力の１つです！

⇒　専用ページはこちら
★-------------------------------------------★